Comprendre

Dématéralisation : la confrontation des modèles de confiance

La confiance est une notion vaste qui répond à plusieurs définitions. Il peut s’agir d’un sentiment d’assurance en soi et de hardiesse. Elle peut également caractériser la croyance qu’une personne, un organisme ou un objet mérite que l’on se fie à lui pour un résultat objectif. Elle peut être encore la capacité à considérer qu’une personne ou un objet peut nous délivrer une information fiable et correcte.

Raphaël d'Assignies
11 octobre 2017

Pour sécuriser les transactions et autres contrats, des modèles de confiance ont été mis en place. Il s’agit de schémas, de mécanismes ou de garde-fous qui vont permettre de valider telle ou telle information, de garantir son imputabilité, son intégrité, etc. Ces modèles présentent des forces et des faiblesses selon que l’on se place dans le monde physique ou immatériel. Deux typologies s’affrontent classiquement dans ce domaine : la centralisation et la décentralisation.

La notion de confiance dans le monde physique et dans le monde dématérialisé

Dans le monde physique, la confiance repose sur la faculté à vérifier les preuves de capacité (diplômes, certifications, etc.), les recommandations ou la réputation de la personne physique ou morale. Ces opérations de vérification nécessitent une certaine transparence de l’autorité de confiance et la mise en place d’une chaîne de garanties qui permet d’authentifier les preuves fournies.
Dans un univers dématérialisé, ces opérations de vérifications changent de nature. En effet, ce monde facilite la falsification des preuves. Dans ce contexte, la notion de tiers de confiance est à la fois définie strictement et régulée clairement par un corpus de règles contraignantes. Par exemple, l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives définit les prestataires de service de confiance comme « toute personne offrant des services tendant à la mise en œuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique ».

Dans le monde des échanges numériques, les tiers de confiance sont généralement représentés par les acteurs qui fournissent des services d’horodatage, d’archivage légal ou de signature électronique… L’obtention de ce qualificatif impose à ces prestataires de se conformer à des règles spécifiques qui ont été édictées afin d’assurer la sécurité de leur système d’information mais aussi la fiabilité globale du service rendu. Par exemple, le récent règlement dit eIDAS est venu préciser et simplifier les règles communes au niveau européen notamment pour la signature électronique ou l’horodatage.

Pour obtenir ce qualificatif, Les Tiers de Confiance doivent se conformer à des règles propres à assurer la sécurité de leur
système d’information mais également la fiabilité globale du service rendu. Le règlement dit eIDAS[1] a mis en place un cadre européen en matière d’identification électronique et de services de confiance. Concrètement, il précise et simplifie les règles communes au niveau européen notamment pour la signature électronique ou l’horodatage.

Les modèles de confiance centralisés ou décentralisés

Lorsqu’on parle de services ou de tiers de confiance, il s’agit d’une organisation centralisée. La confiance dans le système repose sur la neutralité et la fiabilité du prestataire ou du tiers. C’est ce dernier qui représente l’élément central de la chaîne de confiance. C’est sur lui que portent toutes les exigences d’impartialité et de capacité afin de garantir la bonne exécution des contrats, la véracité des informations, etc. On peut même parler d’une sorte de hiérarchisation au sein de ce modèle. Y compris au sein de l’univers numérique, il est possible de rencontrer des modèles de confiance centralisés. Ils sont d’ailleurs majoritaires.

La différence entre un modèle de confiance centralisé ou décentralisé ne porte donc pas sur la nature du monde au sein duquel il évolue (physique ou dématérialisé) ; elle se caractérise par la répartition de la confiance au sein du système. Dans un modèle centralisé, celle-ci est concentrée autour d’un organisme tiers qui est le détenteur unique de cette confiance. Dans un modèle décentralisé, elle est répartie afin que son poids ne pèse plus sur une seule entité mais sur un ensemble d’individus, d’objets ou de technologies. On parle alors de décentralisation de la confiance. Cette approche est notamment mise en œuvre dans les technologies de registres décentralisés, au sein de la blockchain ou dans le logiciel de chiffrement PGP. Elle s ́appuie sur la mise en place d’algorithmes qui créent une confiance reposant sur la technique.

Ces deux modèles sont aujourd’hui présentés comme antinomiques : bien que leurs fondements techniques soient proches, ils s’opposent d’un point vue philosophique. Pour le premier, on est en présence d’un acteur premier d’où dérive la confiance par le contrôle. Pour le deuxième, une confiance intrinsèque est issue des principes algorithmiques et du consensus des acteurs.

En réalité, ces deux modèles ne sont pas exclusifs l’un de l’autre. Ils répondent à des besoins et des exigences différents. Comme nous allons le voir, ils ne permettent pas à eux seuls de garantir une confiance absolue. Tous deux ont à la fois des inconvénients et des avantages. C’est pourquoi ils sont souvent utilisés de manière croisée ou hybride, ce qui permet de tirer le meilleur de chaque modèle et de sécuriser au mieux les transactions.

Les deux catégories de modèles de confiance

Le modèle de confiance centralisé et hiérarchique

Dans un tel modèle, la confiance trouve sa source dans différents mécanismes qui peuvent être intrinsèques ou exogènes. Cela dépend de la relation ou de la transaction qu’il convient de sécuriser, de valider ou de certifier.

Ainsi, il est possible que la confiance découle de la réputation, de l’historique d’un acteur du système. Il s’agit alors d’une confiance intrinsèque qui prend sa source dans la nature même de l’entité concernée. Par exemple, on fait plus facilement confiance à une entreprise réputée au niveau national ou international et qui existe depuis des dizaines d’années qu’à une nouvelle société qui ne justifie que de quelques mois d’existence. Concrètement, un acteur avec un historique important est plus apte à instaurer un climat de confiance sans que les parties éprouvent le besoin de contrôler ou demander des preuves de pratiques dignes de confiance.

A ce titre, l’Etat peut être érigé comme l’entité de confiance par excellence. Dans un système démocratique, la confiance que nous lui portons découle de l’organisation politique mise en place et de la légitimité que lui confèrent les élections. C’est d’ailleurs lui qui édicte, par la loi et le règlement, les conditions de la confiance et les règles de contrôle applicables.

Par exemple, la confiance accordée à l’officier ministériel repose sur le respect de règles déontologiques sanctionnées à la fois par un ordre professionnel et par la loi qui prévoit des peines sévères en cas de transgression.

De la même façon, les institutions bancaires sont garantes des fonds de leurs clients à la fois par le contrat qu’elles concluent avec lui mais aussi par les différentes dispositions législatives et réglementaires qui encadrent et régulent cette relation. La crise de confiance qui a agité le monde interbancaire en 2008 montre, avec acuité, l’importance de cette notion.

Cette organisation qui confie à une seule entité supérieure ou tierce la mission de garantir le respect des règles et des principes est l’incarnation même d’un modèle de confiance centralisé.

Comme nous l’avons évoqué en introduction, ce type de modèle de confiance n’est pas réservé au monde physique. Cette approche a été transposée dans le cadre numérique. On la retrouve ainsi dans le domaine de la cryptographie et du chiffrement des données à travers les architectures dites à clés publiques : des autorités délivrent des certificats à des personnes physiques ou morales et, ce faisant, garantissent le lien entre l’objet numérique et le porteur, l’intégrité des données, leur historique, etc. Les services de signature, d’horodatage ou d’authentification illustrent parfaitement l’application d’un modèle de confiance centralisé dans le monde numérique.

Dans ce système, il est possible de vérifier les éléments de confiance fournis en remontant la chaîne et en interrogeant les différents acteurs. Par exemple, OCSP (Online Certificate Status Protocol ou Protocole de vérification de certificat en ligne) est un protocole internet qui permet de s’assurer de la non-révocation d’un certificat numérique. Il trouve toute son utilité au sein des architectures à clés publiques afin de sécuriser les transactions et de s’assurer que les certificats utilisés n’ont pas été révoqués par l’organisme émetteur.

Cette architecture qui se construit autour d’un tiers de confiance peut être qualifiée de classique. Ce modèle a d’ailleurs longtemps été l’unique façon de garantir les transactions ou les données. C’est pourquoi il a eu tendance à se confondre avec la notion de confiance jusqu’à l’émergence de modèles différents voire disruptifs. Ces derniers ont démontré que la confiance ne devait pas obligatoirement être concentrée au sein d’une même entité pour apporter le maximum de sécurité et de sûreté.

Le modèle de confiance décentralisé

Au sein d’un modèle centralisé, la confiance n’est pas concentrée sur une seule entité et ne dépend pas de l’existence de règles ou de la réalisation de contrôle. La confiance est directement créée par les acteurs du système sans qu’une organisation hiérarchique de celle-ci soit nécessaire. Deux méthodes peuvent aboutir à la création de cette confiance :

  • mise en place d’une chaîne de confiance de proche en proche entre les différents acteurs du système : le modèle web of trust ;
  • mise en place d’une architecture technique qui va produire intrinsèquement de la confiance à l’aide de procédés algorithmiques : le modèle trustless trust (blockchain).

Le modèle web of trust
Dans ce type de modèle décentralisé, un consensus entre les différents acteurs permet d’accorder la confiance à une donnée grâce aux différentes vérifications déjà effectuées par certains membres du système. Plus il y a eu de vérifications ou de notes positives, plus la confiance est grande. Ce n’est plus une seule entité qui décide de la validité ou de l’intégrité d’une donnée mais l’ensemble de la communauté (ou du moins une majorité des membres du réseau).

Le célèbre logiciel PGP (Pretty Good Privacy), développé avant l’ère internet, est un excellent exemple de ce mode de fonctionnement puisqu ́il repose sur un modèle de confiance non hiérarchique. Principalement employé comme messagerie sécurisée, il suppose de faire confiance à son interlocuteur pour signer un message et/ou le rendre confidentiel. Pour ce faire, on utilise un certificat qui va servir à authentifier un utilisateur, lui permettre de signer un message… Dans un système centralisé, ce certificat serait émis par une autorité de confiance soumise au respect de certaines règles afin de garantir aux utilisateurs une gestion sécurisée et fiable. Dans le système mis en place par PGP, il n’y a aucune autorité supérieure à l’origine des certificats. La confiance que l’on peut avoir en une clé et donc en un certificat dépend de la confiance que l’on porte aux membres de son réseau, à son cercle de confiance. Concrètement, le fait de faire confiance à un autre membre du réseau permet d’accorder du crédit à ce qui lui a déjà validé en émettant le certificat.

Afin de répandre la confiance, PGP prévoit deux mécanismes cumulatifs :

  • l’accumulation : c’est le nombre d’approbations par les membres de son propre cercle qui augmente le niveau de confiance à accorder ;

  • la qualité : chaque acteur est tenu de préciser le niveau de vérification qu’il a effectué lors de cette opération : il a recueilli la photo de la personne, un document d’identité officiel, une preuve d’intégrité de la clé ? Il attribue une note à chaque membre renforçant la fiabilité du système.

La confiance est donc issue d’actions qualitatives et quantitatives. Mais depuis quelques années, un autre modèle a émergé au sein duquel la technique est venue remplacer les acteurs personnes physiques comme source de confiance.

Le modèle blockchain : trustless trust
A titre liminaire, il est important de noter qu’il est difficile d’avoir une approche monolithique de la blockchain car il en existe différents types : purement privées ou semi-publiques, fondées sur des échanges monétaires ou non, avec des mécanismes de consensus variés, etc. Même si ces technologies reposent sur des fondamentaux techniques communs comme un registre décentralisé ou encore une utilisation intensive des techniques cryptographiques, les résultats obtenus et les finalités recherchées peuvent être assez éloignés.

C’est ce modèle décentralisé fondé sur la technique comme source de confiance qui est à l’origine de la monnaie virtuelle : les bitcoins. Une monnaie virtuelle est un excellent exemple pour démontrer tous les problèmes probatoires qui caractérisent les biens immatériels comme la preuve de leur existence, de l’identité des propriétaires, de leur intégrité, de leur immuabilité…

Afin de répondre à ces différentes problématiques d’ordre probatoire et ainsi assurer un certain niveau de confiance, le système bitcoin a implémenté plusieurs mécanismes de preuve et de protection :

  • chaque transaction est publique et visible par tous les membres du réseau ;

  • la preuve de possession repose sur une clé détenue par le propriétaire ;
  • 
la validation des échanges est faite par les acteurs actifs du système en s’appuyant sur des mécanismes anti-fraude puissants qui limitent, voire annihilent, les risques.

Cet éco système a pu être résumé à une confiance sans la confiance au sens où elle repose tout entière sur des soubassements technologiques ou mathématiques. Ici, ce n’est pas la confiance accordée aux autres membres du réseau qui permet de garantir la fiabilité des données et donc des échanges. C’est la technique qui est la source unique de confiance. Mais, comme nous allons le voir ci-dessous, il n’est pas possible de créer un réseau qui ne repose que sur la technique. L’action humaine reste nécessaire pour l’obtention de certaines données qui sont en dehors du système et qui sont nécessaires à la bonne exécution des transactions ou des échanges. Dans ce cas, comment garantir la fiabilité de ces actions et des données récupérées ? Doit-on faire appel à un tiers et ainsi retomber dans un modèle centralisé ?

Etude comparée des deux modèles de confiance

L’étude comparée de ces deux modèles doit être guidée par les réponses à ces deux questions :

  • Qui s’engage ? Qui est mon interlocuteur ?

  • Qui fixe les règles ? La foule (c’est-à-dire le consensus) ? Un nombre limité d’utilisateurs (comme dans les blockchains privées) ? Une autorité centrale (l’Etat par exemple) ?

Tout en gardant en tête ces deux interrogations, nous allons étudier les 4 caractéristiques indispensables pour garantir le niveau de confiance dans un système : la prévisibilité et la gouvernance, la fiabilité, la pérennité et l’intégrité, la confidentialité.

Prévisibilité et gouvernance

Un système prévisible permet d’exclure des changements radicaux dans son application concrète. Aucun évènement ne doit venir remettre en cause son organisation et ses règles. Les conditions de son fonctionnement doivent être claires et intelligibles pour tous les utilisateurs.

L’engagement contractuel vs l’algorithme

Dans un modèle centralisé et hiérarchique, la confiance est issue soit du contrat conclu avec le prestataire de confiance, soit de la loi qui est source de régulation. Concrètement, cela signifie qu’il est facile d’identifier l’acteur qui s’engage à garantir les données et de déterminer les règles qu’il doit respecter. En effet, elles sont généralement consignées dans des conditions générales, dans des documents retraçant la politique de l’entreprise quant à la gestion des clés, l’archivage, les moyens de preuve… La convention de preuve vient délimiter les règles d’administration entre les parties. En bref, le contrat sert de loi entre des parties clairement identifiées. Mais il doit également respecter les dispositions légales qui peuvent encadrer certaines pratiques probatoires.

C’est donc l’engagement contractuel qui est la source de la prévisibilité. Mais celle-ci n’est pas totale. Nul n’est à l’abri de différents événements pouvant remettre en cause le caractère prévisible du contrat comme le non-respect de ce dernier par l’une des parties, l’existence de clauses obscures dont l’une des parties demande l’application, un changement de législation remettant en cause la validité de l’accord ou ses modalités d’application.

Dans un modèle décentralisé, la gouvernance repose sur deux piliers :

  • La mise à jour du système et notamment le développement des algorithmes. Par hypothèse, la confiance repose sur eux. Cela pose la question des mises à jour : Qui décide ? Comment sont développées et auditées les nouvelles fonctionnalités ? Tout n’est pas toujours transparent et plusieurs sources d’intérêts peuvent apparaître. Par exemple, la plateforme Ethereum, à l’origine des smart contracts, repose à la fois sur une fondation et une société commerciale, ce qui ne recouvre pas les mêmes intérêts et les mêmes motivations.
  • La mise en œuvre concrète du système. Comment garantir que tous les utilisateurs respectent les règles et n’essaient pas de détourner le système ? Comment garantir que tous les utilisateurs utilisent les dernières mises à jour ? Prenons l’exemple du système bitcoin : en théorie personne ne peut influencer le système. Mais dans la pratique qui oblige les mineurs à respecter une mise à jour ? Cette capacité à ne pas prendre en compte ou à différer les évolutions du système peut avoir un impact sur ce dernier. De la même façon, on s’aperçoit que la majorité des mineurs sont majoritairement implantés en Chine. Quelle garantie avons-nous qu’ils ne s’allient pas pour détourner le système ?

Pour ces deux raisons, la gouvernance est le point faible du modèle décentralisé. Elle constitue clairement un inconvénient en termes de prévisibilité des développements futurs. Pour autant, la plupart des projets étant opensource, rien n’empêche de créer sa propre branche.

Quel recours ?

Dans un modèle centralisé et hiérarchique, les voies de recours sont judiciaires. Il est possible de saisir le juge sur la base d’un contrat ou de dispositions légales. Les acteurs étant clairement identifiés et/ou identifiables, chaque partie dispose ainsi d’une voie de recours en cas de non-respect des obligations contractuelles. C’est un garde-fou important qui accentue la confiance dans le système. De plus, l’accord entre les parties est rédigé de façon claire et intelligible, ce qui facilite le travail du juge (hormis les cas où il doit interpréter des clauses plus ou moins obscures). Enfin, le système de certification ou de création de preuve repose sur des normes connues et/ou sur des mécanismes clairement identifiés. Les acteurs disposent donc de nombreux éléments pour permettre le bon fonctionnement du système et la bonne application des engagements contractuels.

Dans un modèle décentralisé, le recours au juge est plus difficile à mettre en place. La question de la compétence territoriale des juridictions se pose : les différents acteurs sont sur différents continents la plupart du temps. Le fait que les données soient stockées sur des serveurs distants est également une autre source de confusion en matière de territorialité et donc de compétence juridictionnelle. La création d’une instance de régulation et/ou d’arbitrage est-elle viable ? N’irait-elle pas dans le sens opposé à la logique à la base du fonctionnement d’un modèle décentralisé ? Prenons l’exemple des noms de domaine en .bit et du Namecoin. L’idée générale est que chacun puisse enregistrer son nom de domaine en .bit au sein de la blockchain. Ce système est d’ailleurs déjà opérationnel. Il suffit juste d’installer une extension sur son navigateur internet pour accéder à des sites en .bit. Mais cela pose déjà les premières questions légales. On assiste, en effet, à des opérations de cybersquattage : des noms de domaine reprenant des marques très connues sont déjà enregistrés en .bit et attendent d’être rachetés à des prix très élevés. Dans le système basé sur des DNS centraux, ce genre de cas n’est pas possible. Les noms de domaine sont protégés et sont attribués selon des règles précises qui permettent aux titulaires de droits de faire valoir leurs droits auprès d’instance d’arbitrage comme l’Ompi ou d’autorité de régulation comme l’ICANN. Par ailleurs, certaines extensions sont soumises à des règles précises d’attribution comme le .fr par exemple. Avec Namecoin et les noms de domaine en .bit, aucun de ces garde- fous n’existent et ne peut donc empêcher ce cybersquattage. Le jour où les marques voudront se positionner sur ce nouveau secteur, quels recours auront-elles pour récupérer à moindre coût ces noms de domaine ?

Fiabilité

La fiabilité est entendue comme le recours à un système où le risque de fraude, sans pouvoir être totalement annihilé, est fortement limité.

Dans un modèle centralisé, la centralisation peut constituer une faiblesse intrinsèque. Le fait que la confiance repose sur une seule entité ou un nombre limité d’acteurs pose des questions en termes de corruption mais aussi de bonne exécution des pratiques. Un acteur seul ou un petit nombre d’acteurs peuvent être plus facilement corrompus. Ils peuvent également s’entendre pour détourner le système à leur profit ou au profit d’un tiers. Enfin, ils peuvent aussi ne pas respecter certains protocoles mis en place pour sécuriser les certificats ou les autorisations qu’ils émettent. Il est toujours plus dangereux de confier l’ensemble de ses intérêts à une seule personne ou à une communauté réduite que de les partager entre de multiples acteurs. C’est comme en Bourse : il n’est pas conseillé d’investir la totalité de son patrimoine sur un seul titre. Le risque de perte est plus important.

Dans un modèle décentralisé, le risque est réparti sur l’ensemble des nœuds soumis à vérifications. Il n’y a donc pas de risques de corruption au regard du nombre d’acteurs qui intervient au niveau de ces vérifications. De plus, le système de la preuve de travail (Proof of work) rend la détermination du mineur non prévisible. En termes de fiabilité, l’avantage est donc aux modèles décentralisés. Néanmoins, il est important que les conditions techniques requises pour rendre le risque de fraude inexistant soient réunies. Or, le recours aux blockchains privées remet en cause les bénéfices obtenus par le consensus dans les blockchains publiques. En effet, les blockchains privées ne font pas appel à un nombre suffisant de noeuds. Par là, elles se rapprochent d ́un modèle centralisé avec les inconvénients associés.

De ce point de vue, l’avantage est clairement pour les systèmes décentralisés, pourvu que les conditions techniques soient réunies. En effet, le recours à des blockchains privées ou de consortium s’opposent, en théorie, à l’effet vertueux du consensus. Dans les blockchains de consortium, il existe encore un certain consensus puisque pour être validé, un bloc doit obtenir l’accord d’un certain nombre de membres du consortium. Mais dans une blockchain privée, les nœuds sont déjà connus et le processus d’approbation est limité à un seul acteur.

Pérennité et intégrité

La pérennité permet de conserver la mémoire des événements dans le temps sans risque de perte d’informations. L’intégrité commande la conservation à l’identique de la donnée.

Dans un système centralisé, la pérennité peut être remise en cause par la disparition de l’autorité de confiance. Tout le système reposant sur cette entité, il est alors en danger. C’est la raison pour laquelle se développent des plans de continuité d’activité (PCA) et, plus précisément, des plans de reprise d’activité (PRA). Ces derniers ont vocation à assurer la reconstruction d’une infrastructure informatique ainsi que sa remise en route afin de minimiser les pertes de données. Néanmoins, ce genre de solutions n’est pas exempte d’inconvénients. Par exemple, le plan doit être régulièrement mis à jour afin de ne pas devenir obsolète. Sa mise en œuvre n’est pas toujours considérée comme une priorité par les dirigeants qui ne débloquent pas toujours les fonds nécessaires pour concevoir un PRA fiable.

Dans un système décentralisé, le consensus présente un certain avantage. Pour reprendre l’exemple du bitcoin, le registre étant distribué sur un grand nombre de machines, sa disparition, dans un délai juridiquement signifiant, est peu probable.
Enfin, que ce soit dans un modèle centralisé ou décentralisé, le problème de l’intégrité est réglé par des mécanismes identiques. Sur ce point, aucun système ne présente un avantage décisif.

La question spécifique de l’immuabilité

L’immuabilité s’entend par le fait de ne pas être soumis à des changements, de rester identique. Lorsqu’on présente les systèmes décentralisés, l’une des caractéristiques énoncées est la production d’informations immuables. Cela signifie que la donnée qui a été enregistrée dans le système ne peut être ni modifiée ni supprimée. Mais l’immuabilité ne s’applique pas qu’aux données. Elle s’applique également aux règles de fonctionnement du système. Les algorithmes qui commandent la mise en œuvre du système ne peuvent pas être modifiés. Cela pose donc des problèmes de gestion de l’erreur. Comment faire si l ́on s’aperçoit d’une faille de sécurité ? Comment concilier le système avec des changements extérieurs qui peuvent impacter les transactions qu’il doit traiter (notamment en termes de droit de la propriété ou de transactions financières). Il convient alors de créer une nouvelle branche.

Confidentialité

La confidentialité ne repose pas sur le même paradigme selon les systèmes.

Dans un modèle centralisé, le contrat et/ou les régulations légales peuvent imposer la confidentialité des informations. C’est notamment le cas avec l’article L. 511-33 du code monétaire et financier qui impose aux institutions bancaires de respecter un secret professionnel. Par contre, celui-ci n’est pas opposable à « l’Autorité de contrôle prudentiel ni à la Banque de France ni à l’autorité judiciaire agissant dans le cadre d’une procédure pénale ». Un autre exemple peut être trouvé avec le secret médical dont l’application est régie par le code de la santé publique ainsi que le code de déontologie médical sanctionné par le Conseil de l’ordre des médecins.

Dans un modèle décentralisé, nous sommes en présence d’un certain paradoxe. Le consensus nécessite une vérification réalisée par un grand nombre d’acteurs, ce qui n’est pas compatible avec la notion même de confidentialité. Certes l’identité des acteurs d’une transaction n’est généralement pas révélée directement. Prenons l’exemple du système bitcoin. L’identité des acteurs est masquée à l’aide d’une adresse cryptique. Mais on peut, par recoupement, en déduire des informations d’identification. Cette faiblesse conduit actuellement les acteurs traditionnels à mettre en place des blockchains privées. Ce faisant, le système est fragilisé par ailleurs. En effet, la confidentialité fait alors face à un problème de neutralité et de fiabilité. Comme nous l’avons évoqué précédemment, le mécanisme des blockchains privées augmente le risque de corruption du système puisque les autorisations sont gérées par une seule entité.

Conclusion

Un modèle par pur consensus n’est-il pas nécessairement limité ? Aucun modèle de confiance générique ne peut faire totalement abstraction du réel. Le système bitcoin réussit à s’abstraire de cette logique car il ne traite que de la monnaie. Dès que l’on s’aventure dans des domaines différents comme la propriété, les contrats, etc., la régulation et la connaissance du réel deviennent indispensables.

C’est d’ailleurs pour cette raison que Ethereum a mis en place la notion d’oracle au sein des smart contracts. Pour rappel, un smart contract est un programme informatique qui s’exécute automatiquement entre les parties signataires du contrat selon un modèle décentralisé. Pour sa bonne exécution, il peut avoir besoin de données extérieures au système et donc non soumises au consensus. Or, le principe même de la blockchain empêche le système de récupérer lui-même ces données puisque chaque utilisateur doit pouvoir reconstituer les transactions. Mais si le système fait appel à un site extérieur pour récupérer une donnée et que ce site n’existe plus ou que la donnée a été modifiée, il n’aboutira pas au même résultat, ce qui remettra en cause tout le système. C’est pourquoi, par principe, la blockchain est imperméable aux données extérieures. Cependant, pour certains contrats, elles sont indispensables. Prenons l’exemple d’une application de pari sportif : pour déterminer les gains d’un utilisateur, le système doit pouvoir accéder à l’information du résultat du match ou de la course. Ethereum a trouvé une solution à ce problème avec les oracles. Un oracle est un service qui a pour mission d’entrer manuellement une donnée extérieure dans le système. Il doit l’insérer dans un emplacement prédéfini à un instant prédéfini. C’est à cet endroit que la blockchain viendra interroger la donnée. Cependant cette solution amène des questionnements. Qui est l’oracle ? Comment est-il désigné ? Comment son intégrité et sa neutralité sont-elles garanties ? Ne revient-on pas vers un modèle centralisé en faisant appel à un tiers de confiance pour insérer une donnée externe dans le système ?

Selon nous, à l’instar de ces questions soulevées par la notion d’oracle, les modèles de confiance émergeants sont hybrides. Ils reposent à la fois sur une identification claire d’acteurs qui s’engagent contractuellement et sur des mécanismes technologiques qui garantissent la fiabilité du système.