Comment la blockchain révolutionne la sécurité informatique
Popularisée à partir de 2008 avec l'avènement des crypto-monnaies (et du bitcoin en particulier), la technologie de la chaîne de blocs, plus connue sous le nom de blockchain, a été taillée pour orchestrer et fiabiliser les transactions virtuelles. Elle s'articule autour d'une sorte de grand livre de compte informatisé et distribué à travers un réseau. De par son caractère décentralisé, une blockchain permet de s'assurer de l'intégrité et de l'historique des transactions. "Chaque utilisateur peut vérifier qu'un échange n'a pas été falsifié en comparant son exemplaire de la chaîne avec celui des autres", rappelle Pierre d'Huy, consultant en sécurité informatique au sein de l'ESN Devoteam.
Outre les crypto-monnaies, les systèmes de blockchain sont désormais de plus en plus sollicités pour sécuriser d'autres types d'actifs virtuels. "Les cas d'application sont très variés. Le Luxembourg Stock Exchange utilise par exemple une blockchain pour signer électroniquement les documents financiers qu'il publie. Dans un tout autre domaine, le cadastre honduréen a recours à cette technique pour horodater ses modifications, avec pour objectif d'éviter les projets immobiliers sauvages et in fine la corruption", égraine Pierre d'Huy. "Dans le secteur de l'éducation, on relève aussi des projets basés sur des chaînes de blocs pour assurer la traçabilité des diplômes et garantir aux recruteurs leur authenticité."
Ubériser les tiers de confiance
Plus globalement, tout document dématérialisé ou toute donnée transitant par un système d'informations pourrait bénéficier d'une blockchain pour être certifié et tracé. L'objectif étant, au final, de doter le contenu d'un certificat susceptible de le protéger contre toute modification non-autorisée, et ce tout au long de son cycle de vie. C'est dans cette optique que l'éditeur de logiciels Acronis intègre depuis peu la blockchain d'ethereum à trois de ses applications phare (Acronis Storage, Acronis Backup et Acronis Files Cloud). L'Américain entend ainsi ubériser les tiers de confiance. "Certifier l'authenticité d'un document en passant par un tiers de confiance coûte entre 1 et 10 dollars en fonction du volume de fichiers concernés. Avec une blockchain, cela revient à moins d'un cents", calcule Laurent Dedenis, chief growth officer (CGO) d'Acronis. "Plus précisément, nous avons estimé ce coût à 0,40 euro par transaction ethereum contenant environ 5 000 documents certifiés. Sachant que cette enveloppe va continuer à baisser rapidement."
Acronis identifie dès lors plusieurs scénarios d'usage de la blockchain dans la sécurité les systèmes d'informations. "A l'heure de l'économie numérique, les données sont amenées à transiter de plus de plus d'une entreprise à l'autre : d'un client vers un fournisseur, entre partenaires... Avec l'avènement de la virtualisation et des containers, elles vont en parallèle pouvoir aisément passer d'un cloud à l'autre. Les besoins en matière de traçabilité sont par conséquent en train d'exploser. La blockchain apporte une vraie solution à ces problématiques, à la fois peu chère et fiable", insiste Laurent Dedenis. "La blockchain peut notamment permettre de certifier que les événements enregistrés dans un système n'ont pas été corrompus, typiquement en vue d'un audit. Ou encore de lutter contre la fraude, dans le secteur de l'assurance santé par exemple, en donnant la capacité aux acteurs de partager des jeux de données - pour s'assurer qu'un remboursement n'a pas été réalisé deux fois."
"Dès qu'elle sera reconnue juridiquement, la blockchain pourra remplacer les notaires"
Reste une limite : les données certifiées par le biais d'une blockchain ne sont, pour l'heure, pas opposables devant un tribunal, les technologies de chaîne de blocs n'étant pas reconnues juridiquement (par aucun pays) comme moyen de signer électroniquement. "Dès que cette étape sera franchie, la blockchain pourra remplacer les notaires. Ce qui sonnera l'heure d'une adoption à grande échelle", prédit Laurent Dedenis.
Pour répondre à ce vide juridique, Docapost, filiale de services numériques de La Poste, s'est, elle, saisie de la problématique en sens inverse. Elle propose une solution agréée par le Service Interministériel des Archives de France pour certifier l'ensemble des documents rattachés aux transactions réalisées via des blockchains. "Baptisée Archivage Blockchain, notre offre permet à tout fichier associé à de telles transactions, documents contractuels ou autres, d'acquérir une valeur juridique et probatoire. Ce que la blockchain ne peut fournir pour le moment", résume Olivier Senot, directeur du développement des nouveaux services dématérialisation de Docapost.
Un rempart contre le piratage ?
Concernant les apports de la blockchain en matière de sécurité informatique, un autre domaine est souvent évoqué : l'IoT. Face à la multiplication des piratages d'objets connectés (souvent dans le but de les utiliser comme relais pour orchestrer des attaques contre des sites web), la blockchain est mise en avant par certains comme solution miracle. Elle pourrait permettre de doter les objets de certificat pour communiquer entre eux sans passer par une plateforme centrale, limitant ainsi les risques d'intrusion. "C'est dans cette optique qu'IBM a introduit la dimension de blockchain à son offre Watson IoT", illustre Pierre d'Huy. "Notons toutefois que le stockage d'une chaine nécessite de la capacité informatique, et créer un bloc sur une blockchain publique implique également des ressources de calcul souvent supérieures à celles de la plupart des terminaux IoT. On imagine mal ce type d'application pour une flotte de milliers de lampes connectées par exemple. En revanche, cela parait réaliste d'y recourir pour sécuriser des devices avec plus de ressources machine, comme des équipements réseau tels que des routeurs ou des commutateurs."
Un levier pour limiter les d'attaques dites de "man in the middle" ou de "spoofing"
La blockchain pourrait répondre encore à d'autres enjeux de sécurité IT. "Son caractère décentralisé, anonyme, peer-to-peer et chiffré pourrait lui permettre de limiter les cas d'attaques dites de "man in the middle" (le piratage d'un flux entre plusieurs serveurs, ndlr) ou de "spoofing" (l'usurpation d'identité, ndlr)", envisage Sébastien Gest chez Vade Secure, un spécialiste français de la sécurité des emails. Le tech evangelist évoque notamment deux projets faisant appel aux chaînes de blocs pour crypter les échanges entre messagerie : Cryptamail et Switch. Reste à savoir si ces solutions ont un avenir. "Des outils de chiffrement de mails, comme PGP, existent déjà depuis longtemps, mais sont très peu utilisés", rappelle Sébastien Gest. Quant aux éditeurs d'antivirus ou d'antimalware, ils n'ont pas encore trouvé ce que la blockchain peut apporter à leurs produits. "Aujourd'hui, aucune application en matière de blockchain ne permet d'évoluer dans la détection d'attaques de malware, ransomware, phishing, spear-phishing", constate Sébastien Gest.
Attention, la blockchain a aussi ses faiblesses. Une chaîne de blocs pourra en effet être rompue si un nombre suffisamment grand de machines associées à son réseau ont été compromises. C'est ce qui est advenu en juin 2016 au collectif The DAO, une "organisation autonome décentralisée" mettant en œuvre la blockchain d'ethereum. L'attaque s'était traduite par un détournement de 3 millions d'ETH, l'équivalent alors de 50 millions de dollars. "Une évolution d'ethereum, plus robuste, a été lancée dans la foulée. Cet épisode a eu le mérite de montrer que la blockchain, comme toute technologie, n'est pas inviolable", insiste Pierre d'Huy.