Il est crucial de vérifier et d’auditer plusieurs fois les applications avant leur mise en œuvre afin de garantir qu’elles n’auront pas de comportements inattendus ou qu’elles ne possèdent pas de failles.
Quels sont les risques de sécurité de la blockchain ?
M.H. Il faut d’abord souligner qu’en ce qui concerne le protocole d’échange lui-même, la blockchain est extrêmement sécurisée. Surtout sur Bitcoin et sur Ethereum, car le système de minage fait qu’il est très difficile de revenir sur une donnée qui a été inscrite sur la blockchain. Il faut en effet dépenser une puissance de calcul très importante pour le faire, et cela a un coût élevé. Il n’y a donc pas de risque concernant la sécurité des données ancrées ou sauvegardées dans la blockchain, elles sont inaltérables. En outre, comme les mineurs sont rémunérés pour valider les transactions et ainsi faire fonctionner correctement la blockchain, ils sont les garants de son intégrité. Cela dit, les risques existent ; les principaux se situent sur deux plans : au niveau applicatif et au niveau des utilisateurs.
Quels sont les risques applicatifs ?
M.H. Ils sont liés à l’exécution automatique des smart contracts. Une fois déployés sur la blockchain, selon le principe de l’inaltérabilité du code, ceux-ci ne peuvent plus être modifiés. Il est donc crucial de vérifier et d’auditer plusieurs fois ces applications avant leur mise en œuvre, par des experts indépendants ou par l’organisation de campagnes du “bug bounty” (programmes demandant à des développeurs du monde entier de tester des bugs avant le déploiement des applications). Afin de garantir qu’elles n’auront pas de comportements inattendus ou qu’elles ne possèdent pas de failles.
De quoi s’agit-il ?
M.H. En mai 2016, le fonds d’investissement The DAO (Decentralized Autonomous Organisation), dont les règles étaient régies par des smart contracts, lève 150 millions de dollars auprès d’utilisateurs d’Ethereum. Ces derniers pouvaient voter sur des projets pour leur accorder ou non un financement. Un mois plus tard, un hacker exploite une faille de “re-entrance” dans un des smart contracts auquel l’organisation avait recours. Il siphonne ainsi 3 millions d’ether (50 millions de dollars) hors de l’organisation pour les injecter dans un autre smart contract dont il avait le contrôle. En opposition avec les principes régissant les blockchains, les développeurs de l’organisation ont décidé de corriger les effets du piratage en effectuant un “fork” (une duplication avec création d’une nouvelle chaîne) de la blockchain Ethereum. Cet événement majeur et catastrophique a attiré l’attention de toute la communauté sur l’absolue nécessité de sécuriser le code informatique des smart contracts.
Quels sont les risques liés aux utilisateurs ?
M.H. Ces risques-là sont liés aux fuites de cryptomonnaies ou aux vols. Certains utilisateurs créent des portefeuilles sur des plateformes d’échange non sécurisées sur lesquelles peuvent être récupérées leurs clés privées. Les pirates s’octroient alors la propriété de leurs comptes et émettent des cryptomonnaies de manière non contrôlée ni autorisée. Il s’agit alors, pour éviter ces risques, de stocker les tokens sur des sites sécurisés, et de générer des clés privées via des ordinateurs qui ne sont pas connectés à Internet, et à partir de librairies standard.
Existe-t-il d’autres types de risques ?
M.H. Il y a un autre risque applicatif qui relève du piratage : l’attaque à 51 %. C’est un piratage de blockchain par un membre qui s’accorde 51 % de la puissance de minage et crée ainsi une chaîne parallèle. Celle-ci ayant une puissance de calcul supérieure à la chaîne d’origine, les propriétaires des 49 % restants s’y rallient alors. Le pirate peut ainsi effectuer des transactions afin de se créditer des tokens sur les deux chaînes, c’est ce que l’on appelle du “double spending”. Mais sur Bitcoin et Ethereum, il est quasiment impossible de réaliser ce type d’attaques, car elles demandent beaucoup de puissance de calcul et sont donc très coûteuses à mettre en œuvre. Moins le pirate a de mineurs, moins il y a de puissance de calcul, et plus le risque est grand qu’une attaque à 51 % puisse se dérouler.
Quelles sont les évolutions à venir en matière de sécurisation des blockchains ?
M.H. D’une part, avec l’expérience, les membres des communautés de développeurs vont développer des smart contacts qui résistent de plus en plus aux failles. Et, d’autre part, lorsque les entreprises reconnaîtront tous les avantages à déployer des blockchains publiques, elles ne voudront peut-être plus prendre le risque de perdre des millions comme dans le cas de The DAO ; elles infléchiront alors les règles et pratiques, notamment celle de l’inaltérabilité de la donnée.
