Intervention de Ronan le Gleut

– La sécurité est probablement la caractéristique des blockchains la plus mise en avant. En effet, il semble plus ardu de pirater un registre copié sur plusieurs milliers de serveurs disséminés à travers le monde que s'il était présent sur un unique serveur centralisé. Plus une blockchain possède un réseau étendu et dispersé, plus il est difficile de modifier son code ou de faire passer une transaction frauduleuse. Ces transactions frauduleuses sont bien souvent des double dépenses, permettant qu'une même somme soit dépensée deux fois.

De ce point de vue, la longévité de la blockchain du bitcoin semble garantir l'intégrité des transactions. Pourtant, elle n'est pas exempte de failles et a déjà été attaquée. Les autres protocoles, en particulier ceux qui développent des applications complexes, sont eux aussi exposés à des attaques. Ce risque est bien souvent croissant avec leur valeur financière : plus un système est valorisé par le marché, plus il va subir d'attaques et plus celles-ci vont mobiliser de fortes puissances de calcul.

Dans le rapport, nous avons choisi de présenter les attaques possibles en les distinguant selon quatre catégories, en fonction de la nature de leur cible.

Les attaques contre les interfaces sont les plus courantes. Elles ne portent pas sur la blockchain en elle-même mais sur les plateformes qui permettent à tout un chacun d'interagir avec elle, en particulier les sites internet permettant d'acheter, de vendre ou d'échanger des cryptomonnaies. Ces attaques consistent à voler les « clés privés » des utilisateurs, celles qui leur garantissent l'utilisation de leurs monnaies. Cela s'apparente à de simples vols de mot de passe mais avec des conséquences considérables. 850 000 bitcoins ont ainsi été dérobés en février 2014 sur la plateforme japonaise MtGox, ce qui équivalait alors à 660 millions de dollars. Plus récemment, en août 2016, l'équivalent de 93 millions de dollars ont été subtilisés à Bitfinex, l'une des principales « bourses » de bitcoins. Selon une estimation, un tiers des plateformes d'échange auraient ainsi été hackées depuis 2009.

Les attaques contre les applications vont, quant à elles, utiliser les failles de systèmes plus développés, qui prennent la forme de programmes informatiques inscrits dans la blockchain, les smart contracts. Ces derniers ajoutent de la complexité dans le protocole. Par voie de conséquence, ils ouvrent de nouvelles failles, exploitables par des attaquants, d'autant plus qu'ils ont souvent été conçus très rapidement et n'ont pas subi les tests qui prévalent à la création de logiciels plus traditionnels. Le piratage de l'application The DAO (« The Decentralized Autonomous Organization »), développée sur la blockchain Ethereum, est probablement le plus emblématique à ce titre. Alors que ce projet très ambitieux avait réussi le tour de force de lever la somme de 150 millions d'euros sous forme de cryptomonnaie, il a été hacké en juin 2016. Le hacker a utilisé une vulnérabilité du programme pour détourner 5 % de l'ensemble des ethers en circulation. Comme vous l'a expliqué notre collègue Claude de Ganay, les ethers sont la monnaie d'Ethereum. Les conséquences de cette attaque ont toutefois été annulées grâce à un « hard fork », c'est-à-dire à une modification des règles applicables à la blockchain elle-même.

Certaines attaques vont plutôt détourner le fonctionnement normal du protocole. Ces attaques sont d'autant plus pernicieuses qu'une blockchain publique ne prévoit, par définition, aucun moyen de contrôle ou de sanction.

Pour une blockchain qui utilise la preuve de travail, l'attaque la plus connue est celle dite « des 51 % ». Il s'agit, pour un mineur, de réunir plus de 50 % de la puissance de calcul à un instant donné afin de pouvoir valider des blocs plus rapidement que l'ensemble des autres utilisateurs. Cela lui permet alors d'effectuer des double dépenses, c'est-à-dire de réaliser plusieurs transactions avec la même unité de cryptomonnaie. Le dernier exemple qui peut être cité est celui de la blockchain Bitcoin Gold, dont la capitalisation dépasse les 500 millions de dollars et qui a subi une telle attaque le 24 mai dernier. De ce point de vue, la blockchain du bitcoin semble particulièrement sûre : au vu du nombre de mineurs, aucune double dépense ne semble suffisamment rentable au vu des moyens à investir dans une attaque 51 %. Toutefois, un gouvernement ou une organisation, qui serait prêt à investir environ 3 milliards d'euros, pourrait mener une telle attaque à la seule fin de détruire toute confiance dans le réseau bitcoin.

Enfin, bien que le code source des protocoles de blockchain soit en accès libre et qu'il puisse donc ainsi être facilement surveillé, une faille dans le code lui-même n'est pas inenvisageable, y compris pour les plus anciens protocoles. Ainsi, le bitcoin a été attaqué avec succès le 15 août 2010 en raison d'une erreur dans le code utilisé pour vérifier les transactions. À l'époque, cette faille n'a toutefois eu que des conséquences très limitées. Elles seraient bien plus importantes aujourd'hui. De plus, les algorithmes cryptographiques ont tous une durée de vie limitée, qui est tout de même estimée au minimum à vingt ans pour la fonction de hachage du bitcoin, SHA-256. Ces attaques contre le protocole lui-même restent néanmoins parmi les moins probables car celui-ci bénéficie de la vérification collective de développeurs dans le monde entier.

Le rôle de la blockchain en tant que technologie sous-jacente des nombreuses cryptomonnaies est aujourd'hui dominant. Cependant, ses protocoles se déclinent dans de nombreux autres secteurs et pourront donner naissance à des applications nouvelles variées, dépassant le cadre strict de la finance. Peuvent notamment être cités les services d'attestation et de certification (proofs of existence) pouvant concerner l'état civil, le cadastre, les contrats de type notarié ou encore des mécanismes de protection de la propriété intellectuelle. Une autre application pourrait être les opérations de vote, sur laquelle nous revenons dans le rapport.

Une autre catégorie d'applications est celle des smart contracts, programmes informatiques inscrits dans la blockchain, qui ne sont pas des contrats au sens juridique mais qui facilitent, vérifient ou exécutent un contrat au stade de sa négociation ou de sa mise en oeuvre. Ils pourront accompagner le déploiement des objets connectés tout en garantissant la confiance dans les informations échangées entre les appareils. Cependant, la mise en oeuvre de ces cas d'usage est conditionnée à l'import et l'export d'informations. Or, nous avions souligné, en avril dernier, que de tels systèmes aboutissent au retour d'un « tiers de confiance » puisque, pour relever une température, livrer un colis, prouver la réalisation d'un travail ou donner l'heure d'arrivée d'un avion, un tiers, qualifié d'« oracle » dans l'écosystème Ethereum, doit faire le lien entre la blockchain et le reste du monde.

Je voudrais enfin aborder les ICO, Initial Coin Offerings, en français « offres initiales de monnaie », qui sont des formes de levée de fonds où les investisseurs échangent des cryptomonnaies contre des jetons, tokens en anglais. Assez proches du crowdfunding, ces levées de fonds, spécifiques à l'écosystème des cryptomonnaies, connaissent un succès absolument considérable. Elles ont représenté un total cumulé de plus de 8 milliards d'euros en mars 2018. Ce succès peut sembler peu rationnel puisque la possession de tokens n'offre aucune garantie aux investisseurs. Elles posent aussi des problèmes de transparence, d'intérêt de l'actif vendu, de spéculation, voire tout simplement d'escroqueries.

Cependant, ces ICO représentent une opportunité nouvelle pour les start-up qui évoluent dans le secteur des nouvelles technologies de l'informatique, ou deep tech. En effet, les moyens traditionnels de levée de fonds tels les crédits bancaires et le capital-risque (venture capitalism) ne répondent que rarement à leurs besoins spécifiques de rapidité et de souplesse, à la forte technicité de leurs projets et au caractère open source de leurs innovations.

Les projets financés sont, aujourd'hui encore, en grande partie propres au monde des blockchains. Certes, les ICO doivent être regardées avec prudence mais aussi sous l'angle des perspectives nouvelles de développement économique qu'elles ouvrent.