Etude d’un nouveau système bancaire avec la technologie blockchain

 Une blockchain ou une chaine de blocs, est une manière de stocker des
informations de façon distribuée, sans organes de contrôle centralisé.
Toutes les personnes ayant accès à cette blockchain peuvent y rajouter
des informations qui si elles sont validées par une majorité des nœuds du
réseau, serons intégrées à la chaîne. Chaque action effectuée depuis la
création de la blockchain y est répertoriée. Donc il s’agit d’une base de
données décentralisée, et impossible à altérer (très difficile au sens
cryptographique).
 Hyperledger
 Plus connue en tant que technologie sous-jacente aux différentes
cryptomonnaies comme Bitcoin, Ether, ou le Monero.
 La chaine des cryptomonnaies agissent comme des livres de compte
d’une banque, mais il n’y a pas d’organisme centralisé chargé de valider
chaque transaction.
 Caractéristique de la Blockchain peut être privée, hybride, ou publique
 Ces chaînes peuvent être utilisées pour adresser plusieurs
problématiques de la sécurité informatique. Dont trois thématiques :
 Intégrité des données
 Protection contre des attaques DDoS
 Authentification
 Elle s’appuie sur la transparence de l’information pour garantir l’intégrité
des données
 Pour compromettre une blockchain il faut que 51% des nœuds du
réseaux soient contrôlés par une entité malhonnête.
 Le Blockchain, ou grand livre distribué, est un protocole technologique
qui permet d’échanger des données directement entre les différentes
parties contractantes au sein du réseau et ce sans passer par des
intermédiaires. Chaque transaction est communiquée à tous les nœuds
du réseau et, une fois vérifiée et confirmée, est ajoutée à une chaîne de
transactions immuable.
 La technologie du Blockchain repose sur la cryptographie à clé publique
et des primitives telles que les signatures numériques et les fonctions de
hachage, ce qui peut donner une fausse impression de sécurité. Le fait
que tous les protocoles cryptographiques ont leurs limites et que la
sécurité globale comprend non seulement la technologie, mais
également les personnes et les processus, est souvent négligé par les
analyses de sécurité du Blockchain.
 Comprendre la criticité des données et des processus
La première étape consiste à comprendre la sensibilité des données qui sont stockées et
traitées dans le Blockchain. En comprenant les implications réglementaires et en
réalisant une analyse d’impact pour l'entreprise, il est possible de déterminer
l'importance de la confidentialité, de l'intégrité et de la disponibilité des données.

 Créer un modèle de menaces

En second lieu, l'analyse doit prendre en compte les menaces traditionnelles liées à
l'infrastructure de clés publiques et au développement des applications, comme la
compromission des clés et les erreurs de programmation. Il faut également identifier les
vecteurs d'attaques propres au Blockchain pour l'application donnée. Ceux-ci
comprennent le détournement du consensus, le déni de service distribué (DDoS),
l'exploitation du Blockchain avec autorisation, l'exploitation des contrats intelligents et le
piratage de portefeuille (5). Il est alors possible de répertorier les scénarios de risque et
d'évaluer leur probabilité et leur impact.

 Sélectionner les contrôles de sécurité

La dernière étape est la sélection des contrôles de sécurité qui tiennent compte des
risques identifiés. Un certain nombre de bonnes pratiques de sécurité traditionnelles
peuvent être mises en œuvre. Celles-ci comprennent une gestion solide des clés de
chiffrement, la révision du code source, le chiffrement des données, le contrôle d'accès
et le monitoring de la sécurité. En outre, on peut mettre en place des techniques propres
à la technologie Blockchain, comme la gestion de portefeuille sécurisé, la gestion de
chaîne avec autorisation et le développement de contrats intelligents sécurisés. Enfin, il
est important de garder à l'esprit que les individus, les processus et la technologie jouent
un rôle clé dans la bonne protection des applications utilisant le Blockchain. Par exemple,
les conséquences du piratage de la DAO mentionné ci-dessus auraient pu être limitées si
une structure de gouvernance et un processus approprié d'intervention en cas d'incident
avaient été mis en place.
Dans la même veine que Namecoin on peut noter le projet Certcoin, porté par le MIT, qui
propose d’agir comme une PKI décentralisée. La solution la plus répandue aujourd’hui pour
vérifier l’identité d’un site Internet est l’utilisation de certificats, émis par une autorité de
certification (certificate authority, ou CA). Une CA agit comme un tiers de confiance qui porte
la responsabilité d’émettre, de signer, et de révoquer des certificats permettant d’associer un
nom (comme une adresse électronique ou un enregistrement DNS) avec une clé publique.
Comme toute la sécurité repose sur la confiance accordée à ces autorités de certification,
cela peut poser certains problèmes car ces dernières peuvent être compromises. En
décentralisant, l’utilisateur n’a plus à accorder toute sa confiance à une CA, mais peut partir
du principe qu’un enregistrement de la chaîne (un couple clé publique – nom de domaine)
est valide à partir du moment où la majorité du réseau est honnête. Pour compromettre le
réseau et modifier un enregistrement existant, un utilisateur malicieux doit disposer de plus
de puissance que les utilisateurs honnêtes. Une initiative comme REMME reprend le
principe de PKI décentralisée pour authentifier les utilisateurs. REMME veut éliminer les
mots de passe en fournissant à chaque équipement (ordinateur, smartphone) un certificat
TLS/SSL, dont les données seraient stockées sur une blockchain.d Le marché évoluant très
rapidement, il sera intéressant de voir l’évolution de la technologie blockchain dans les
prochains mois, en particulier les futurs usages en sécurité de l’information.