Crédit :CC0 Domaine public
Un nouveau type de cyberattaque qui peut rendre la technologie blockchain inutilisable peut devenir un casse-tête majeur pour les organisations qui en dépendent.
Connu sous le nom d'« empoisonnement à la vie privée, " l'attaque consiste à charger des données privées, comme des noms, adresses et numéros de carte de crédit, ou du matériel illégal, comme la pédopornographie, dans une blockchain, mettant ainsi le réseau en conflit avec les lois locales. Le résultat est que la chaîne affectée avec toutes ses données contenues ne peut pas être utilisée à moins que des mesures coûteuses et chronophages ne soient prises.
La blockchain est un registre numérique des transactions exécutées sur un réseau d'ordinateurs sans autorité de gouvernance ou de réglementation centralisée. Il est géré par ceux qui l'utilisent. La technologie est de plus en plus explorée par les banques et les sociétés de services financiers, les gouvernements et les entreprises en démarrage pour son potentiel à améliorer l'efficacité des systèmes de paiement tout en réduisant les coûts.
L'introduction de lois strictes sur la confidentialité des données telles que le règlement général sur la protection des données de l'Union européenne, ou RGPD, et la loi californienne sur la protection de la vie privée des consommateurs, ou CCPA. Les deux permettent aux consommateurs de demander que les données personnelles détenues par une entreprise soient supprimées ou effacées.
C'est un problème pour les systèmes de blockchain car ils sont conçus pour empêcher les modifications des transactions passées, et il n'y a pas d'autorité centrale chargée de corriger les problèmes. Les blockchains dites publiques telles que celles qui sous-tendent les crypto-monnaies comme le bitcoin et l'éther sont les plus à risque car tout le monde peut y participer. Les participants aux blockchains privées doivent être invités et validés par le starter du réseau.
Bart Willemsen, un analyste de la firme de recherche Gartner Inc., a déclaré que le double coup de l'empoisonnement de la vie privée et des lois sur la vie privée frappera particulièrement durement les chaînes de blocs publiques.
Willemsen a estimé que d'ici 2022, trois blockchains publiques sur quatre subiront un empoisonnement de la vie privée - des données personnelles insérées qui rendent la blockchain non conforme aux lois sur la confidentialité. Les entreprises qui souhaitent mettre en œuvre la technologie doivent déterminer si l'une des données utilisées relève des lois sur la confidentialité, a-t-il déclaré dans une interview.
Dans le cadre du RGPD, les droits individuels à la vie privée comprennent le « droit à l'oubli, " ce qui signifie que toutes les données personnelles apparaissant publiquement devraient être supprimées.
"Les organisations qui mettent en œuvre des systèmes de blockchain sans gérer les problèmes de confidentialité dès la conception courront le risque de stocker des données personnelles qui ne peuvent pas être supprimées sans compromettre l'intégrité de la chaîne, " selon un rapport de Gartner.
Willemsen a cité une histoire, qu'il a admis peut être apocryphe, d'une réunion de la Commission européenne où un participant a payé une pizza en bitcoin et les destinataires ont pensé qu'il serait amusant d'immortaliser le moment en mettant leurs noms dans des champs de texte pouvant être écrits dans la blockchain bitcoin.
"On se souviendra en effet toujours de toi, et c'est exactement là que réside le problème, " a déclaré Willemsen.
Ces champs de texte dans les blockchains publiques sont indélébiles. Willemsen a noté que ce qui constitue des renseignements personnels couvre beaucoup de choses, des noms aux références uniques qui peuvent être retracées jusqu'à un individu.
Willemsen a déclaré que les clients de Gartner ont eu des problèmes similaires, bien qu'il ait refusé de discuter des circonstances, citant des accords de confidentialité.
Indélébile vs effaçable En plus de la loi californienne, législation similaire, avec de solides protections de la vie privée des consommateurs, est en attente à New York, New Jersey et Washington.
Les entreprises cherchant à utiliser la blockchain comme solution sécurisée voudront peut-être repenser, dit Jenny Leung, un avocat chez Blakemore, Tomber sur, Garcia, Rosini &Russo à New York.
Elle a noté que le 1er janvier, 2020, le CCPA donnera aux consommateurs californiens le « droit à l'effacement » qui est similaire au droit à l'oubli du RGPD, en ce qu'il permet aux personnes de demander aux entreprises de supprimer toutes les données personnelles qu'elles ont stockées. Mais les informations stockées sur une blockchain ne peuvent pas être effacées, qui peut mettre les entreprises en difficulté avec la justice si elles ont lancé ou organisé le service basé sur la blockchain, elle a dit.
Le seul moyen de supprimer les données peut être un processus élaboré de « reforking », qui déplace l'ensemble du réseau vers un nouvel ensemble de données et invalide l'ancien ensemble.
Les blockchains privées sont légèrement plus résistantes à l'empoisonnement de la vie privée, bien que cela puisse se produire. Dans ces cas, toutes les entreprises qui sont toujours connectées au grand livre peuvent forcer tous les participants à se joindre à un "hard fork" pour effacer les données incriminées. Ou les blockchains privées peuvent toutes les forcer à cesser de fonctionner ou à détruire toutes les copies de clés privées pour rendre les données cryptées définitivement inaccessibles, dit Leung.
Ce processus devient trop coûteux et compliqué pour les blockchains publiques, elle a dit. Il faudra peut-être des centaines de millions de dollars pour louer suffisamment d'équipements de crypto-minage pour modifier le réseau ou orchestrer un hard fork en convainquant la majorité de passer à une nouvelle chaîne qui ne contient pas les données concernées.
"Ce n'est pas quelque chose que vous voulez faire à chaque fois que vous voulez supprimer quelque chose, " Leung a déclaré. "C'est coûteux et prend du temps."
Outre les attaques malveillantes, Willemsen a noté que de nombreux cas seront très probablement causés par une erreur humaine et une mauvaise conception des processus. Peu importe en vertu du RGPD si une blockchain a exposé des données personnelles innocemment par une erreur, il a dit.
Une fois que l'empoisonnement de la vie privée se généralise, Willemsen a déclaré qu'il s'attend à ce que plusieurs choses se produisent. La première est que les gens continueront à ignorer les pratiques de confidentialité de la même manière qu'ils le font pour d'autres types de cybersécurité. Des outils de piratage automatisés peuvent émerger de certaines communautés en ligne pour cibler des blockchains publiques exposées ou pour rendre les systèmes concurrents inutilisables, il a dit.
Les entreprises intéressées par l'utilisation d'un grand livre public peuvent opter pour des blockchains privées, dit Randi Eitzman, analyste principal de la poursuite des menaces chez FireEye iSIGHT Intelligence, un service de recherche et d'analyse des menaces de cybersécurité.
Les blockchains ne sont finalement "qu'un stockage de données centralisé coûteux, " Eitzman a déclaré dans une réponse par courrier électronique aux questions. "Les entreprises à la recherche d'un stockage de données sécurisé pourraient éviter de les utiliser en fonction de leur analyse coûts-avantages, mais une solution simple serait d'éviter de stocker des informations client sensibles sur une blockchain."
Concernant les attaques sur les blockchains publiques, Eitzman a noté que des outils faciles à utiliser qui permettent à n'importe qui d'écrire et de stocker des données en chaîne, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, elle a dit.
"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."
©2019 CQ-Roll Appel, Inc., Tous les droits sont réservés
Distribué par Tribune Content Agency, LLC.