Blockchain Identity Management : déclencher une révolution de la sécurité des données

Des 3 milliards de comptes de messagerie Yahoo compromis en 2013 aux données de crédit et d'identité de 143 millions d'Américains volées au bureau de crédit Equifax (et à une myriade d'autres attaques), les violations massives de données sont devenues trop familières.

La fréquence et la gravité de ces attaques, combinées au niveau élevé de sécurité et de sophistication technologique de leurs victimes, ont suscité à la fois l'indignation du public et des questions quant à savoir si une protection suffisante contre de futures violations est même possible. Gemalto, une société internationale de sécurité des données, a résumé ce sentiment dans son rapport Breach Level Index du premier semestre 2017 : « De plus en plus d'organisations acceptent le fait que, malgré tous leurs efforts, les failles de sécurité sont inévitables.

Alors que les crypto-monnaies et les réseaux de crypto-monnaie tels que Bitcoin et Ethereum continuent de faire la une des journaux, les futures applications de la technologie blockchain pourraient être ce qui résoudra finalement une série de problèmes pernicieux qui affectent les entreprises et les particuliers.

Certains ont vu une solution future prometteuse à ce problème dans l'essor de la technologie blockchain. Comme l'explique un article récent de Toptal Insights, la technologie blockchain fait référence à un registre d'informations immuable distribué peer-to-peer. Chaque "bloc" d'informations contient un enregistrement complet et précis de chaque transaction, qui ne peut pas être modifié une fois vérifié et est sécurisé par cryptographie. Une caractéristique déterminante de cette technologie est sa structure distribuée, peer-to-peer, qui évite théoriquement le besoin d'intermédiaires comme Yahoo ou Equifax pour héberger les données. Alors que les crypto-monnaies et les réseaux de crypto-monnaie tels que Bitcoin et Ethereum continuent de faire la une des journaux, les futures applications de la technologie blockchain pourraient être ce qui résoudra finalement une série de problèmes pernicieux qui affectent les entreprises et les particuliers.

En ce qui concerne la protection de l'identité, certains ont fait valoir que la technologie blockchain peut potentiellement éliminer le besoin d'intermédiaires et permettre aux individus un contrôle total sur leur identité numérique, tandis que d'autres ont suggéré que les entreprises peuvent toujours traiter des données personnelles mais utiliser la technologie blockchain pour accéder et vérifier ces données. sans utiliser de serveurs facilement piratés. Cet article explorera chacune de ces solutions plus en profondeur, en se concentrant sur un exemple de chaque approche. Ce faisant, nous acquerrons une compréhension de l'approche que chaque entreprise avance, de ses défis et de ses mérites relatifs.

Le problème : la centralisation

Pour comprendre comment la technologie blockchain peut servir de solution de gestion d'identité, il est important de comprendre d'abord, à un niveau de base, comment les faiblesses du système actuel se sont manifestées.

Internet a été conçu à l'origine comme un réseau de connexions peer-to-peer décentralisé, ce qui signifie que tout utilisateur pouvait communiquer et se connecter avec n'importe quel autre utilisateur sans dépendre d'un intermédiaire. Cependant, à mesure qu'Internet devenait de plus en plus privatisé, des intermédiaires tiers ont émergé et sont devenus plus fondamentaux pour la structure d'Internet.

Les serveurs peuvent (et, comme nous le savons, ont) été piratés, et la concentration de données personnelles entre les mains d'un petit groupe d'entreprises augmente le risque que ces violations se poursuivent.

Un petit groupe d'entreprises a pris le contrôle de tout, de l'émission de certificats de sécurité de sites Web à la surveillance de l'accès au World Wide Web en passant par la conservation des identités individuelles en ligne. Cette centralisation du contrôle a permis à ces entreprises d'accumuler d'énormes volumes de données personnelles, hébergées sur des serveurs, de tous ceux qui utilisent Internet. Ces serveurs peuvent (et, comme nous le savons, ont) été piratés, et la concentration de données personnelles entre les mains d'un petit groupe d'entreprises augmente le risque que ces violations similaires se produisent à l'avenir.

Blockchain Identity Management : une solution théorique

La technologie Blockchain fournit une solution potentielle au problème décrit en permettant aux gens de stocker des données sur une blockchain, plutôt que sur des serveurs piratables. Les informations, une fois stockées sur une blockchain, sont sécurisées par cryptographie et ne peuvent être modifiées ou supprimées, ce qui rend les violations de données massives très difficiles, voire théoriquement impossibles.

Bien que le stockage de données sur une blockchain en tant que solution générale de haut niveau semble clair, il existe plusieurs approches théoriques pour la mettre en œuvre. Une stratégie consiste à éliminer le besoin d'intermédiaires en permettant aux individus de stocker leurs identités et leurs données directement sur une blockchain qu'un utilisateur emporte avec lui partout en ligne. Avec les identités numériques des utilisateurs stockées de manière cryptographique directement sur une blockchain dans un navigateur Internet, les utilisateurs n'auraient théoriquement plus besoin de fournir des données sensibles à un tiers. Une autre approche consiste à permettre aux utilisateurs d'encoder leurs données personnelles sur une blockchain accessible à des tiers. Cette approche n'élimine pas entièrement le besoin d'intermédiaires, mais élimine plutôt la nécessité pour les intermédiaires de stocker des données personnelles sensibles directement sur leurs serveurs.

Vous trouverez ci-dessous deux études de cas mettant en évidence ces stratégies.

Blockstack : Construire un Internet nouveau et amélioré

En 2013, Ryan Shea et Muneeb Ali ont fondé Blockstack (appelé à l'origine l'application Onename). En utilisant la technologie blockchain, Blockstack vise à résoudre les problèmes de sécurité susmentionnés en éliminant le besoin d'intermédiaires numériques et en permettant aux individus de conserver un contrôle total sur leurs données. Plutôt que de compter sur des tiers externes pour stocker des données, les individus peuvent utiliser le navigateur de Blockstack pour exécuter des applications décentralisées, et les informations des utilisateurs sont cryptées et hébergées sur les appareils personnels des utilisateurs.

La mission fondamentale et plus large de Blockstack est facile à définir mais pourrait difficilement être plus ambitieuse : créer un nouvel Internet décentralisé. Au début du livre blanc technique de Blockstack, "Internet a été conçu il y a 40 ans et montre des signes de vieillissement". Blockstack vise à remplacer ce que nous considérons actuellement comme Internet par un système à la fois plus sécurisé et plus étroitement aligné sur ce que les concepteurs d'Internet avaient initialement envisagé.

« Internet a précédé ce que nous appelons le Web… et il a été conçu pour être décentralisé », explique Shea. Un article récent du New York Times Magazine fournit une explication utile de l'architecture originale d'Internet. Internet a été initialement conçu à l'aide de protocoles ouverts - la communication entre ordinateurs via Internet était gratuite et n'appartenait à aucun organisme centralisé.

Mais comme le décrit le New York Times, les architectes d'Internet "n'ont pas inclus certains éléments clés qui se révéleront plus tard essentiels pour l'avenir de la culture en ligne". En particulier, "ils n'ont pas créé de norme ouverte sécurisée établissant l'identité humaine sur le réseau". Sans mécanisme de marquage de l'identité personnelle intégré à la structure d'Internet, les entreprises privées sont intervenues pour combler ce vide.

"Même les concepteurs originaux d'Internet s'accordent désormais à dire qu'ils ont raté certains éléments clés de l'architecture de base. La plupart de ces choses tournent essentiellement autour de la sécurité.

Alors que certaines applications, telles que Google et Facebook, permettaient aux gens d'établir et de communiquer leur identité individuelle en ligne et gagnaient en popularité, Internet s'est de plus en plus centralisé autour d'un petit groupe d'acteurs puissants. Cette concentration de pouvoir a eu des implications économiques évidentes et, surtout pour Blockstack, un impact profond sur la manière dont les données personnelles sont stockées, transmises et utilisées.

"Même les concepteurs originaux d'Internet s'accordent désormais à dire qu'ils ont raté certains éléments clés de l'architecture de base", déclare Ali. "La plupart de ces choses tournent essentiellement autour de la sécurité."

Blockstack corrige le défaut de conception susmentionné d'Internet d'origine en créant une identité individuelle directement dans le navigateur Blockstack, permettant aux gens de communiquer directement sans l'utilisation d'un tiers, tel que Facebook. Grâce à son système d'identité décentralisé, son système de noms de domaine et son réseau de stockage, Blockstack vise à donner aux gens la pleine propriété de leur empreinte numérique. Ce faisant, des violations de données centralisées massives peuvent théoriquement être évitées à l'avenir, car il n'y aura plus besoin de tiers pour stocker des données ou faciliter la communication.

"Au cours des dernières années, il y a eu de nombreuses violations, et ces violations sont devenues plus importantes et plus graves au fil du temps", explique Shea. "Dans les années à venir, nous verrons davantage de cette surface, et il deviendra très, très clair pour tout le monde qu'une fois que vous autorisez la sortie des données, elles ne peuvent pas être remises dans la boîte."

La technologie Blockchain constitue la base du produit et de la vision de Blockstack. Comme décrit dans le livre blanc susmentionné, la blockchain "fournit le support de stockage pour les opérations et elle fournit un consensus sur l'ordre dans lequel les opérations ont été écrites". Blockstack utilise spécifiquement Bitcoin (le réseau, pas la monnaie) comme blockchain sous-jacente sur laquelle le reste de l'architecture Blockstack est construit. En termes simples, la technologie blockchain permet à Internet de Blockstack de rester décentralisé et sécurisé.

Pourtant, un défi majeur, comme décrit dans le livre blanc, auquel Blockstack est confronté dans l'utilisation de la technologie blockchain est le risque que la blockchain puisse passer sous le contrôle d'une seule entité - en d'autres termes, qu'elle puisse passer d'une décentralisation à une centralisation.

La mise à l'échelle du réseau Blockstack représente un autre obstacle. En effet, le succès du nouvel Internet de Blockstack dépend des effets de réseau positifs - combien de personnes l'utilisent et, plus précisément, combien d'applications sont développées pour lui. Actuellement, il y a près de 15 000 développeurs dans la communauté Blockstack et plus de 76 000 noms de domaine ont été enregistrés. Blockstack aura finalement besoin d'un écosystème beaucoup plus vaste pour atteindre son objectif déclaré.

Blockstack a levé des fonds de capital-risque conventionnels et a récemment terminé son offre initiale de pièces, avec 50 millions de dollars de jetons Blockstack alloués à des investisseurs accrédités et 50 millions de dollars supplémentaires qui seront alloués à des investisseurs non accrédités qui ont la possibilité d'acheter des jetons à une date ultérieure. Bien qu'encore à ses balbutiements, Blockstack présente une solution potentiellement révolutionnaire non seulement aux problèmes actuels de gestion de l'identité et de sécurité, mais à la structure de pouvoir monopolisée de l'Internet actuel.

Civic : une solution de protection d'identité ciblée

Civic, fondée en 2016, propose une solution différente de gestion des identités basée sur la blockchain. Plutôt que de supprimer le besoin de tiers et de créer un écosystème Internet entièrement nouveau, comme Blockstack vise à le faire, Civic cherche à travailler dans un cadre existant et se concentre spécifiquement sur la gestion et la sécurité de l'identité. Grâce à la technologie blockchain, Civic permet aux particuliers et aux entreprises de vérifier leur identité sans avoir à stocker ces données sur des serveurs centralisés et inviolables.

Un récent article de Forbes explique ce processus. Un individu s'inscrit d'abord à l'application de Civic, qui vérifie l'identité de l'utilisateur par le biais de dossiers officiels (par exemple, gouvernementaux). Civic crypte ensuite cryptographiquement ces informations et les stocke sur une blockchain. À partir de là, d'autres entités demandant de telles données personnelles peuvent vérifier les informations fournies par un individu par rapport aux informations sur la blockchain de Civic, évitant ainsi à toute partie d'avoir à stocker des données sensibles sur un serveur centralisé.

Vinny Lingham, PDG et co-fondateur de Civic, explique également ce processus sur son blog, où il écrit fréquemment sur la crypto-monnaie et l'avenir de la technologie blockchain :

« Fondamentalement, Civic valide vos informations personnelles et votre identité, les stocke sur votre téléphone portable et vous seul pouvez voir ou utiliser ces informations. Il n'est jamais stocké sur nos serveurs ! Cela signifie que si jamais Civic devait être piraté, vos informations ne seraient jamais divulguées car nous ne les avons tout simplement pas.

Civic fait face à bon nombre des mêmes obstacles que Blockstack : sa blockchain pourrait finalement échouer, et son succès dépend de l'adoption par les utilisateurs. Mais quelle approche est la plus prometteuse ?

Certains préféreront peut-être la solution proposée par Blockstack, car l'objectif extrêmement ambitieux de créer un Internet entièrement nouveau a des implications profondes bien au-delà du domaine de la sécurité ou de la gestion des identités. Blockstack propose une solution élégante à bon nombre des problèmes les plus urgents d'Internet. Son approche a le potentiel de redéfinir fondamentalement l'économie d'Internet et la façon dont les gens interagissent virtuellement.

Mais la portée relativement limitée et ciblée de l'objectif de Civic peut avoir le même attrait, voire plus, pour les autres. Civic ne vise pas à changer complètement ou à remplacer l'architecture d'Internet. En évitant cet objectif et en se concentrant plutôt sur le problème spécifique de la gestion de l'identité - une question compliquée et ambitieuse en soi, mais plus étroite que la création d'un nouvel Internet - certains peuvent affirmer que Civic a plus de chances d'accomplir avec succès ce qu'il a prévu de faire.

La croissance et le développement de cet espace - et le simple fait que ces solutions potentielles existent - devraient donner à ceux d'entre nous qui sont concernés par la sécurité de nos données privées un sentiment d'espoir pour un avenir meilleur dans la protection de l'identité.

La question de savoir quelle approche s'avérera finalement la plus efficace reste en suspens. Pourtant, la croissance et le développement de cet espace - et le simple fait que ces solutions potentielles existent - devraient donner à ceux d'entre nous concernés par la sécurité de nos données privées un sentiment d'espoir pour un avenir meilleur dans la protection de l'identité.

L'importance des jetons

Blockstack et Civic proposent chacun des solutions de gestion d'identité basées sur l'utilisation de la technologie blockchain pour décentraliser et sécuriser les données personnelles. Ils utilisent également tous les deux des jetons (leurs propres crypto-monnaies) pour alimenter et encourager l'utilisation de leurs plates-formes. Dans le cas de Blockstack, les développeurs consomment des jetons lors de la création d'applications sur le réseau Blockstack, et les utilisateurs consomment des jetons lors de l'enregistrement des noms d'utilisateur Blockstack. Pour Civic, les utilisateurs peuvent recevoir des jetons pour utiliser l'application Civic.

Ces jetons ont servi de source de financement pour chaque entreprise - 50 millions de dollars jusqu'à présent pour Blockstack (accessible une fois qu'une série d'étapes de croissance sont atteintes) et 33 millions de dollars pour Civic. Mais alors que les régulateurs et des pays entiers sévissent contre le commerce des crypto-monnaies, le plein impact sur des projets tels que Blockstack et Civic reste une question ouverte.

Comme Muneeb Ali l'a noté dans une interview de décembre 2017, la Securities Exchange Commission (SEC) est restée en grande partie à l'écart lors de la récente frénésie des crypto-monnaies : , et jusqu'à présent, toutes les mesures qu'ils ont prises… semblent en fait être la bonne chose à faire », a déclaré Ali.

L'environnement réglementaire reste néanmoins incertain, et la possibilité que les jetons ne soient pas échangés aussi librement à l'avenir se profile comme un risque potentiel qui ne doit pas être ignoré pour des entreprises comme Blockstack et Civic.

Pourtant, ce risque ne devrait pas entraver l'exploration de la gestion des identités basée sur la blockchain. Il est bien sûr important de noter que la technologie blockchain n'est pas une panacée. En effet, comme le dit Ali dans l'interview mentionnée précédemment, la technologie blockchain fonctionne très bien dans certains types d'applications, et peut être totalement inappropriée dans d'autres. La sécurité des données et la gestion des identités représentent des cas d'utilisation bien adaptés à cette technologie et des domaines nécessitant désespérément des améliorations à l'avenir.