La technologie de blockchain produit une structure de données avec des qualités de sécurité inhérentes. Elle repose sur les principes de cryptographie, de décentralisation et de consensus qui garantissent la confiance dans les transactions. Dans la plupart des blockchains ou des technologies de registres distribués (DLT), les données sont structurées en blocs et chaque bloc contient une transaction ou un ensemble de transactions. Chaque nouveau bloc est relié à tous les blocs qui le précèdent dans une chaîne cryptographique, de telle sorte qu'il est pratiquement impossible de l'altérer. Toutes les transactions dans les blocs sont validées et approuvées par un mécanisme de consensus, ce qui garantit que chaque transaction est vraie et correcte.
La technologie de blockchain permet la décentralisation grâce à la participation des membres à travers un réseau distribué. Il n'existe aucun point de défaillance unique, et un utilisateur unique ne peut pas modifier l'enregistrement des transactions. Cependant, les technologies de blockchain diffèrent sur certains aspects sécurité.
Les réseaux de blockchain peuvent différer en ce qui concerne ceux qui peuvent y participer et y accéder. Les réseaux sont généralement étiquetés comme publics ou privés, ce qui indique qui est autorisé à participer, et autorisé ou non autorisé, ce qui décrit comment les participants accèdent au réseau.
Blockchains publiques et privées
Les réseaux de blockchain publique autorisent généralement quiconque de s'y joindre et aux participants à rester anonymes. Une blockchain publique utilise des ordinateurs connectés à Internet pour valider les transactions et obtenir un consensus. Bitcoin est probablement l'exemple le plus connu de blockchain publique, le consensus étant obtenu grâce au « minage bitcoin ». Les ordinateurs du réseau bitcoin, ou « mineurs », tentent de résoudre un problème cryptographique complexe pour créer une preuve de calcul et ainsi valider la transaction. En dehors des clés publiques, il existe peu de contrôles d'identité et d'accès dans ce type de réseau.
Les blockchains privées utilisent l'identité pour confirmer l'adhésion et les privilèges d'accès et n'autorisent généralement que les organisations connues à les rejoindre. Ensemble, les organisations forment un « réseau d'affaires » privé, réservé aux membres. Une blockchain privée dans un réseau autorisé atteint le consensus par un processus appelé « approbation sélective », où des utilisateurs connus vérifient les transactions. Seuls les membres disposant d'un accès et d'autorisations spéciaux peuvent tenir à jour le registre des transactions. Ce type de réseau nécessite plus de contrôles des identités et des accès.
Lors de la création d'une application de blockchain, il est essentiel d'évaluer le type de réseau qui conviendra le mieux à vos objectifs métier. Les réseaux privés et autorisés peuvent être étroitement contrôlés et sont préférables pour des raisons de conformité et de réglementation. Cependant, les réseaux publics et sans autorisation peuvent permettre une plus grande décentralisation et distribution.
Les blockchains publiques sont publiques, et n'importe qui peut les rejoindre et valider les transactions.
Les blockchains privées sont restreintes et généralement limitées aux réseaux d'affaires. Une entité unique, ou consortium, contrôle l'appartenance. Une entité unique, ou consortium, contrôle l'appartenance.
Les blockchains sans autorisation n'ont aucune restriction sur les processeurs.
Les blockchains autorisées sont limitées à un ensemble restreint d'utilisateurs auxquels on accorde des identités au moyen de certificats.
Si la technologie de blockchain produit un registre inviolable des transactions, les réseaux de blockchain ne sont pas à l'abri des attaques cybernétiques et des fraudes. Des personnes mal intentionnées peuvent manipuler les vulnérabilités connues de l'infrastructure de blockchain et ont réussi divers piratages et fraudes au fil des ans. Voici quelques exemples:
Decentralized Autonomous Organization (DAO), un fonds de capital-risque fonctionnant au moyen d'une blockchain décentralisée, inspirée du bitcoin, a été dépouillée de plus de 60 millions de dollars de monnaie numérique Ether, soit environ un tiers de sa valeur, par l'exploitation d'un code.
Le vol de près de 73 millions de dollars de bitcoins de clients dans l'une des plus grandes bourses de crypto-monnaies au monde, Bitfinex, basée à Hong-Kong, a démontré que cette monnaie présente toujours un risque important. La cause probable était le vol de clés privées, qui sont des signatures numériques personnelles.
Lorsque Bithumb, l'une des plus grandes bourses de crypto-monnaies Ethereum et bitcoin, a été récemment piratée, les pirates ont compromis les données de 30 000 utilisateurs et ont volé pour 870 000 USD de bitcoins. Même si c'est l'ordinateur d'un employé qui a été piraté, et non pas les serveurs centraux, cet événement a soulevé des questions sur la sécurité globale.
Les pirates et les fraudeurs menacent les blockchains de quatre façons principalement : hameçonnage, routage, attaques de type Sybil et 51 %.
L'hameçonnage est une tentative d'escroquerie visant à obtenir les informations d'identification d'un utilisateur. Les fraudeurs envoient aux propriétaires de clés de portefeuille des courriers électroniques conçus pour faire croire qu'ils proviennent d'une source légitime. Les courriers électroniques demandent aux utilisateurs leurs informations d'identification à l'aide de faux liens hypertextes. Avoir accès aux informations d'identification d'un utilisateur et à d'autres informations sensibles peut entraîner des pertes pour l'utilisateur et le réseau de blockchain.
Les blockchains reposent sur des transferts de données importants et en temps réel. Les pirates peuvent intercepter les données lors de leur transfert vers les fournisseurs de services Internet. Dans une attaque de routage, les participants à la blockchain ne peuvent généralement pas voir la menace, de sorte que tout semble normal. Cependant, en coulisses, les fraudeurs ont soutiré des données confidentielles ou des devises.
Dans une attaque Sybil, les pirates créent et utilisent de nombreuses fausses identités de réseau pour inonder le réseau et faire tomber le système. Sybil fait référence à un personnage de livre célèbre atteint d'un trouble de personnalité multiple.
Le minage nécessite une grande puissance de calcul, en particulier pour les blockchains publiques à grande échelle. Mais si un mineur, ou un groupe de mineurs, pouvait rassembler suffisamment de ressources, il pourrait atteindre plus de 50 % de la puissance de minage d'un réseau de blockchain. Avoir plus de 50 % du pouvoir signifie avoir le contrôle du grand livre et la capacité de le manipuler.
Remarque : les blockchains privées ne sont pas vulnérables aux attaques à 51 %.
Dans le monde numérique actuel, il est essentiel de prendre des mesures pour assurer la sécurité à la fois de votre conception et de votre environnement de blockchain. Les services de test de blockchain X-Force Red peuvent vous aider à le faire.
Lors de la création d'une application de blockchain d'entreprise, il est important de prendre en compte la sécurité à toutes les couches de la pile technologique, ainsi que la manière de gérer la gouvernance et les autorisations pour le réseau. Une stratégie de sécurité complète pour une solution de blockchain d'entreprise comprend l'utilisation de contrôles de sécurité traditionnels et de contrôles propres à la technologie. Certains des contrôles de sécurité spécifiques aux solutions de blockchain d'entreprise comprennent :
- Gestion des identités et des accès
- Gestion des clés
- Confidentialité des données
- Communication sécurisée
- Sécurité des contrats intelligents
- Endossement des transactions
Faites appel à des experts pour vous aider à concevoir une solution conforme et sécurisée et à atteindre vos objectifs métier. Recherchez une plateforme de production pour la création de solutions de blockchain qui peut être déployée dans l'environnement technologique de votre choix, qu'il s'agisse d'un environnement sur site ou de votre fournisseur de cloud de votre choix.
Lors de la conception d'une solution de blockchain, il convient de se poser les questions suivantes :
- Quel est le modèle de gouvernance des organisations ou des membres participants ?
- Quelles données seront capturées dans chaque bloc ?
- Quelles sont les exigences réglementaires pertinentes et comment peuvent-elles être respectées ?
- Comment sont gérés les détails de l'identité ? Le contenu des blocs est-il chiffré ? Comment les clés sont-elles gérées et révoquées ?
- Quel est le plan de reprise après incident pour les participants à la blockchain ?
- Quelle est la posture de sécurité minimale pour la participation des clients à la blockchain ?
- Quelle est la logique pour résoudre les collisions de blocs de la blockchain ?
Lors de la mise en place d'une blockchain privée, veillez à la déployer dans une infrastructure sécurisée et résiliente. Des choix technologiques sous-jacents inadaptés aux besoins et aux processus de l'entreprise peuvent entraîner des risques de sécurité des données en raison de leurs vulnérabilités.
Tenez compte des risques métier et de gouvernance. Les risques métier comprennent les implications financières, les facteurs de réputation et les risques de conformité.
Les risques liés à la gouvernance émanent principalement de la nature décentralisée des solutions de blockchain, et ils nécessitent des contrôles solides sur les critères de décision, les politiques de gouvernance et la gestion des identités et des accès.La sécurité de la blockchain consiste à comprendre les risques liés aux réseaux de blockchain et à les gérer. Le plan d'implémentation de la sécurité de ces contrôles constitue un modèle de sécurité de blockchain. Créez un modèle de sécurité blockchain pour vous assurer que toutes les mesures sont en place pour sécuriser de manière appropriée vos solutions blockchain.
Pour implémenter un modèle de sécurité de solution de blockchain, les administrateurs doivent élaborer un modèle de risque capable de prendre en compte tous les risques liés à l'entreprise, à la gouvernance, à la technologie et aux processus. Ensuite, ils doivent évaluer les menaces qui pèsent sur la solution de blockchain et créer un modèle de menace. : Enfin, les administrateurs doivent définir les contrôles de sécurité qui atténuent les risques et les menaces en fonction des trois catégories suivantes :
- Appliquer des contrôles de sécurité propres à la blockchain
- Appliquer des contrôles de sécurité conventionnels
- Appliquer des contrôles métier pour la blockchain
Les services et le conseil en blockchain d'IBM peuvent vous aider à concevoir et à activer un réseau de blockchain qui répond aux besoins de gouvernance, de valeur métier et de technologie tout en garantissant la confidentialité, la confiance et la sécurité.
Découvrez en détail la principale blockchain open source pour la plateforme d'entreprise : outils pour les développeurs, tarification, visites guidées des produits, avis des clients et documentation.
Entrez en contact avec des spécialistes, lisez des témoignages de réussite de clients et découvrez comment rejoindre un réseau IBM.
Avec plus de 1 600 spécialistes métier et techniques, leaders dans la création complète d'une blockchain pour les entreprises, IBM peut vous aider à aborder les trois points de conception les plus critiques pour concrétiser une blockchain pour un réseau d'entreprise : la gouvernance, la valeur métier et la technologie.
Apprenez les bases de la blockchain, des éléments clés aux types de réseau de blockchain, en passant par la façon dont ils sont utilisés dans les secteurs d'activité.
Découvrez comment les clients et partenaires commerciaux d'IBM utilisent la blockchain pour transformer la confiance des consommateurs, la sécurité alimentaire, la durabilité et bien plus encore. Ensuite, découvrez comment des artistes contemporains interprètent leurs innovations dans Blockparty, une série de cyberséminaires.
Les blockchains sont-elles égales ? Quels sont les types de réseau de blockchain et quel type devez-vous configurer ?
Bitcoin et blockchain sont-ils la même chose ? Non, mais comme Bitcoin a été la première application de blockchain, les gens ont souvent utilisé inopportunément « Bitcoin » pour désigner la blockchain.
Cet article approfondi met en évidence l'architecture de référence de la sécurité de la blockchain qui peut être appliquée à travers les projets et les solutions de blockchain pour divers cas d'utilisation et déploiements sectoriels.
Ce manuel peut vous aider à identifier votre cas d'utilisation de la blockchain, à apprendre à mobiliser votre écosystème et à naviguer dans un modèle de gouvernance. Il contient également des informations sur la définition et la gestion des contrats intelligents dans un système multipartite, la numérisation des actifs, les considérations juridiques et des exemples concrets. (7,8 Mo)