Discussion :

[Stéphane le calme]

Blockchain : une alternative sérieuse au couple identifiant/MdP ?
Oui, selon certains experts

La blockchain est une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Par extension, une blockchain constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création. Cette base de données est sécurisée et distribuée : elle est partagée par ses différents utilisateurs, sans intermédiaire, ce qui permet à chacun de vérifier la validité de la chaîne.

Selon Drummond Reed, chief trust officer chez Evernym, une startup qui développe un réseau blockchain spécifiquement pour la gestion des identités numériques, la technologie blockchain peut être une alternative sérieuse aux mots de passe. Cela va permettre d’éliminer la nécessité pour les entreprises de maintenir des informations centralisées d’identification des utilisateurs. Ces derniers pourraient alors avoir un contrôle permanent sur la personne / entité qui a accès à leurs données (d'où le concept d’autosouveraineté).

Les systèmes d'identité autosouveraine reposent sur la cryptographie à clé publique, le même type que les réseaux blockchain utilisent pour valider les transactions. Bien qu'elle existe depuis des décennies, la technologie s'est jusqu'à présent révélée difficile à mettre en œuvre pour des applications grand public. Mais la popularité de la technologie sous-jacente aux cryptomonnaies a inspiré un intérêt commercial nouveau pour rendre ces systèmes plus conviviaux.

La cryptographie à clé publique repose sur des paires de clés, une publique et une privée, qui sont utilisées pour authentifier les utilisateurs et vérifier leurs transactions chiffrées. Dans le cas du Bitcoin par exemple, les utilisateurs sont représentés sur la chaîne de blocs par des chaînes de caractères appelées adresses, qui sont dérivées de leurs clés publiques. Les applications « portefeuille » qu'ils utilisent pour stocker et échanger de la cryptomonnaie sont essentiellement des systèmes de gestion de leurs clés privées. Tout comme un vrai portefeuille, ils peuvent également détenir des titres de compétences qui servent de preuve d'identification, explique Reed. À l'aide d'un smartphone ou d'un autre appareil, une personne peut utiliser une application similaire à un portefeuille pour gérer l'accès à ces informations d'identification.

L'idée semble en tout cas susciter de l’intérêt. Par exemple, l'État de l'Illinois s'est récemment associé à Evernym pour créer des certificats de naissance autosouverains pour les bébés nés dans l'État. Le mois passé, la ville de Zug, en Suisse, a lancé un projet en collaboration avec uPort, une start-up dont le système de gestion des identités s'appuie sur la blockchain Ethereum, pour fournir des cartes d'identité à ses citoyens. Le gouvernement brésilien expérimente également la technologie d'uPort.

Mais l’idée va-t-elle être intéressante pour les utilisateurs réguliers ? Selon Meltem Demirors, directeur du développement de Digital Currency Group, une société d'investissement qui finance des sociétés se servant de la technologie blockchain, il va falloir créer un facteur de forme et une expérience utilisateur suffisamment convaincantes pour les inciter à abandonner le système traditionnel auxquels ils sont habitués (à savoir renseigner un nom d'utilisateur et un mot de passe). Il reconnaît que la tâche ne sera pas facile : « Les geeks y travaillent actuellement, mais nous avons besoin des designers, nous avons besoin des sociologues et nous avons besoin de gens qui étudient l'éthique de la technologie pour participer. »

Progressivement, la technologie blockchain se crée un chemin dans l’industrie.

Après avoir dévoilé sa plateforme Baas (blockchain as a Service) en mars dernier en tant que service pour les entreprises, IBM a indiqué que de grandes enseignes du secteur agroalimentaires ont décidé de s’appuyer sur sa technologie pour travailler sur la traçabilité des denrées périssables.

En février dernier, a été officialisée la création de l’Enterprise Ethereum Alliance (EEA) qui vise à l’élaboration de standards pour le protocole blockchain Ethereum de Microsoft que les entreprises peuvent utiliser pour créer des contrats financiers « intelligents » qui permettent de suivre leur application.

Marley Gray Principal Program Manager, Azure Blockchain Engineering, a déclaré à ce propos que : « Enterprise Smart Contracts décompose l'approche "Public Smart Contract", en tenant compte à la fois du “contrat” et de l'évolution de la technologie pour fournir un modèle pour la promesse du déploiement de la blockchain en entreprise. Une première étape critique a été d'introduire une séparation des préoccupations dans la mise en œuvre, qui module les données, la logique, les participants contractuels et les dépendances externes. Ce que les contrats Enterprise Smart Contracts fournissent est un ensemble de composants qui peuvent être combinés pour créer des modèles de contrats qui, lorsqu'ils sont exécutés, fournissent les capacités de confidentialité, d'évolutivité, de performance et de gestion attendues par l'entreprise. »

Source : TR

Et vous ?

Pensez-vous que la blockchain soit une alternative sérieuse à l'identification traditionnelle ? Pourquoi ?

Voir aussi :

Blockchain : Nestlé, Unilever et d'autres grands noms du secteur agroalimentaire se tournent vers IBM pour la traçabilité des denrées périssables
Avec Enterprise Smart Contracts, Microsoft voudrait rendre son Blockchain as a Service plus utile pour les entreprises

[Almopine]

C'est absolument pas une alternative sérieuse, la où c'est l'utilisateur qui rentre un mot de passe/login, c'est votre "blockchain" qui vas vous authentifier mais absolument rien ne garantis l'identité de la personne, et comment votre blockchain vous identifie depuis un autre ordinateur ? Il y a forcément un principe d'identifiant dans tous les cas (vue l'intérêt des gouvernement on pense bien sur à une puce dans votre carte d'identité ou à l'arrière du crâne, vous imaginez devoir utiliser un telle moyen pour accéder à vos comptes). Au final c'est juste de la SSO avec le nom blockchain pour attirer les investisseurs.

Imaginer un telle système de blockchain seulement sur Facebook, chacun des utilisateurs aurait donc l'historique de toutes les connexions de tous les autres utilisateurs. Le coût énergétique, de bande passante, de stockage que cela engendrerait

Le blockchain à un vrai intérêt dans les transactions de bien, pour le reste, il apporte pas grand chose pour son coût.

[ijk-ref]

Si j'ai un peu compris faut donc obligatoirement une connexion internet et un temps de calcul machine très couteux. :/

Il est certain que le couple identifiant/MdP manuel est la pire chose qui soit. Mais son seul vrai problème n'est-il pas uniquement le coté humain ?

Comme je l'ai déjà dit, la solution semble pourtant simple : une clé physique !

Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables !

Un tel protocole en place éliminerait 99% des problèmes de piratage rencontrés.

Bien définie et universelle, elle pourrait remplacer les CB, les cartes de fidélités, ouvrir les portes du bureau, de notre session de travail, de l'imprimante, de la voiture, de chez soi, etc...

Faut pas se la faire voler ou la perdre quoi ! :o Mais même là je pense qu'on peut faire largement plus efficace qu'avec le système traditionnel.

[anykeyh]

Je crois que vous confondez blockchain et cryptomoney.

Une blockchain publique mais avec des validateurs sélectionnés ou un autre système que le PoW ne coûte presque rien pour valider les transactions.

[Invité]

Faut pas se la faire voler ou la perdre quoi ! :o Mais même là je pense qu'on peut faire largement plus efficace qu'avec le système traditionnel.

Comme tu l'as dit, "Faut pas se la faire voler ou la perdre quoi !".

Avec un outil aussi puissant, il n'y a aucun doute que l'appât sera très fort et qu'un marché, légal ou non, se créérait très vite derrière.

Un exemple d'un tel système est le numéro de sécurité sociale aux US. Avec, tu peux créer des comptes bancaires, prélever de l'argent, demander des papiers officiels, bref, tout ce qu'il faut pour facilement chopper une identité. Et les attaquants ne s'en privent pas !
Dans le genre attaques récentes, il y a bien entendu l'évènement Equifax, qui démontre des conséquences catastrophiques qui arriveraient si un tel évènement venait à arriver.

En bref, un système d'identifiants unique, non. Ce n'est pas une solution acceptable ni même pensable.

Par contre, un système de stockage d'identifiants, comme KeePass2, sont tout à fait admettables, à condition de bien protéger son keychain et soit sa clé privée, soit son mot de passe master.

[ijk-ref]

En bref, un système d'identifiants unique, non. Ce n'est pas une solution acceptable ni même pensable.

Par contre, un système de stockage d'identifiants, comme KeePass2, sont tout à fait admettables, à condition de bien protéger son keychain et soit sa clé privée, soit son mot de passe master.

Je ne dis rien d'autre. Je ne parlais absolument pas d'identifiants unique mais bien d'un système de stockage d'identifiants... contenu par exemple dans un support gros comme une pièce de 2€ pouvant être lu par tous objets réclamant une reconnaissance (portes, imprimantes, sessions, sites)

Cette "clé" pourrait avoir un lecteur d'empreinte digitale rendant son vol peu pratique. Plus une procédure pour rendant obsoletes toutes ses données et activer une copie.

[Aurelien.Regat-Barrel]

Comme je l'ai déjà dit, la solution semble pourtant simple : une clé physique !

Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables !

Ca existe déjà : https://fidoalliance.org/
Une clé USB vaut une vingtaine d'euros : https://www.yubico.com/product/fido-u2f-security-key/

J'en ai acheté une il y a 1 an environ en découvrant que Github supportait ce device. Au moment de s'authentifier, au lieu d'une demande de login/mdp, Google Chrome demande d'appuyer sur le bouton de la clé qui clignote. J'ai été épaté que ça marche ainsi direct depuis le navigateur.

Mais à l'usage c'est moyen. Faut se la trimbaler partout, et y'a pas de port USB sur les téléphones portables. Sans parler que pour les développeurs comme nous, ben on a besoin d'authentifier des machines qui tournent dans le cloud (cloner un repo github...). Au final, je reste avec le bon vieux système de clés virtuelles protégées par mdp (SSH!). Et pour les mdp, j'utilise bitwarden qui me génère un mdp complexe unique à chaque site. C'est vraiment cool.

[paidge]

Certains disent que la technologie blockchain pourra être remplacée par l'holochain. Par contre, je ne l'ai pas encore étudiée plus précisément donc je n'ai pas d'avis personnel à donner.
https://holochain.org/

[ijk-ref]

Ca existe déjà : https://fidoalliance.org/
Une clé USB vaut une vingtaine d'euros : https://www.yubico.com/product/fido-u2f-security-key/

Je sais mais il faut beaucoup plus que cela pour une adaption générale

Déjà il ne faut pas que ce soit par un branchement USB. L'idéal serait que ce soit aussi naturel que de poser une pièce de monnaie sur un comptoir. Qu'un smartphone puisse les lire et surement même qu'un smartphone puisse être une "clé".

Il faut vraiment aussi une procédure pratique en cas de perte ou de vol.

Et que cette clé puisse "ouvrir" des objets non connectés - ce que ne pourra jamais faire une technologie comme blockchain ou holochain - il me semble.

Ca fait un cahier des charges bien fournit et semble demander la coordination de nombreux acteurs, une adaption de nombreux appareils... mais ça rendrait l'identification tellement plus simple et sûr.

[Luckyluke34]

C'est absolument pas une alternative sérieuse, la où c'est l'utilisateur qui rentre un mot de passe/login, c'est votre "blockchain" qui vas vous authentifier mais absolument rien ne garantis l'identité de la personne.

La blockchain fournit en effet juste le côté "intégrité" de la chose car on ne peut pas trafiquer son contenu, et la décentralisation qui empêche les leaks massifs dûs à la faiblesse d'un système centralisé. Pour la confiance dans la source d'identification il faut se tourner vers un fournisseur d'identité. Dans les scénarios souvent cités il y a l'Etat lui-même (pour l'identité civile) mais cela pourrait aussi être un consortium d'acteurs du web pour une identité online.

=> Non, en soi la blockchain n'est pas un générateur magique d'identité légitime. Pour cela, il faut une autorité émettrice tierce.

Imaginer un telle système de blockchain seulement sur Facebook, chacun des utilisateurs aurait donc l'historique de toutes les connexions de tous les autres utilisateurs.

Je ne crois pas que ce soit l'historique de toutes les connexions qui se retrouve dans la blockchain mais seulement les transactions qui constituent l'identité d'un utilisateur et ses métadonnées.

Un article bien fait pour comprendre les pour et les contre de l'identité sécurisée par blockchain : https://techcrunch.com/2017/09/10/th...he-blockchain/
Notamment des arguments contre sont le fait que des données sensibles se retrouvent partagées par tout le monde (même si chiffrées), et l'existence même d'un identifiant universel qui peut faciliter la surveillance de masse.

[paidge]

Non, en soi la blockchain n'est pas un générateur magique d'identité légitime. Pour cela, il faut une autorité émettrice tierce.

Dans la monnaie libre G1, on utilise la WoT (Web of Trust) pour identifier les comptes d'êtres humains vivants : https://luc.frama.io/duniter-wot/
En ce qui concerne la monnaie libre G1, plus d'infos par là : http://pjc76.free.fr/conf

[Invité]

Cette "clé" pourrait avoir un lecteur d'empreinte digitale rendant son vol peu pratique. Plus une procédure pour rendant obsoletes toutes ses données et activer une copie.

Un lecteur d'empreintes digitales n'arrêtera pas des voleurs motivés et le résultat risque surtout d'être pire !

Un exemple "amusant" de news étant déjà arrivée sur les lecteurs d'empreintes digitales est un propriétaire d'une voiture "de luxe" qui s'est fait couper l'index pour que les voleurs puissent garder le contrôle de la voiture à n'importe quel moment:

http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

[ijk-ref]

Un lecteur d'empreintes digitales n'arrêtera pas des voleurs motivés et le résultat risque surtout d'être pire !

Il faut bien sûr étudier toutes (mauvaises) conséquences.

Si techniquement possible p'être que l'ajout de capteurs de chaleur, de pouls ou de micromouvements suffiraient... ou pas.

Autre direction : un système de déblocage de la sécurité par empreintes. Comme ça le "voleur motivé" n'aurait qu'à forcer une fois le propriétaire à placer son doigt sur la clé pour la débloquer.

Ce qui ne serait pas "pire" que les risques de la protection par nombre à 4 chiffres des cartes bancaires

[Invité]

Ce qui ne serait pas "pire" que les risques de la protection par nombre à 4 chiffres des cartes bancaires

Si, c'est pire, pour la seule et unique raison qu'un code de CB, voire la CB ou le compte entier peuvent être changés.

Une empreinte ou autre identification biométrique "unique" est... unique, justement !

Tu ne peux pas changer ton oeil ou ton ADN, même si pour une empreinte digitale, tu peux sans doute médicalement les changer, ou, si tu te brûles/coupes un doigt en surface, l'empreinte peut être modifiée et non reconnaissable...

Ca fait cher la sécurité !

[Almopine]

Je remet pas en cause l'idée d'authentification unique, c'est de la SSO et ça existe depuis années.

Je trouve aucun avantage à utiliser du blockchain avec de la SSO, mais au contraire bien des inconvénients et je parle d'authentification pour le web.

Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables !

Bien définie et universelle, elle pourrait remplacer les CB, les cartes de fidélités, ouvrir les portes du bureau, de notre session de travail, de l'imprimante, de la voiture, de chez soi, etc...

Et permettre un contrôle total et arbitraire sur l'ensemble de la population mondial

[Almopine]

Certains disent que la technologie blockchain pourra être remplacée par l'holochain. Par contre, je ne l'ai pas encore étudiée plus précisément donc je n'ai pas d'avis personnel à donner.
https://holochain.org/

A holochain application is run entirely by the people who use it.
This enables direct communication, without the need for corporate web servers.

C'est purement et simplement du peer-to-peer, j'ai regardé leur FAQ, c'est que ça

Enfaite en fouillant un peu c'est carrément inquiétant, le choix de holochain c'est clairement du marketing. le site reprend tout le vocabulaire start-up en vue d'une levée de fond, en allant plus loin on tombe déjà sur du crownfunding : https://www.indiegogo.com/projects/t...nity#/comments

Et là j'ai pas de mot, vous achetez un mini-pc hors de prix, vous devez le brancher à une prise murale, le connecter à internet pour qu'il soit à la disposition de l'entreprise du réseau en échange ... d'une monnaie virtuel qu'ils ont créés

With Holo, you share your computer's spare capacity, help others more easily connect to peer-to-peer apps, and get rewarded in cryptocurrency. The Holo community will pay you in cryptocurrency to host these apps. Simply connect your HoloPort to the network.

C'est tellement gros que j'ai du mal à y croire, vous êtes aussi responsable de toute activité illégale qu'on pourrais en faire, c'est votre bande passante. Manquerait plus qu'ils s'en servent pour miner de la crypto

[ijk-ref]

Si, c'est pire, pour la seule et unique raison qu'un code de CB, voire la CB ou le compte entier peuvent être changés.
Une empreinte ou autre identification biométrique "unique" est... unique, justement !
Tu ne peux pas changer ton oeil ou ton ADN, même si pour une empreinte digitale, tu peux sans doute médicalement les changer, ou, si tu te brûles/coupes un doigt en surface, l'empreinte peut être modifiée et non reconnaissable...
Ca fait cher la sécurité !

Faudrait pas mélanger tous les "pires" non plus. On était sur la violence physique. Ma dernière proposition règle mieux ce problème, non ?

Ensuite cette sécurité biométrique en elle-même ne fait partie du protocole de communication ID-PW. Elle sert juste à bloquer (ou pas) l'activation de la clé. Les données ID-PW sont elles bien toutes changeables.

Rien n'empêcherait une procédure pour modifier (ou désactiver pour toujours) cette sécurité via un ordi/smartphone avec un code à écrire... avec le nez... si t'as plus de doigts

Cette sécurité biométrique est seulement un "plus" qui n'est même pas le vrai sujet car d'autres types de sécurité pourraient être choisis... et même aucune.

Quelque soit l'option choisie, cette objet personnel demanderait évidement le même soin que celui apporté à ses papiers, clés de portes et CB actuels.

Et permettre un contrôle total et arbitraire sur l'ensemble de la population mondial

Pardon ? A aucun moment cela implique la centralisation de quoique ce soit.

[Almopine]

Pardon ? A aucun moment cela implique la centralisation de quoique ce soit.

Si je suis ton discours tu prône un système d'authentification unique pour tous et universel, Il y a forcément une autorité capable de délivrer ta clé et qui en soi garant. La seul possible c'est l'état. C'est de la centralisation.

Il faut vraiment aussi une procédure pratique en cas de perte ou de vol.

Et c'est là le début des problèmes, concrètement c'est magique en apparence, une seul méthode d'authentification qui remplace les clés de serrures, les portiques des aéroports, des métros c'est un gain de temps et d'argent pour toute la société. Puis on pourra enfin relier les données des services de l'état, impôts, caf, sécu, assurance chômage c'est la fin de la fraude, pratique tout le monde à désormais un identifiant unique.

Puis on vas même aller plus loin, on pourra facilement suivre les gens soupçonné de terrorisme, et désactiver leurs clés pour les neutraliser facilement, puis aussi pour les grands criminels tant qu'à faire. Alors oui c'est pas l'idée de base, mais c'est possible puis si sa permet de sauver des vies il faut le faire. Puis bon comme tous est centralisé, pour "protéger" la population, on vas commencer à faire des fiches, on modifie un peu le truc et hop, religion, orientation politique, fréquentation. Les terroristes vont avoir la vie la dure, puis moi j'ai rien à me reprocher.

Oui c'est pas ton idée, mais c'est ce qu'on peut en faire derrière et c'est là le problème. Terroriste, résistant, opposant politique c'est qu'une question de point de vue, quelle est le point de vue de la personne à la tête du système ? Ce genre de système est dangereux et la question est déjà tranché depuis longtemps, c'est illégale, anti-constitutionel et contraire à la déclaration des droits de l'homme. Notre société est à notre image, imparfaite.

[Luckyluke34]

Attention, le but de blockchain identity c'est pas que d'être un super SSO hein.

La première raison évoquée pour mettre en place ce système c'est la protection des données sensibles :

- Les identifiants ne se baladent plus chez X acteurs du web plus ou moins sécurisés mais dans la blockchain => moins de chances de se faire pirater ou usurper son identité
- Aspect "souverain" ou l'usager a un contrôle très fin de quelles infos il partage avec quel acteur

Le SSO est un deuxième effet kiss kool qui dépend de l'adhésion à telle ou telle plateforme de blockchain. Certes il faut atteindre une masse critique d'utilisateurs pour que l'aspect peer to peer de la blockchain fontionne, mais ça ne veut pas forcément dire un seul big brother qui chapeaute tout du compte Amazon jusqu'à la déclaration d'impôt en passant par le péage d'autoroute.

[Marco46]

Le problème c'est que pour permettre un mécanisme de révocation de clef (du fait d'une perte ou d'un vol) il est obligatoire d'avoir une autorité centralisatrice. C'est un problème parfaitement insoluble sans ça.

C'est comme si vous aviez un mot de passe unique inchangeable. Si vous l'oubliez ou que quelqu'un en prend connaissance vous êtes mort.

L'absence de cette fonctionnalité rend inenvisageable un usage de masse de la blockchain. Pour moi c'est ce qui rend cette techno vraiment "bullshit word". A part des usages dans des cas très particuliers je vois mal comment elle pourrait percer.