La loi de Murphy stipule: «Tout ce qui peut mal tourner tournera mal.» Cela se produit toujours avec des services centralisés. Il y a un an, nous avons vu comment un demi-million de comptes Facebook ont été divulgués en ligne, exposant des données personnelles. Nous le verrons plusieurs fois avec d’autres services. Le récent Le piratage Twitter le souligne encore une fois. Les comptes d’Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, entre autres, ont été piratés pour pousser une offre frauduleuse avec Bitcoin (BTC).
Écrivant pour la BBC, le commentateur de la cybersécurité Joe Tidy avisé: « Le fait que tant d’utilisateurs différents aient été compromis en même temps implique qu’il s’agit d’un problème avec la plate-forme de Twitter elle-même. » Tous les comptes étaient vulnérables; c’était juste une question de choix pour les hackers: il est préférable d’utiliser des célébrités pour «approuver» les escroqueries.
Le problème est que même si Twitter ou tout autre service avec une architecture similaire continue de construire les murs de cybersécurité autour de son système, il deviendra plus compliqué et coûteux, mais pas plus sûr. Le paradigme actuel des services centralisés ne peut offrir une solution plus sûre pour l’authentification des utilisateurs.
J’ai récemment écrit sur les nouvelles technologies qui pourraient protéger les données et l’identité numérique, en utilisant l’exemple de l’Australie et l’expérience européenne et comment les certificats de clé publique pourraient être protégés avec la technologie blockchain contre déni de service distribué et les attaques d’homme au milieu. Bien que mon analyse ait été assez technique et approfondie, il serait peut-être préférable de prendre du recul et de passer au peigne fin certains détails généraux mais pertinents susceptibles d’améliorer la protection des données.
Voici une terminologie à utiliser lorsque vous demandez à votre fournisseur de services, à votre boutique en ligne ou à votre gouvernement s’ils protègent vos données personnelles:
- Identifiants décentralisés, ou DID, est un cadre général W3C avec différentes méthodes pour créer et gérer des identifiants personnels de manière décentralisée. En d’autres termes, les développeurs de services en ligne n’ont pas besoin de créer quelque chose de nouveau s’ils veulent utiliser le potentiel des technologies décentralisées. Ils peuvent utiliser ces méthodes et protocoles.
- Protocole de divulgation sélective, ou SDP, qui a été présenté l’année dernière à l’EOS Hackathon par le co-fondateur de Vareger, Mykhailo Tiutin et son équipe, est une méthode décentralisée de stockage de données personnelles (à l’aide de DID) avec protection cryptographique sur une blockchain. Avec SDP, l’utilisateur peut divulguer des informations soigneusement sélectionnées dans une transaction particulière.
- Identité auto-souveraine, ou SSI, est un concept qui, en termes simples, permet aux utilisateurs d’être les propriétaires souverains de leurs données personnelles et de leur identité, et non des tiers. Cela implique que vous pouvez stocker des données personnelles sur votre appareil, et non sur le serveur de Twitter ou de quelqu’un d’autre. Pour illustrer la puissance du concept SSI, pensez à cette affirmation: il est plus facile de pirater un système centralisé stockant des millions de comptes que de pirater des millions d’appareils personnels. Mais le problème est beaucoup plus profond. Si jamais nous sommes confrontés à une dictature numérique, la racine de ce problème sera l’absence du droit de contrôler et d’interdire à des tiers (y compris le gouvernement) de stocker et d’exploiter vos données personnelles. Le terrible expérience avec les Ouïghours en Chine en est un bon exemple. Les citoyens n’ont pas le droit légal de refuser au gouvernement de collecter leurs données personnelles. Bien sûr, le gouvernement chinois a créé des comptes sans leur consentement pour obtenir des enregistrements de ce qu’il considère comme un comportement inapproprié.
Pour mettre les choses en perspective, passons par une situation hypothétique.
Cas d’utilisation: Alice et son identité numérique
Alice génère sa paire cryptographique: une clé privée et une clé publique. La clé privée chiffre les transactions à l’aide d’une signature numérique; la clé publique les déchiffre. La clé publique est utilisée pour vérifier si Alice s’est connectée, signé le contrat, signé la transaction blockchain, etc.
Pour protéger la clé privée, elle la stockera sur un périphérique matériel sécurisé avec protection par code PIN, par exemple sur une carte à puce, un jeton d’authentification USB ou un portefeuille matériel de crypto-monnaie. Néanmoins, une adresse de crypto-monnaie est une représentation d’une clé publique, ce qui signifie qu’Alice peut l’utiliser comme son portefeuille de pièces et de jetons.
Bien que la clé publique soit anonyme, elle peut également créer une identité numérique vérifiée. Elle peut demander à Bob de certifier son identité. Bob est une autorité de certification. Alice rendra visite à Bob et lui montrera sa carte d’identité. Bob va créer un certificat et le publier sur une blockchain. « Certificat » est un fichier qui annonce au grand public: « La clé publique d’Alice est valide. » Bob ne le publiera pas sur son serveur de la même manière que les autres autorités de certification traditionnelles le font actuellement. Si jamais un serveur centralisé était désactivé lors d’une attaque DDoS, personne ne serait en mesure de confirmer si l’identité numérique d’Alice est valide ou non, ce qui pourrait amener quelqu’un à voler son certificat et à truquer son identité. Cela serait impossible si le certificat ou au moins sa somme de hachage étaient publiés en chaîne.
Avec une pièce d’identité vérifiée, elle peut effectuer des transactions officielles, par exemple l’enregistrement d’une entreprise. Si Alice est un entrepreneur, elle peut vouloir publier ses contacts, comme un numéro de téléphone. Utiliser une blockchain est un choix plus sûr car lorsque des données sont publiées sur les réseaux sociaux, un pirate informatique peut pénétrer dans un compte et le remplacer pour rediriger les appels vers un autre numéro. Rien de tout cela ne serait possible sur une blockchain.
Si Alice va dans un magasin d’alcools, elle peut utiliser son DID vérifié. Le vendeur, Dave, utilisera son application pour vérifier et confirmer le DID d’Alice au lieu de son ID papier. Alice n’a pas besoin de divulguer son nom et sa date de naissance. Elle partagera avec l’application de Dave son identifiant, que Bob a certifié, sa photo et une déclaration «Plus de 21 ans». Dave fait confiance à cet enregistrement car Bob est une autorité de certification.
Alice peut créer divers pseudonymes pour les achats en ligne, les médias sociaux et les échanges cryptographiques. Si elle perd sa clé privée, elle demandera à Bob de mettre à jour son enregistrement sur la blockchain pour annoncer que «la clé publique d’Alice est invalide». Par conséquent, si quelqu’un l’a volé, tous ceux qui interagissent avec sa clé publique sauront qu’ils ne doivent pas croire les transactions signées avec cette clé.
Bien sûr, il s’agit d’un scénario simplifié, mais il n’est pas irréaliste. De plus, certains de ces processus existent déjà. Par exemple, l’estonien e-résidence carte n’est rien de plus qu’une carte à puce avec la clé privée de l’utilisateur. Avec cette carte, vous pouvez enregistrer à distance une entreprise en Estonie ou même signer des contrats. Étant intégrées dans un marché plus large, les signatures numériques estoniennes sont reconnues dans toute l’Union européenne. Malheureusement, ses gouvernements ne protègent toujours pas les certificats sur les chaînes de blocs.
La connaissance, c’est le pouvoir. Les utilisateurs doivent savoir que leur cybersécurité n’est pas seulement entre leurs mains, comme on pourrait le dire. Les géants des logiciels et des médias sociaux devraient faire le changement pour améliorer les normes de sécurité, et les utilisateurs devraient l’exiger.
Les points de vue, pensées et opinions exprimés ici sont la seule de l’auteur et ne reflètent ni ne représentent nécessairement les points de vue et opinions de Cointelegraph.
Oleksii Konashevych est l’auteur du Cross-Blockchain Protocol for Government Databases: The Technology for Public Registries and Smart Laws. Oleksii est titulaire d’un doctorat. boursier dans le cadre du programme de doctorat international conjoint en droit, science et technologie financé par le gouvernement de l’UE. Oleksii collabore avec le hub d’innovation de la chaîne de blocs de l’Université RMIT, en recherchant l’utilisation de la technologie de la blockchain pour la gouvernance électronique et la démocratie électronique. Il travaille également sur la tokenisation des titres immobiliers, les identifiants numériques, les registres publics et le vote électronique. Oleksii a co-rédigé une loi sur les pétitions électroniques en Ukraine, en collaboration avec l’administration présidentielle du pays et en tant que directeur du groupe non gouvernemental e-Democracy de 2014 à 2016. En 2019, Oleksii a participé à la rédaction d’un projet de loi sur la lutte contre le blanchiment d’argent et les problèmes fiscaux pour les actifs cryptographiques en Ukraine.