Actualité web & High tech sur Usine Digitale

La Blockchain pose de sérieux problèmes de confiance, de droit... et de sécurité

Twitter Facebook Linkedin Google + Email
×

Analyse Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur la Blockchain et les problèmes de droit que soulève son usage. 

La Blockchain pose de sérieux problèmes de confiance, de droit... et de sécurité
La Blockchain pose de sérieux problèmes de confiance, de droit... et de sécurité

L’annonce d’un grand chambardement

La blockchain, ou chaîne de blocs, est née avec le Bitcoin, crypto-monnaie sulfureuse qui s’est développée depuis 2009 dans le web profond avec l’anonymat qui la caractérise. C’est ce qui a sous-tendu son développement et sa valorisation monétaire (environ 600 € pour 21 millions d’unités au total). Aujourd’hui, qui ne connaît pas la blockchain ?

 

On est largement sorti du discours des seules entreprises Fintech, les medias et les politiques parlent de la Blockchain en tant que technologie de rupture ("disruption") qu’elle provoquera avec le développement de ses applications dans tous les secteurs d’activités, privés et publics.

 

L’Union européenne (Commission et Parlement) observe, avant de proposer des solutions de régulation. En d’autres termes, cette rupture envisage la fin des tiers de confiance traditionnels (banques, notaires, huissiers de justice, etc.) et des intermédiaires (y compris les plates-formes comme Uber ou eBay).

 

Une technologie de confiance ?

Lorsque l’on parle de LA blockchain (la technologie utilisée), il n’est pas question de parler d’UNE blockchain en particulier (Bitcoin ou Ethereum). De la même manière, lorsque l’on parle d’un nœud d’une blockchain ou d’un smart contract associé (comme dans la DAO), il ne faut pas le confondre avec la blockchain sous-jacente. Or, selon la majorité des promoteurs de la blockchain la confiance repose exclusivement sur la technologie.

 

C’est là que le bât blesse. En effet, il est raisonnable de penser que l’obsolescence de la technologie est programmée spécialement en ce qui concerne les algorithmes cryptographiques utilisés (quid pour les usages supérieurs à 10-15 ans ?) ou encore qui est responsable des clés privées de signature sans autorité de certification identifiée (notamment en vertu du Règlement européen eIDAS pour l’identification et la signature électronique).

 

Rappelons que la technologie est par nature faillible : ("Code is Bug" ?). Depuis Netscape en 1995, jusqu’aux grands comptes aujourd’hui comme Google ou Facebook, des programmes de bug bounty sont proposés en permanence à des chasseurs de primes (hunters) afin qu’ils fassent remonter les vulnérabilités et failles de leurs systèmes. Pourquoi pas dans les blockchains ? Mais alors vers qui et qui décide et réalise les patches ? De plus, contrairement au protocole TCP/IP universel de l’internet, il n’existe pas de normes internationale sur la blockchain (sauf un projet de travaux à l’ISO à la demande de  Standards Australia), ni d’interopérabilité entre les chaînes.

 

les Eléments de la confiance en question

Généralement, la confiance est considérée comme la croyance ou la foi dans la fiabilité d’une personne ou d’un système. En principe, cette confiance repose sur un triptyque : technique, organisation et droit. Avec la blockchain, on nous demande de croire en la seule technologie : "code is law", bref sur un système reposant sur un tabouret disposant d’un seul pied, voire un et demi (l’organisation décentralisée) !

 

Ce qui n’est pas la seule surprise de cette technologie, notamment sur le plan juridique : une gouvernance sans personne morale (qui est responsable en cas de problème ? quelles garanties ?) ; un (ou des) smart contrat qui sont des applications informatiques exécutables automatiquement et qui ne répondent pas à la définition classique du contrat (identification, consentement) ; des preuves (preuves de travail ou de détention) qui ne sont pas des preuves d’actes juridiques, sauf qualification légale contraire, mais des preuves de faits relevant de la preuve libre.

 

Et pour couronner le tout, l’autorégulation comme aux premières heures de l’Internet avec sa déclaration d’indépendance de l’EFF de 1996 soutenant la thèse selon laquelle les Etats ne doivent pas avoir d’emprise sur l’internet sous peine de freiner l’innovation. Il en irait de même avec la Blockchain. On a vu ce qu’il est advenu de ces idées au cours des deux dernières décennies. A notre avis, légiférer trop tôt (avant que le marché n’existe vraiment) serait totalement inapproprié, car la fonction du droit consiste à réguler les abus, et non pas à anticiper les usages. De plus, l’encadrement juridique de la gouvernance devrait résulter des statuts de la personne morale et du règlement intérieur ce qui n’est pas du code au sens informatique.

 

les leçons de la faille de la DAO

Après le scandale retentissant de la plate-forme d'échange DAO, dans la nuit du 16 au 17 juin 2016, ce qui devait arriver arriva. Un individu (ou un groupe) a exploité une faille dans le code d’un "smart contract" d’une organisation autonome décentralisée ("DAO") développé par Slock.it qui s’appuie sur la blockchain Ethereum et utilise sa monnaie virtuelle les ethers. Sa mission est de faire du crowfunding en vue de financer des projets d’internet des objets (OIT) et de voitures intelligentes. Finalement, le préjudice s’élève à près d’un tiers des 168 millions de dollars collectés, soit environ 50 millions.

 

L’attaque est significative et critique aussi bien pour les investisseurs de la DAO que pour la communauté de la blockchain. En effet, l’attaquant aurait respecté le code (informatique) de la DAO et donc "juridiquement" inattaquable. Etant donné que le système est décentralisé, la riposte n’est pas facile à organiser. Il n’existe pas d’organe central pour décider des actions à mener. Les mineurs de la DAO ont jusqu’au 14 juillet pour choisir la solution définitive par un vote. A défaut, l’individu pourra récupérer son butin au préjudice des investisseurs détenteurs des tokens.

 

Deux solutions se dégagent pour résoudre le problème. D’une part, la soft fork qui est une sorte de solution d’attente – wait and see – dont le but est de geler les transactions en bloquant les ethers correspondants (ce qui est le cas actuellement). Cette solution est a priori exclue pour des raisons de sécurité. D’autre part, le passage à une hard fork qui consiste à modifier le code de la blockchain afin de récupérer les ethers "siphonnés" et de les redistribuer à leurs "légitimes" détenteurs.  Mais en clair, cela signifie que l’on reviendrait sur un principe fondamental de la blockchain : l’immuabilité du code (Code is law).

 

Alors application du principe de réalité, ou maintien du dogme ? La faille du système réside essentiellement dans sa gouvernance (inexistante ou incertaine). La question ne se poserait pas dans une blockchain non publique (de consortium ou privée), dans la mesure où la sécurité, le contrôle et les décisions relèveraient de l’organe central (une personne morale) investi de la gouvernance, mais aussi qui engagerait sa responsabilité.

 

Quelles perspectives ?

L’objectif de cet article n’est pas de nier toute valeur à la blockchain mais de la repositionner dans un cadre de confiance. En effet, si la perte de la DAO s’avère effective, se posera alors la question du dédommagement des investisseurs, voire des poursuites engagées contre l’individu malveillant. Encore faudra-t-il établir un intérêt à agir contre lui au pénal ou au civil, mais étant donné que la DAO ne dispose pas de la personne morale, chaque investisseur devra prouver la faute du siphonneur, son préjudice afin de mettre en jeu sa responsabilité (devant quelle juridiction et selon quel droit ?).

 

On le voit, les blockchains nécessitent d’acquérir une certaine maturité et le droit ne peut être omis de la réflexion et de la démarche projet. Place aux technojuristes pour sécuriser les blockchains. A l’instar d’Ulysse, il faut résister au chant des sirènes qui nient certaines réalités juridiques, organisationnelles ou de gestion de la sécurité. Il en va de la confiance du marché dans les blockchains. Vive la blockchain, mais pas n’importe comment !

 

Eric A. Caprioli, Docteur en droit,, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

4 commentaires

jako

10/07/2016 12h02 - jako

3 remarques: 1- vous confondez le concept de DAO et 'The DAO'. Une DAO est une forme d'organisation décentralisée basée sur les smarts contracts. 'The DAO' est le nom donné pompeusement à la première DAO. C'est 'The DAO' qui a été hacké car son smart contract présentait des failles de sécurité. Cela ne veut pas dire que le concept même de DAO a été hacké. Il faut donc parlé du "scandale retentissant de la plate-forme d'échange THE DAO". 2- concernant l'obsolescence de la technologie. Avec l'arrivée future des ordinateurs quantique, l'algo de signature digitale (elliptic curve digital signature algorithm) va péter, Probablement pas le proof of work car il suffira d'augmenter proportionnellement la difficulté. Mais si l'algo de signature pète, ce ne sont pas les blockchains qui vont seulement en patir mais quasiment tous les softwares et compagnies qui utilisent la signature digitale (système bancaire, systèmes de cartes de crédit etc.). Il en va de même pour le SHA256, si quelqu'un est capable de trouver une 'collision' dans le SHA256 et le rendre obsolète, ne vous inquiétez pas, beaucoup d'autres systèmes plus largement utilisés seront caduques bien avant les blockchains. 3 - "L’objectif de cet article n’est pas de nier toute valeur à la blockchain mais de la repositionner dans un cadre de confiance." Désolé de dire cela, mais il semble que vous ne cernez pas la raison d'être du Bitcoin et de la technologie sous-jacente qu'est la Blockchain. Le but de cette technologie est de communiquer de la valeur justement SANS tiers de confiance. Les solutions aux problèmes dont doit faire face ces technologies doivent et seront trouvées dans toujours dans ce cadre: 'sans tiers de confiance'. Ethereum et le hack de 'The DAO' en est la preuve. "Code is law" mais aussi le "consensus distribué fait loi" C'est de façon collective et distribuée que la communauté Ethereum cherche une solution au problème de The DAO en proposant aux gens de forker la blockchain Ethereum. Qui décide? Qui est juge? Qui dédommage? Tout le monde, tous les participants. S'il y a un cadre juridique a trouvé c'est de façon distribué et décentralisé et au coeur même de ces systèmes qu'il le sera.

Répondre au commentaire | Signaler un abus

Vu Tien

11/07/2016 11h08 - Vu Tien

Vos 3 remarques sont pertinentes et j'y souscris. Ceci étant, je trouve que pour des juristes, les auteurs de cet article sont remarquablement pertinents et ne racontent pas de bêtises flagrantes comme on en lit, écrites par des journalistes, dans d'autres revues généralistes.

Signaler un abus

Anaxagore

11/07/2016 12h15 - Anaxagore

Oui Oui et Re Oui ! C'est ce que je note - je vois surtout une volonté de déformer / tordre l'idée de la BC pour "remettre la main dessus" par ... roulement de tambours ... les actuels tiers de confiances (fonctions juridiques et/ou autres secteurs réglementés) De plus, dire que la technologie d'aujourd'hui sera dépassée par celle de demain et en faire un argument pour ne rien faire (i.e. rester sur la même structure de confiance) est intellectuellement frauduleux - évidemment et heureusement que tout cela va évoluer et comme le fait remarquer Jako bien des systèmes seront obsolètes demain (... enfin c'est évident ...) et ce bien avant la BC ! Un système distribué basé sur la preuve de travail est une idée "A-technologique" - la BC est un moyen technique pour mettre en œuvre ces principes à grande échelle et ce moyen évoluera, naturellement - en gros on uberise les tiers de confiance (pour reprendre des termes à la mode) et c'est justement la disparition des tiers de confiance qui va améliorer la "sécurité" du système ... et c'est bien le problème (enfin le leur) Par ailleurs le Hack, je rejoins à nouveau JAKO, n'est pas une faille du système mais de la transaction (avec un "la")- l'intégrité (enfin de ce que j'ai compris ... je ne suis pas expert technique :)) de la plateforme ou chaine n'est pas atteinte - c'est effectivement un ralentissement et un pbl de rémunération de la transaction. Bon, je finis avec un troll un "Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies" porte un parti-pris sur la réglementation - ce paragraphe est édifiant : "La faille du système réside essentiellement dans sa gouvernance (inexistante ou incertaine). La question ne se poserait pas dans une blockchain non publique (de consortium ou privée), dans la mesure où la sécurité, le contrôle et les décisions relèveraient de l’organe central (une personne morale) investi de la gouvernance, mais aussi qui engagerait sa responsabilité." --> ce qui est faux et qui est une tentative (en gros) de la mise en place de tiers de confiance qui va à l'encontre des principes fonctionnels de la blockchaine et de sa valeur sur le plan technologique (enfin de mon point de vue en tout cas :))

Signaler un abus

Mateo

29/09/2016 07h14 - Mateo

Merci pour tous ces éclaircissements. Cette faille de The DAO a montré un point de fragilité et a fait perdre de l'argent aux participants de cette communauté. C'est indéniablement un point faible. Il n'y a bien évidemment pas de systèmes parfaits et nous connaissons tous le chant des sirènes. Mais le système financier actuel des banques et de leurs systèmes opaques a aussi ses travers : divers scandales financiers nous ont montré au moins un point faible du système actuel, et il me semble que toutes les communautés de ce système (les Etats, donc les contribuables) l'ont payé. Un dispositif ou un autre , ça se vaut ?

Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale