Blockchain : une alternative sérieuse au couple identifiant/MdP ? Oui
Selon certains experts

Le , par Stéphane le calme, Chroniqueur Actualités
Pensez-vous que la blockchain soit une alternative sérieuse à l'identification traditionnelle ?
La blockchain est une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Par extension, une blockchain constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création. Cette base de données est sécurisée et distribuée : elle est partagée par ses différents utilisateurs, sans intermédiaire, ce qui permet à chacun de vérifier la validité de la chaîne.

Selon Drummond Reed, chief trust officer chez Evernym, une startup qui développe un réseau blockchain spécifiquement pour la gestion des identités numériques, la technologie blockchain peut être une alternative sérieuse aux mots de passe. Cela va permettre d’éliminer la nécessité pour les entreprises de maintenir des informations centralisées d’identification des utilisateurs. Ces derniers pourraient alors avoir un contrôle permanent sur la personne / entité qui a accès à leurs données (d'où le concept d’autosouveraineté).

Les systèmes d'identité autosouveraine reposent sur la cryptographie à clé publique, le même type que les réseaux blockchain utilisent pour valider les transactions. Bien qu'elle existe depuis des décennies, la technologie s'est jusqu'à présent révélée difficile à mettre en œuvre pour des applications grand public. Mais la popularité de la technologie sous-jacente aux cryptomonnaies a inspiré un intérêt commercial nouveau pour rendre ces systèmes plus conviviaux.

La cryptographie à clé publique repose sur des paires de clés, une publique et une privée, qui sont utilisées pour authentifier les utilisateurs et vérifier leurs transactions chiffrées. Dans le cas du Bitcoin par exemple, les utilisateurs sont représentés sur la chaîne de blocs par des chaînes de caractères appelées adresses, qui sont dérivées de leurs clés publiques. Les applications « portefeuille » qu'ils utilisent pour stocker et échanger de la cryptomonnaie sont essentiellement des systèmes de gestion de leurs clés privées. Tout comme un vrai portefeuille, ils peuvent également détenir des titres de compétences qui servent de preuve d'identification, explique Reed. À l'aide d'un smartphone ou d'un autre appareil, une personne peut utiliser une application similaire à un portefeuille pour gérer l'accès à ces informations d'identification.

L'idée semble en tout cas susciter de l’intérêt. Par exemple, l'État de l'Illinois s'est récemment associé à Evernym pour créer des certificats de naissance autosouverains pour les bébés nés dans l'État. Le mois passé, la ville de Zug, en Suisse, a lancé un projet en collaboration avec uPort, une start-up dont le système de gestion des identités s'appuie sur la blockchain Ethereum, pour fournir des cartes d'identité à ses citoyens. Le gouvernement brésilien expérimente également la technologie d'uPort.

Mais l’idée va-t-elle être intéressante pour les utilisateurs réguliers ? Selon Meltem Demirors, directeur du développement de Digital Currency Group, une société d'investissement qui finance des sociétés se servant de la technologie blockchain, il va falloir créer un facteur de forme et une expérience utilisateur suffisamment convaincantes pour les inciter à abandonner le système traditionnel auxquels ils sont habitués (à savoir renseigner un nom d'utilisateur et un mot de passe). Il reconnaît que la tâche ne sera pas facile : « Les geeks y travaillent actuellement, mais nous avons besoin des designers, nous avons besoin des sociologues et nous avons besoin de gens qui étudient l'éthique de la technologie pour participer. »

Progressivement, la technologie blockchain se crée un chemin dans l’industrie.

Après avoir dévoilé sa plateforme Baas (blockchain as a Service) en mars dernier en tant que service pour les entreprises, IBM a indiqué que de grandes enseignes du secteur agroalimentaires ont décidé de s’appuyer sur sa technologie pour travailler sur la traçabilité des denrées périssables.

En février dernier, a été officialisée la création de l’Enterprise Ethereum Alliance (EEA) qui vise à l’élaboration de standards pour le protocole blockchain Ethereum de Microsoft que les entreprises peuvent utiliser pour créer des contrats financiers « intelligents » qui permettent de suivre leur application.

Marley Gray Principal Program Manager, Azure Blockchain Engineering, a déclaré à ce propos que : « Enterprise Smart Contracts décompose l'approche "Public Smart Contract", en tenant compte à la fois du “contrat” et de l'évolution de la technologie pour fournir un modèle pour la promesse du déploiement de la blockchain en entreprise. Une première étape critique a été d'introduire une séparation des préoccupations dans la mise en œuvre, qui module les données, la logique, les participants contractuels et les dépendances externes. Ce que les contrats Enterprise Smart Contracts fournissent est un ensemble de composants qui peuvent être combinés pour créer des modèles de contrats qui, lorsqu'ils sont exécutés, fournissent les capacités de confidentialité, d'évolutivité, de performance et de gestion attendues par l'entreprise. »

Source : TR

Et vous ?

Pensez-vous que la blockchain soit une alternative sérieuse à l'identification traditionnelle ? Pourquoi ?

Voir aussi :

Blockchain : Nestlé, Unilever et d'autres grands noms du secteur agroalimentaire se tournent vers IBM pour la traçabilité des denrées périssables
Avec Enterprise Smart Contracts, Microsoft voudrait rendre son Blockchain as a Service plus utile pour les entreprises


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Almopine Almopine - Membre habitué https://www.developpez.com
le 03/12/2017 à 15:39
C'est absolument pas une alternative sérieuse, la où c'est l'utilisateur qui rentre un mot de passe/login, c'est votre "blockchain" qui vas vous authentifier mais absolument rien ne garantis l'identité de la personne, et comment votre blockchain vous identifie depuis un autre ordinateur ? Il y a forcément un principe d'identifiant dans tous les cas (vue l'intérêt des gouvernement on pense bien sur à une puce dans votre carte d'identité ou à l'arrière du crâne, vous imaginez devoir utiliser un telle moyen pour accéder à vos comptes). Au final c'est juste de la SSO avec le nom blockchain pour attirer les investisseurs.

Imaginer un telle système de blockchain seulement sur Facebook, chacun des utilisateurs aurait donc l'historique de toutes les connexions de tous les autres utilisateurs. Le coût énergétique, de bande passante, de stockage que cela engendrerait

Le blockchain à un vrai intérêt dans les transactions de bien, pour le reste, il apporte pas grand chose pour son coût.
Avatar de ijk-ref ijk-ref - Membre averti https://www.developpez.com
le 03/12/2017 à 19:13
Si j'ai un peu compris faut donc obligatoirement une connexion internet et un temps de calcul machine très couteux. :/

Il est certain que le couple identifiant/MdP manuel est la pire chose qui soit. Mais son seul vrai problème n'est-il pas uniquement le coté humain ?

Comme je l'ai déjà dit, la solution semble pourtant simple : une clé physique !

Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables !

Un tel protocole en place éliminerait 99% des problèmes de piratage rencontrés.

Bien définie et universelle, elle pourrait remplacer les CB, les cartes de fidélités, ouvrir les portes du bureau, de notre session de travail, de l'imprimante, de la voiture, de chez soi, etc...

Faut pas se la faire voler ou la perdre quoi ! :o Mais même là je pense qu'on peut faire largement plus efficace qu'avec le système traditionnel.
Avatar de anykeyh anykeyh - Membre confirmé https://www.developpez.com
le 04/12/2017 à 8:19
Je crois que vous confondez blockchain et cryptomoney.

Une blockchain publique mais avec des validateurs sélectionnés ou un autre système que le PoW ne coûte presque rien pour valider les transactions.
Avatar de Artemix Artemix - Membre habitué https://www.developpez.com
le 04/12/2017 à 8:42
Citation Envoyé par ijk-ref Voir le message
Faut pas se la faire voler ou la perdre quoi ! :o Mais même là je pense qu'on peut faire largement plus efficace qu'avec le système traditionnel.
Comme tu l'as dit, "Faut pas se la faire voler ou la perdre quoi !".

Avec un outil aussi puissant, il n'y a aucun doute que l'appât sera très fort et qu'un marché, légal ou non, se créérait très vite derrière.

Un exemple d'un tel système est le numéro de sécurité sociale aux US. Avec, tu peux créer des comptes bancaires, prélever de l'argent, demander des papiers officiels, bref, tout ce qu'il faut pour facilement chopper une identité. Et les attaquants ne s'en privent pas !
Dans le genre attaques récentes, il y a bien entendu l'évènement Equifax, qui démontre des conséquences catastrophiques qui arriveraient si un tel évènement venait à arriver.

En bref, un système d'identifiants unique, non. Ce n'est pas une solution acceptable ni même pensable.

Par contre, un système de stockage d'identifiants, comme KeePass2, sont tout à fait admettables, à condition de bien protéger son keychain et soit sa clé privée, soit son mot de passe master.
Avatar de ijk-ref ijk-ref - Membre averti https://www.developpez.com
le 04/12/2017 à 10:43
Citation Envoyé par Artemix Voir le message
En bref, un système d'identifiants unique, non. Ce n'est pas une solution acceptable ni même pensable.

Par contre, un système de stockage d'identifiants, comme KeePass2, sont tout à fait admettables, à condition de bien protéger son keychain et soit sa clé privée, soit son mot de passe master.
Je ne dis rien d'autre. Je ne parlais absolument pas d'identifiants unique mais bien d'un système de stockage d'identifiants... contenu par exemple dans un support gros comme une pièce de 2€ pouvant être lu par tous objets réclamant une reconnaissance (portes, imprimantes, sessions, sites)

Cette "clé" pourrait avoir un lecteur d'empreinte digitale rendant son vol peu pratique. Plus une procédure pour rendant obsoletes toutes ses données et activer une copie.
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 04/12/2017 à 15:35
Citation Envoyé par ijk-ref Voir le message
Comme je l'ai déjà dit, la solution semble pourtant simple : une clé physique !

Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables !
Ca existe déjà : https://fidoalliance.org/
Une clé USB vaut une vingtaine d'euros : https://www.yubico.com/product/fido-u2f-security-key/

J'en ai acheté une il y a 1 an environ en découvrant que Github supportait ce device. Au moment de s'authentifier, au lieu d'une demande de login/mdp, Google Chrome demande d'appuyer sur le bouton de la clé qui clignote. J'ai été épaté que ça marche ainsi direct depuis le navigateur.

Mais à l'usage c'est moyen. Faut se la trimbaler partout, et y'a pas de port USB sur les téléphones portables. Sans parler que pour les développeurs comme nous, ben on a besoin d'authentifier des machines qui tournent dans le cloud (cloner un repo github...). Au final, je reste avec le bon vieux système de clés virtuelles protégées par mdp (SSH!). Et pour les mdp, j'utilise bitwarden qui me génère un mdp complexe unique à chaque site. C'est vraiment cool.
Avatar de paidge paidge - Membre éprouvé https://www.developpez.com
le 04/12/2017 à 17:05
Certains disent que la technologie blockchain pourra être remplacée par l'holochain. Par contre, je ne l'ai pas encore étudiée plus précisément donc je n'ai pas d'avis personnel à donner.
https://holochain.org/
Avatar de ijk-ref ijk-ref - Membre averti https://www.developpez.com
le 04/12/2017 à 19:56
Citation Envoyé par Aurelien.Regat-Barrel Voir le message
Ca existe déjà : https://fidoalliance.org/
Une clé USB vaut une vingtaine d'euros : https://www.yubico.com/product/fido-u2f-security-key/
Je sais mais il faut beaucoup plus que cela pour une adaption générale

Déjà il ne faut pas que ce soit par un branchement USB. L'idéal serait que ce soit aussi naturel que de poser une pièce de monnaie sur un comptoir. Qu'un smartphone puisse les lire et surement même qu'un smartphone puisse être une "clé".

Il faut vraiment aussi une procédure pratique en cas de perte ou de vol.

Et que cette clé puisse "ouvrir" des objets non connectés - ce que ne pourra jamais faire une technologie comme blockchain ou holochain - il me semble.

Ca fait un cahier des charges bien fournit et semble demander la coordination de nombreux acteurs, une adaption de nombreux appareils... mais ça rendrait l'identification tellement plus simple et sûr.
Avatar de Luckyluke34 Luckyluke34 - Membre émérite https://www.developpez.com
le 05/12/2017 à 10:49
Citation Envoyé par Almopine Voir le message
C'est absolument pas une alternative sérieuse, la où c'est l'utilisateur qui rentre un mot de passe/login, c'est votre "blockchain" qui vas vous authentifier mais absolument rien ne garantis l'identité de la personne.
La blockchain fournit en effet juste le côté "intégrité" de la chose car on ne peut pas trafiquer son contenu, et la décentralisation qui empêche les leaks massifs dûs à la faiblesse d'un système centralisé. Pour la confiance dans la source d'identification il faut se tourner vers un fournisseur d'identité. Dans les scénarios souvent cités il y a l'Etat lui-même (pour l'identité civile) mais cela pourrait aussi être un consortium d'acteurs du web pour une identité online.

=> Non, en soi la blockchain n'est pas un générateur magique d'identité légitime. Pour cela, il faut une autorité émettrice tierce.

Citation Envoyé par Almopine Voir le message
Imaginer un telle système de blockchain seulement sur Facebook, chacun des utilisateurs aurait donc l'historique de toutes les connexions de tous les autres utilisateurs.
Je ne crois pas que ce soit l'historique de toutes les connexions qui se retrouve dans la blockchain mais seulement les transactions qui constituent l'identité d'un utilisateur et ses métadonnées.

Un article bien fait pour comprendre les pour et les contre de l'identité sécurisée par blockchain : https://techcrunch.com/2017/09/10/th...he-blockchain/
Notamment des arguments contre sont le fait que des données sensibles se retrouvent partagées par tout le monde (même si chiffrées), et l'existence même d'un identifiant universel qui peut faciliter la surveillance de masse.
Avatar de paidge paidge - Membre éprouvé https://www.developpez.com
le 05/12/2017 à 10:58
Citation Envoyé par Luckyluke34 Voir le message
Non, en soi la blockchain n'est pas un générateur magique d'identité légitime. Pour cela, il faut une autorité émettrice tierce.
Dans la monnaie libre G1, on utilise la WoT (Web of Trust) pour identifier les comptes d'êtres humains vivants : https://luc.frama.io/duniter-wot/
En ce qui concerne la monnaie libre G1, plus d'infos par là : http://pjc76.free.fr/conf
Contacter le responsable de la rubrique Accueil