GlobalSign Blog

Blockchain et risque cyber : le jeu en vaut-il la chandelle ?

Blockchain et risque cyber : le jeu en vaut-il la chandelle ?

Depuis ces dix dernières années, la blockchain enflamme les esprits comme nulle autre technologie. En effectuant les transactions de manière sécurisée, avec un registre complet des transactions réalisées, la blockchain est devenue attractive. Elle a même transformé certains secteurs comme le commerce électronique avec des paiements plus rapides et plus sûrs, et une amélioration du traitement des commandes.

Ces derniers temps, la presse s’est toutefois fait l’écho de récits d'escroqueries et d'activités illégales autour de la blockchain, une mésaventure chassant l'autre. On peut donc se demander si le secteur ignore délibérément les risques élevés en matière de vulnérabilités et de failles de sécurité, pour privilégier la perspective d’énormes gains potentiels.

Nous avons décidé d’approfondir la question et de nous pencher sur le secteur de la blockchain. Objectif : déterminer si le sentiment d'invincibilité face aux cyberattaques malveillantes se justifie ou non. Que se passe-t-il lorsque ce secteur baisse la garde ? Pour le savoir, lisez la suite.

Les avantages de la blockchain : cas d'utilisation potentiels pour la cybersécurité

Avant d'évoquer les risques élevés de vulnérabilités et de failles de sécurité dans la blockchain, revenons sur les atouts potentiels de cette technologie.

Transmission sécurisée des données

Aujourd'hui les données sont omniprésentes. Leur analyse aide les entreprises à prévoir avec précision les tendances et les évolutions du marché. Ce sont les données qui constituent le lien entre data science (« la science des données ») et la blockchain (« les chaînes de blocs »). Si la data science est axée sur le volet prévisionnel, la blockchain présente un intérêt pour l'intégrité des données.

Pour 80 % des professionnels de la data, les changements qui impacteront le plus le stockage et la transmission sécurisés des données au cours de notre décennie viendront de la blockchain. La raison ? Grâce à une fonction de chiffrement innovante qui empêche tout accès non autorisé aux données pendant leur transit, la blockchain est capable de protéger les données et de barrer la route aux acteurs malveillants. Dans la mesure où de nombreux cybercriminels exploitent les données pendant leur transit, la blockchain permet ainsi de protéger des informations essentielles.

Solutions de stockage décentralisées

Les entreprises conservent quantités d'informations sensibles sur leurs clients, et représentent, à ce titre, une cible de choix pour des hackers malveillants. Pour compliquer les choses, la plupart des entreprises utilisent encore des supports de stockage sous une forme centralisée. Il suffit alors qu’un pirate réussisse à exploiter ne serait-ce qu'un point vulnérable pour avoir un accès immédiat à une grande partie des données.

La blockchain offre aux entreprises un moyen de contrecarrer cela. Toutes les données sont alors protégées grâce à un stockage des données sous une forme décentralisée, ce qui freine, voire empêche totalement, l'intrusion de pirates informatiques dans les systèmes de stockage de données.

Sécurité de l'Internet des Objets (IoT)

L'IoT se développe au pas de charge et devrait, selon certaines prévisions, compter plus de 75 milliards de dispositifs connectés en service en 2025, soit près de trois fois plus qu’en 2019

Malheureusement, l'Internet des Objets présente un risque de sécurité majeur. Routeurs, sonnettes de porte, caméras de sécurité… les pirates informatiques exploitent souvent les faiblesses d’appareils courants de ce type pour s’introduire dans les systèmes. D’autres moyens permettent de veiller sur la sécurité de votre réseau domestique, mais sachez que la blockchain peut aussi vous aider à protéger vos appareils connectés contre les attaques.

Pour Joseph Pindar, co-fondateur de la Trusted IoT Alliance, la blockchain peut doter ces dispositifs connectés « d’intelligences » permettant de prendre des décisions de sécurité fiables, sans dépendre d’une autorité centrale. Ainsi, tous les nœuds d'un réseau qui présentent un comportement suspect ou un fonctionnement anormal pourront être fermés.

Protéger les systèmes de messagerie privée

L'un des principaux bienfaits d'Internet est d'avoir fait tomber les barrières et permis à des millions de personnes de se connecter aux quatre coins du monde. Les réseaux sociaux ont connu un formidable succès et chaque jour, de nouvelles plateformes émergent. Mais, malgré leur pertinence pour le « commerce conversationnel », ces réseaux collectent des quantités astronomiques de métadonnées chaque fois que les utilisateurs interagissent.

Problème : sur les réseaux sociaux, la majorité des personnes utilisent des mots de passe faibles et peu fiables. Malgré l’actuel débat sur la suppression complète des mots de passe, la sécurisation des profils sur les réseaux sociaux reste un chantier majeur. La blockchain, avec son chiffrement de bout en bout, s'inscrit dans ce contexte, et permet de créer un protocole de sécurité standard. Elle peut également être utilisée pour créer un cadre d’API unifié afin de proposer des fonctionnalités de communications sur les messageries instantanées.

La blockchain et ses vulnérabilités de sécurité cachées — ou pas si cachées que ça

Les avantages et cas d'utilisation de la blockchain sont, c’est certain, prometteurs pour la cybersécurité. Alors, comment expliquer qu’à peine 4 % des Américains privilégient les cryptomonnaies pour leurs investissements à long terme ? Il doit bien y avoir une raison. Même si une majorité d'Américains ignorent dans le détail ce qu'est une blockchain – d’où les nombreuses peurs que suscite cette technologie – certaines raisons peuvent légitimement pousser au scepticisme.

Pour mieux comprendre, rien de tel qu’une étude des faits concrets. L'intégrité de la blockchain dépend des méthodes de validation de ses transactions et des modèles de gouvernance du réseau, mais cela l'expose aussi à certaines attaques :

Le cas du mineur égoïste

Sur une blockchain publique, un mineur peut la jouer « perso » et faire volontairement perdre du temps et de la puissance de calcul aux autres mineurs en les orientant vers des transactions déjà validées. Le nombre de mineurs effectifs étant alors réduit, les résultats peuvent plus facilement être manipulés.

L’attaque Éclipse

La blockchain repose sur un modèle de communications avec un vaste réseau de nœuds. En cas de perturbations des communications avec ces nœuds, de fausses informations peuvent être acceptées, entraînant potentiellement la confirmation de transactions frauduleuses.

L’attaque à 51 % (Centralisation de mineurs)

Les réseaux de blockchains qui s’appuient de plus en plus sur un consensus majoritaire pour valider des transactions peuvent devenir vulnérables en cas de compromission d’un grand groupe de nœuds par des pirates malveillants. Imaginons que des cybercriminels compromettent des applications de blockchain publiques et acquièrent ou prennent le contrôle d'au moins 51 % de sa puissance de minage, ils sont alors en mesure de manipuler la blockchain.

Ce scénario est, bien entendu, très improbable dans un système robuste comprenant plusieurs utilisateurs. La situation est tout autre pour les blockchains limitées, notamment celles qui ont de petites implémentations privées. Elles sont alors très vulnérables.

Vulnérabilités de code

Nous avons évoqué plus haut les scénarios potentiels d'attaques d'intégrité de la blockchain. Il faut également compter avec le risque d'erreurs de codage puisque les applications de blockchain sont des systèmes informatiques.

Listons quelques-unes de ces vulnérabilités :

Vulnérabilités des plateformes

L'exécution des applications de blockchain sur des systèmes d'exploitation et des plateformes généralistes expose les applications de blockchains à des vulnérabilités matérielles et logicielles. Les plateformes de blockchains à usage spécifique n’y échappent pas non plus.

Les entreprises et organismes doivent employer des ressources informatiques critiques et suivre des pratiques de cybersécurité prédéterminées. Si les entreprises font assurément de leur mieux pour se protéger des cyberattaques, la probabilité de telles vulnérabilités ne peut être ignorée.

Vulnérabilités des utilisateurs finaux

Chaque interaction entre les utilisateurs et le système de blockchain ouvre la porte à d’éventuelles cyberattaques, ce qui n’est pas étonnant. Les entreprises et les organismes qui utilisent ou envisagent d'utiliser des applications de blockchain doivent donc être conscientes des vulnérabilités spécifiques aux utilisateurs finaux susceptibles de les impacter.

Attaques contre les utilisateurs (usurpation d'identité, logiciels malveillants, hameçonnage, etc.)
Pour s'infiltrer dans des applications de blockchain, les hackers malveillants mènent fréquemment des attaques généralistes contre les utilisateurs finaux afin de récupérer des données d'identification ou d'autres informations sensibles. Problème : ces attaques ne font pas que nuire à la blockchain privée avec des mécanismes de sécurité moins consensuels, mais elles peuvent également porter atteinte à la réputation sociale des victimes avec, également, des conséquences financières.

Mots de passe et authentification des appareils non fiables
Les fournisseurs de services de portefeuille électronique utilisent des mots de passe et des mécanismes d'authentification des appareils afin de limiter les risques. Mais du fait des interactions humaines, ces contrôles présentent des vulnérabilités si l'utilisateur ne prend pas toutes les précautions. Si le contrôle des portefeuilles illustre parfaitement ce qu’est une application de blockchain, il reste entaché par les problèmes de sécurité.

Gestion des clés privées
Ce n'est un secret pour personne : l'intégrité des réseaux de blockchain dépend fortement des algorithmes de chiffrement. Analysons cependant les dernières cyberattaques liées à la blockchain. Les succès d’une grande partie de ces attaques s’expliquent par les vols de clés des utilisateurs — et non par des attaques du réseau.

Lorsqu’une personne perd ou égard ses clés privées, ses actifs stockés dans la blockchain sont compromis. N'oublions pas que les clés privées ne sont pas reproductibles « by design », d'où l'importance pour les utilisateurs de surveiller leurs clés privées comme le lait sur le feu.

Conclusion

S'il ne s’agit pas de débattre ici des avantages de la blockchain, on ne peut cependant ignorer ses vulnérabilités et ses lacunes en matière de cybersécurité. Les experts en cybersécurité conçoivent de nouveaux moyens pour pallier ces failles, à l'image des récents tests de chiffrement entièrement homomorphe, mais il nous reste encore du chemin à parcourir.

Il serait irréaliste de nous croire à l’abri des cybercriminels, simplement parce que la cybersécurité améliore la transparence des transactions et mise sur le chiffrement pour renforcer la sécurité. Aujourd’hui, nous devons adopter une vision réaliste et travailler à améliorer les défauts de la blockchain. Une fois que nous y serons parvenus, nous aurons la certitude qu’un avenir plus radieux et plus sûr nous attend.

Note. NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.

 

Share this Post