Enquete

Les maillons faibles de la blockchain

| mise à jour

La blockchain est partout présentée comme un substitut technologique aux tiers de confiance aujourd’hui impliqués dans des transactions multipartites et complexes. Mais, dans les faits, se fier à une blockchain sans vérifier la validité des données qui y sont entrées ou la pertinence du smartcontract qui la régit s’avère un pari des plus risqués...

(Source: marianamaphoto / iStock)
(Source: marianamaphoto / iStock)

Faut-il y aller ou ne pas y aller? Louper le train de la blockchain aujourd’hui serait-il aussi grave que ne pas monter dans le wagon internet dans les années 90-2000? Des questions que de nombreux dirigeants se posent tant le sujet est devenu trendy. Ainsi, à l’échelle mondiale 33% des cadres disent s’y intéresser tandis que 66% des CIO se pencheraient sur la question. En Suisse, les entreprises des secteurs du transport et de la distribution se montrent les plus matures sur le sujet. Et pour cause: la blockchain porte les promesses d’une confiance établie entre les nombreuses parties prenantes d’une supply chain.

Le tiers de confiance bouge encore

Qui a produit quoi où? Qui a transformé ce produit et comment? Qui l’a transporté et dans quelles conditions? Autant d’informations nécessaires à assurer au client final que la viande dans la barquette présentée en rayon est bien une entrecôte de bœuf Angus bio élevé en Suisse et que la chaîne du froid a été respectée du champ au magasin. Stockées dans la blockchain, les données des producteurs, des industriels et des transporteurs impliqués deviennent indélébiles. Ce qui présente un grand intérêt… à condition que ces informations soient justes! «Attention, la blockchain peut être très dangereuse. Elle ne garantit pas la véracité des données, prévient Guy Escarfail, en charge du projet SGS Transparency-One. Blockchain peut être synonyme de «garbage in, garbage out»: si vous y entrez des données qui n’ont pas été vérifiées, vous gravez dans le marbre des informations qui peuvent être incorrectes.» Le géant genevois de la certification ne craint donc pas d’être disrupté par la blockchain et y voit même des opportunités business.

Le Dr. Urs Karrer, Associate Partner & Digital Consulting Lead pour IBM Global Business Service, ne se voile pas la face: «comment authentifier l’information saisie est un sujet», admet-il. Mais selon lui, les solutions à ce problème seront bientôt offertes par la technologie «de la même manière que la vidéo surveillance et les autres outils de contrôle ont disrupté le business d’entreprises de la sécurité.» Big Blue a d’ailleurs présenté mi-mars les «cryptoanchors» comme l’une des 5 technologies qui «auront le plus grand impact sur la vie quotidienne au cours des cinq prochaines années.» Ces ancres cryptographiques imaginées par les chercheurs de l’entreprise américaine regroupent sur un carré de 1 millimètre de côté une cellule photovoltaïque, de la mémoire, des led et «plusieurs centaines de milliers de transistors.» IBM affirme que ce «plus petit ordinateur du monde» coûtera «moins de dix cents à fabriquer» et pourra être intégré à tous les produits susceptibles d’être contrefaits: aliments, médicaments (la cryptoanchor peut être comestible), composants électroniques ou articles de luxe.

Objets connectés et puces à encre

En scannant cette ancre avec son smartphone le client final pourrait ainsi vérifier l’authenticité de son produit. Bien entendu, les informations stockées et modifiées sur ces cryptoanchors pourraient également être enregistrées sur la blockchain. Big Blue a également présenté une variante de ce dispositif d’authentification qui encode les informations liées au produit qui le porte à l’aide de points de couleurs. Une goutte d’eau placée sur cette puce active l’encre créée par IBM et révèle 32 points qui, sur 8 couleurs, contiennent 152 bits de données. «Le nombre de combinaisons est suffisant pour étiqueter tous les tests de paludisme individuellement pour les 2 trillions d’années à venir», avance l’entreprise.

Dans son laboratoire d’Yverdon-les-Bains, la start-up Ambrosus cherche elle aussi à automatiser la saisie des data dans la blockchain pour lutter contre la fraude et la contrefaçon. Elle développe des objets connectés qui, placés par exemple sur une palette, viendraient inscrire dans la blockchain les conditions (température, humidité, lumière, durée...) dans lesquelles voyagent les produits transportés. Dès lors, plus besoin de faire confiance à un opérateur qui entre ces données à la main ou de payer les services d’un certificateur. Reste le problème du premier maillon: difficile de mettre un séquenceur d’ADN, un analyseur de composants chimiques connectés et un GPS sur chaque morceau de bœuf ou, pire, sur chaque olive pour garantir que la matière première est bien de la bonne race ou variété, bio et made in Suisse. Sur ce point, «au tout début de la chaîne, il faut faire confiance au producteur», admet Stéphane Ballmer, Lead engineer chez Ambrosus.

Parlez-vous le smartcontract?

Au-delà de cette nécessaire prévalidation des informations, confier ses données ou même son argent à une blockchain c’est faire confiance à un algorithme régissant les échanges qui ont lieu sur cette blockchain, et donc à un code. Or, qui peut se targuer d’avoir l’expertise pour valider de la régularité du code informatique sur lequel se base une blockchain? Bien peu de monde. Il faudrait alors s’appuyer sur les compétences d’un développeur professionnel capable d’analyser le code en question et de le certifier… ce qui revient de nouveau à faire confiance à un tiers.

Un problème que pointe le PDG de True Link, entreprise californienne offrant des services financiers aux personnes qui ont des difficultés à gérer leur argent (seniors et handicapés). Dans un billet publié sur Medium début avril, il explique que «s’il est vrai qu’il est difficile d’altérer les données stockées sur une blockchain, il est faux de penser que la blockchain est un bon moyen de créer des données intègres.» Selon lui, «dans le monde de la blockchain les individus ne s’appuient plus sur la confiance aux autres ou la réglementation, ils deviennent, volontairement, responsables de leur propre sécurité. Et si le logiciel qu’ils utilisent est malveillant ou bogué, ils auraient dû lire le code plus attentivement.» Ce qui implique la compétence pour le faire. Il ne s’agit pas ici de prendre le temps de déchiffrer les petites lignes d’indigestes conditions d’utilisation mais bien d’examiner du code, ce qui nécessite des connaissances pointues.

Cette fragilité dans l’édifice blockchain a été à l’origine de l’un des plus gros scandale du cryptomonde naissant: celle de l’entreprise DAO créée en mai 2016. Entièrement virtuelle, sa gouvernance et son fonctionnement étaient automatisés et programmés sur la plateforme blockchain publique Ethereum. Un mois plus tard, l’un des membres de DAO (possesseurs de tokens de l’entreprise) avait profité d’une vulnérabilité dans le code pour s’emparer de 50 des près de 150 millions de dollars levés par la compagnie. L’événement avait contraint la communauté Ethereum (distribuée par nature) à prendre une mesure centralisée pour liquider DAO et empêcher l’habile opportuniste de récupérer son butin. Même si le hold-up était gigantesque, la question de la légitimité de ce changement de règles se pose malgré tout. L’auteur de ce hack (qui ne s’est jamais fait connaître) a respecté les règles et n’a qu’exploité une imperfection dans le code accepté par tous les détenteurs de parts de DAO. Dès lors, est-il en tort?

Une usine à gaz?

Là encore, le Dr. Urs Karrer se veut rassurant: «Les blockchains d’échange de cryptomonnaies et celles consolidant une supply chain sont différentes. Les participants ne sont pas anonymes et la gouvernance est claire. Sur une chaîne logistique, le smart contract automatise les termes d’un contrat qui existe dans le monde physique, entre une entreprise et ses fournisseurs.» Dans les faits, la chose n’a pas l’air si simple à mettre en place. La Société Internationale de Télécommunication Aéronautique s’en est rendu compte. Basée à Genève, la Sita est le leader mondial de la gestion des systèmes informatiques liés au transport aérien (passagers, bagages, suivi du trafic, maintenance, frontières). Convaincu que la blockchain pourrait éviter des situations conflictuelles en fournissant aux différentes parties une unique et incontestable version de la réalité sur l’état des vols, le Sita Lab a testé l’inscription des informations en provenance de British Airways et des aéroports de Londres Heathrow, Genève et Miami sur une blockchain baptisée FlightChain.

Ce test a fait prendre conscience à la Sita d’un manque de maturité et de convivialité des technologies actuelles, qui rendrait complexe leur déploiement à de nombreux participants, notamment s’ils n’intègrent pas tous le réseau en même temps. Les mises à jour du smart contract seraient un véritable casse-tête. A petite échelle, ce contrat numérique interdit juste à l’aéroport de Genève d’intervenir sur les données concernant un vol entre Heathrow et Miami. Mais à plus grande échelle? Suite à cette expérience, la Sita a invité l’Association internationale du transport aérien (IATA) et le Conseil international des aéroports (ACI) à se pencher sur la question. Un smart contract est en effet déterministe. Il ne laisserait plus les possibilités d’interprétation permises par les standards publiés par ces deux organismes.

Autant de limites et difficultés qui font planer le doute sur les chiffres grandiloquents d’adoption de la blockchain publiés mois après mois par les sociétés de conseil et autres consultants en stratégie numérique. Pour en avoir le cœur net, ICTjournal a mené, fin 2017, sa propre enquête en Suisse romande auprès d’une vingtaine de responsables informatiques d’entreprises de tous secteurs: un tiers n’y voit aucun intérêt, deux tiers y réfléchissent et seul l’un d'eux a un projet pilote en cours.

Tags
Webcode
DPF8_112185