Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

Un crypto-problème de plus

Publié le

Un crypto-problème de plus
© Pixabay

La conférence Vivatech 2019 m’a donné l’occasion de débattre avec Michael Gronager, l’un des co-fondateurs de Chainalysis, une startup basée à New-York avec pour objectif à la fois d’offrir des services d’investigation sur les fraudes commises autour des crypto-monnaies mais aussi de développer des offres de sécurisation de ces échanges. Chainalysis s’est distingué en aidant à boucler en deux mois l’investigation contre les fraudes commises dans l’un des systèmes d’échange de crypto-monnaies, Mt. Gox, où plus de $420 millions ont disparus dans la nature. Depuis, Chainalysis a recruté de prestigieux clients tels que le FBI, le fisc américain (l’IRS) et Europol – et a levé dans la foulée plus de 30 millions de dollars auprès de très prestigieux fonds Venture Capital – Benchmark et Accel. Michael est l’un des très grands experts de cet univers. 

Néanmoins, au fur et à mesure de la préparation de ce débat amical, en tant qu’observateur de l’évolution de ces crypto-monnaies, de nombreux points m’ont troublé, à la fois économique, énergétique – et bien sûr, en termes de cybersécurité.

Je pourrais parler des problèmes liés au développement d’un concept de nouvelle monnaie qui par définition, pour attirer les investisseurs, ne peut promettre une baisse continue de la valeur – alors que le rôle même de la monnaie nationale depuis au moins la crise de 1929 consiste en l’injection de liquidités pour relancer l’activité et privilégier l’investissement plutôt que la rente ou l’attentisme. Son rôle est en fait de créer une situation économique où il vaut mieux dépenser aujourd’hui son billet plutôt que demain. Cela n’arrive que si à l’avenir le billet a moins de valeur qu’aujourd’hui.

Si au contraire, à l’avenir le billet a plus de valeur qu’aujourd’hui, alors les clients attendent avant de dépenser – et si tous les clients font de même, alors l’activité s’effondre. De manière caricaturale, c’est ce qui s’est passé par exemple en Allemagne sous la houlette du chancelier Heinrich Brüning entre 1930 et 1932, qui a refusé de dévaluer le Reichsmark et a essayé de le défendre via une politique d’austérité, probablement lié à la peur en Europe de l’inflation. Malgré les très fortes pressions, le Reichsmark va très légèrement s’évaluer, passant de 4.20 pour 1 Dollar en 1930 à 4.24 en 1932. Mais l’activité économique va se contracter et le chômage va exploser. Et l’histoire ne retiendra pas le nom de Brüning. On sait pourquoi.  

Je pourrais aussi parler des problèmes énergétiques liés aux crypto-monnaies. Selon PwC Pays-Bas, l’exploitation du Bitcoin réclamait l’équivalent de 62.3 TWh d’énergie en 2018, autant que l’électricité utilisée par la Hongrie (9.8 millions) ou la Suisse (8.4 millions). D’un autre côté il y aurait un peu plus de 7 millions d’utilisateurs actifs de bitcoin, soit pour exécuter des transactions (1/3) soit pour spéculer activement (2/3). Soit un peu moins que la population de la Suisse.

Donc, en faisant une estimation très grossière de coin de table, si l’ensemble de la population mondiale se mettait à l’usage des Bitcoins, nous devrions, dans l’état actuel des technologies, tout simplement doubler la production mondiale d’électricité. Là encore, le propos est caricatural : il y aurait – je l’espère – des économies d’échelles induites… mais néanmoins le défi énergétique serait immense et bien sûr devrait s’inscrire dans la nécessité de réduction du rejet de CO2.

Mais il y a un ultime problème lié aux crypto-monnaies, et qui concerne la raison première de leur développement – et la raison d’être de ce blog : la capacité à protéger de manière sure la valeur de la monnaie. Bref, sa cybersécurité. Toute la logique initiale des crypto-monnaies tient dans la nécessité à décentraliser la gestion de la monnaie afin d’éviter une manipulation, c’est-à-dire une perte de valeur forcée par l’un des utilisateurs. Or les hacks se sont multipliés au fil des années – et se sont accélérés avec l’augmentation en valeur des crypto-monnaies. Il y a deux semaines, c’est la place d’échange Binance, basé à Hong Kong, qui a admis avoir était victime d’un hack de $40 millions. L’opération aurait peut-être démarré sur la base d’une attaque par email de phishing, même si un acte malicieux d’un employé n’est peut-être pas à exclure non plus.

Cette attaque arrive après qu’une autre place d’échange, Cryptopia, basé en Nouvelle Zélande, a été liquidé la semaine dernière suite à un hack survenu à la mi-janvier, où plus de $16 million auraient été dérobés. Ces problèmes doivent être mis en contexte : c’est depuis 2014 plus de $1.5 milliards, peut-être $ 2 milliards qui auraient été perdus dans les cyber-attaques contre des places d’échange de crypto-monnaies, avec comme point d’orgue l’attaque contre Mt Gox en 2014 (plus de $420 millions de pertes) et celle contre Coincheck au début 2018 (environ $500 millions de pertes), et au final autour d’au moins $800 millions en 2018. La somme représenterait une disparition d’entre 1 à 2% de la totalité de la valeur mondiale des crypto-monnaies. Rapportée à la création annuelle de cryptomonnaie, les chiffres sont plus élevés – et étaient évalués à 14% de l’offre début 2018.

Qu’est-ce qui explique ces défaillances ? Le MIT Technology Review met en avant une nouvelle forme d’attaque qui a fait son apparition à partir de 2018. La gouvernance des crypto-monnaies est établi autour de la règle des 51% : si un ensemble d’exploitants d’une crypto-monnaie arrivait à détenir 51% de la puissance de calcul de tout le réseau de la crypto-monnaie, alors ce pool pourrait décider de ce qui doit être enregistré. Ou pas. Ou de manière frauduleuse, en comptant deux fois l’émission de crypto-monnaie. Cela est impossible pour le Bitcoin, bien trop large ; mais c’est arrivé en janvier 2019 pour Ethereum Classic, la 18ième plus importante crypto-monnaie. Cependant, les 2 milliards de dollars de pertes au cours des dernières années dans les crypto-monnaies ne l’ont été ni par ces attaques au 51%, ni par des failles cryptographiques. Il y a en réalité un problème bien plus simple et plus important, que le MIT Technology Review semble balayer d’un revers de la main et qui est pourtant loin d’être trivial. A la différence des plateformes boursières, qui ne détiennent aucun titre échangé mais réévaluent constamment les positions des détenteurs - dans les places d’échanges de crypto-monnaies, les titres eux-mêmes sont détenus temporairement par lesdites places : ce sont elles qui détiennent souvent pour le compte des détenteurs les clés des portefeuilles de cryptomonnaies.

A ce niveau-là, la situation est donc plus dangereuse que dans les échanges financiers réglementés traditionnels. D’autant que ces places d’échanges de crypto-monnaie sont victimes de l’ensemble des manquements de cybersécurité que l’on peut voir classiquement dans nombre de sociétés en ligne ; et que de surcroît une fois les clés des portefeuilles récupérés, il est facile de récupérer les monnaies, les échanger, et tout cela d’une manière anonymisée. Voilà qui attire encore plus l’intérêt des acteurs criminels.

Mais il y a derrière une ou deux leçons encore plus profondes, et qui valent pour enseignements universels sur les questions de cybersécurité. La première, c’est que rien ne sert de parfaitement sécuriser le message dans sa transmission ; si les points de terminaison ne sont pas eux-mêmes sécurisés, ou si les systèmes laissent des traces – chaleur ou bruit, par exemple, qui peuvent être réinterprétés - le meilleur des protocoles de chiffrement dans la transmission ne pourra pas grand-chose. C’est ce qu’a découvert par exemple le Centre for Quantum Technologies à Singapour en invitant des hackers à hacker les expériences de communication quantiques… ce qu’ils sont parvenus à faire très souvent. Et depuis de nombreuses autres méthodes ont été découvertes qui permettent de révéler les informations chiffrées dans ces protocoles de communication quantique, pourtant supposé inviolables… Il en va de même du protocole blockchain. Si les points de terminaison, de facto les places d’échange de cryptomonnaies, ne sont pas bien sécurisés, l’ensemble du système ne le sera pas.  Ce point en amène un deuxième, plus fondamental : il n’existe pas à date de système de chiffrement ou de protection de la valeur éternellement inviolable. Avec le temps, une faille sera découverte – car aucun système n’est parfait.

La perfection éternelle n’existe pas dans cet univers. La cybersécurité ne peut être assurée par une technologie ou une réflexion cryptographique seule. La lutte dans le cyberespace est un phénomène sociologique : un combat intellectuel entre acteurs antagonistes. C’est une course de vitesse entre les assaillants et les défenseurs, même dans le cadre de systèmes logiques soi-disant inviolables.

Et c’est parce que c’est une course de vitesse que tant que des cryptomonnaies seront échangées, et devront être sécurisées, alors des entreprises de pointe dans la cybersécurité des crypto-monnaies telles que Chainanalysis, un des fleurons du domaine, auront de très, très beaux jours devant elles…

 

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle