/ blog / hive / la-blockchain-pour-les-universites--petit-debunk-dun-post-linkedinien /
fr
blockchain
debunk
bvpublicator
universite
diplome
linkedinien
ethereum
Bim Bam Boum, un linkedinien comme on n'en fait plus viens encore de poster un article mélangeant tous : Hop le debunk !
Un "LinkedInien" typique frappe à tout moment, sans que l'on soit préparé, et ce, même quelques jours avant Noël. Tout est bon pour remonter dans l'algorithme avant les fêtes, même écrire un article sur le grand n'importe quoi de la blockchain et son utilisation dans les universités.
Apparemment, utiliser une blockchain pour les diplômes des étudiants à l'université de Lille, c'est le MAAAL. Ce n'est pas moi qui le dit, mais monsieur Levy, à travers un post LinkedIn et à travers cet article.
Le parti pris de l'auteur est simple : pour lui, dans les universités, "La blockchain [...] est uniquement mise en œuvre pour obtenir des subventions publiques et des fonds privés."
Preuve, ou plutôt PoC à l'appui, il semble nous démontrer clairement que oui, on peut "générer" des faux certificats de l'université de Lille sur leur blockchain, et tout cela en seulement DEUX HEURES !!.
Du coup, cela pose plusieurs questions, comme :
Hop Hop Hop, avant tout, ce n'est pas aujourd'hui que nous allons dire si l'université de Lille utilise réellement une blockchain et si le choix du partenaire est cohérent ou non. Le but ici est plutôt de se demander, dans le cas où l'on dispose d'un partenaire / blockchain digne de confiance, quel serait l'intérêt pour une université ou une entreprise donnant des formations d'utiliser un tel outil pour établir ces certificats ?
L'idée est simple, on utilise souvent une blockchain lorsque l'on est très fortement intéressé par l'une des trois composantes du trilemme de la scalabilité :
Ce trilemme a quelque chose de très intéressant, car sur trois composantes, on ne peut choisir qu'un seul côté du triangle. Autrement dit, si dans mon cas, la sécurité et la scalabilité sont très importantes, cela se ferait sûrement au prix de la décentralisation. Si, au contraire, j'ai besoin d'une application fortement décentralisée et scalable à presque l'infini, on le paiera probablement avec la sécurité. Dans ce trilemme, tout n'est que question de compromis.
Mais revenons à notre université et à sa volonté de certifier ces diplômes. Parmi les trois critères précédents, lesquels semblent les plus importants pour l'université de Lille, par exemple ?
Très clairement, le critère numéro un pour l'université est la sécurité. Il est absolument indispensable pour une université que ces diplômes soient infalsifiables, sinon la valeur ajoutée de ces derniers est quasi nulle. Que vaut un diplôme que n'importe qui pourrait usurper ?D'ailleurs, c'est aussi le critère relevé dans le communiqué de presse de l'université de Lille. Il nous faut donc un outil dans lequel tout ce qui est inscrit est irréfutable et pour toujours, ou à minima, que la réécriture de la donnée soit tellement coûteuse que considérée comme impossible.
Il reste maintenant plus qu'à choisir entre la scalabilité et la décentralisation. Le projet de l'université s'inscrit dans le cadre de l'Europe, et avec un tel projet, on ne peut faire confiance à personne. Imaginons qu'on choisisse d'utiliser les services d'un cloud provider en Italie, mais que ce pays quitte le projet et l'Union Européenne au profit d'une union plus favorable. Tout l'environnement du projet est mis à mal par un seul acteur. Il faudrait alors que 100% des pays déploient l'information pour rester souverains et ne jamais être dépendants d'un autre pays dans ce projet tout en étant en accord sur la donnée disponible.
Mais, attendez une minute. Un outil où la réécriture est quasi impossible, car lié à la donnée précédente par exemple, et complètement décentralisé dans le monde, ça a un nom : c'est une blockchain décentralisée. Il ne nous reste plus qu'à trouver une blockchain disponible et respectant ces deux critères, et on trouve : l'Ethereum ou le Bitcoin, par exemple.
Bon déjà, nous venons de montrer pourquoi ajouter les diplômes dans une blockchain n'est pas une idée stupide seulement développée pour obtenir des investissements. Vu que nous avons debunké le "problème" énoncé dans l'article, on pourrait s'arrêter là. Mais, allons voir la suite pour soulever les autres problèmes de cet article. Et puis, j'ai posé des questions au début, alors autant y répondre.
Bon, d'accord, le problème énoncé n'en est pas un, mais quand même, le post LinkedIn a pour accroche : Il a suffi de 2 heures de travail pour debunker le système de certificats prétendument sécurisés par la blockchain de l'Université de Lille.
Serait-ce un cataclysme géant dans le monde de la crypto et du coup de la cybersécurité, de la blockchain, de la crypto-monnaie ? Et bien en réalité non, pas du tout. Comme on pouvait s'y attendre, il s'agit d'une énorme accroche pour nous attirer sur le bouton lire la suite puis vers l'article. C'est plutôt efficace, car j'ai cliqué !
Mais du coup, pourquoi je dis que tout cela n'est que mensonge ?
Le site de l'université de Lille nous donne un lien pour étudier ce que donne un diplôme de l'université fictif. Grossièrement, cela ressemble à un site classique avec le diplôme et un menu modal à droite avec un bouton preuves.
Ce bouton preuve nous permet de voir plusieurs choses :
Pour chacune de ces informations, on dispose de liens pour vérifier les informations sur d'autres sites en ligne, souvent avec des interactions avec les smart contracts ou la lecture de la transaction en ligne.
Sur l'article publié sur LinkedIn par monsieur Levy, on peut voir un lien montrant que l'auteur ou nous-mêmes, pouvons générer des faux certificats en quelques clics de l'université.
Et cela semble vrai ! Si l'on regarde plus en détail, on voit bien notre diplôme et le menu modal à droite avec l'onglet preuve ! L'université a été renommée, mais tout paraît valide.
Ok, mais du coup, qu'est-ce qui a été cassé en moins de deux heures par monsieur Levy ? Le mécanisme de cryptographie ? Le numéro de blockchain de l'émetteur du certificat ? Celui de l'émetteur lui-même ? Les infos écrites sur la blockchain ?
En réalité, ce n'est pas sur ce terrain qu'il s'est engagé. Malgré un gros titre aguicheur. Ce site est juste un site dummy, digne des sites que l'on reçoit pour le phishing. Concrètement, ce PoC implique de redéployer un site écrivant les mêmes infos. Pour résumer, ce post vise juste à dire : regardez, il est possible de recopier un site disponible sur Internet !
Du coup, est-ce une preuve valide pour décrédibiliser la blockchain et son utilisation ? Et bien, le problème est là, ce n'est absolument pas une preuve valide pour prouver ce point.
Ce genre d'attaque en informatique est très connu et accessible à tous en trois clics. Il suffit de télécharger les sources d'un site web et de le redéployer sur un autre nom de domaine. Cette attaque consiste juste à usurper l'identité d'un site valide pour que des utilisateurs tombent dans le piège, souvent pour donner des informations sensibles de connexion, par exemple.
Mais l'attaque ici n'a absolument pas touché à notre sécurité de la blockchain ou à sa décentralisation. Le PoC est donc complètement hors sujet pour prouver le point.
Dans les commentaires et dans la section solution, monsieur Levy essaie du coup de nous convaincre que la blockchain est inutile, car pour un utilisateur, la confiance de ce certificat repose uniquement sur le nom de domaine, seule donnée facilement accessible et vérifiable, mais c'est ici que son propos manque de nuance. Ce problème d'usurpation d'identité est inhérent à tous les sites du monde, et celui de l'université de Lille ne fait donc pas défaut à cette attaque, pour le moment...
Pour contrer ce mécanisme d'usurpation d'identité, il manque un simple détail à l'architecture de la solution actuelle. Et c'est d'ailleurs là que la blockchain prendra tout son intérêt pour l'université.
Actuellement, il manque un moyen de vérifier en prenant le hash d'une transaction les informations écrites dans la blockchain à un moment. Il faudrait ainsi simplement que l'université de Lille ajoute une fonctionnalité permettant de donner le hash d'une transaction sur son site pour vérifier que les informations écrites dans la blockchain coïncident avec le certificat.
En quoi faire cela réduit le risque de l'attaque démontrée par monsieur Levy ? Car il faudrait maintenant, en plus de déployer son site d'usurpation sur un autre domaine, déployer un site usurpant tout le site de l'université de Lille de vérification de certificat et que ce dernier se classe mieux sur les moteurs de recherche que le site officiel de l'université pour que son certificat apparaisse comme valide.
De plus, si la vérification se fait dans un smart contract, on pourrait utiliser n'importe quel site proposant d'interagir avec un smart contrat de la blockchain Ethereum pour vérifier le hash proposé et les informations.
C'est sur ce sujet que l'article aurait dû porter, et non sur l'inutilité de la blockchain. Car oui, la blockchain est utile dans ce contexte, c'est juste un manquement dans l'architecture, facilement réalisable, qui rend la solution un peu plus faible que prévu. C'est dommage de dénaturer un outil utile au profit d'une autre "solution" qui ne résout aucun de ces problèmes.
L'article ne nous laisse pas sur notre faim et nous propose tout de même une alternative "low-tech" à l'utilisation de la blockchain : une application toute simple en Ruby on Rails avec une base de données PostgreSQL déployée sur un random cloud provider, utilisant probablement des serveurs AWS.
C'est quoi le problème de cette solution du coup ? Déjà, on vient de faire sauter la décentralisation en trois secondes. Utiliser des serveurs d'un seul cloud provider, loué probablement à un géant américain, c'est absolument problématique pour les raisons évoquées plus haut.
Et aussi, on vient de faire sauter l'aspect sécurité. La décentralisation n'étant plus de la partie, nous pouvons maintenant réécrire comme on le souhaite la chaîne de blocs de diplômes, car nous sommes les seules personnes maîtres sur le réseau.
Bah du coup, la solution proposée ne répond à aucune des demandes initiales, ce qui n'est vraiment pas une solution finalement.
De plus, dans le paragraphe solution, il est dit que la confiance de l'utilisateur est basée sur le nom de domaine et l'État. Hors, c'est justement tout le but de ce projet. Cette affirmation est ainsi fausse. L'utilisation de la décentralisation est justement pour faire face à la défiance des utilisateurs face aux États en général.
Et du coup, au final, cette conclusion : Les universités n'ont pas besoin de gadgets technologiques pour être des tiers de confiance. Il suffit de s'appuyer sur leur nom de domaine. Cela permet de déployer des solutions de (relativement) basse intensité technologique est complètement fausse et ne répond pas au besoin initial.
La blockchain est un outil, tout comme peut l'être la programmation fonctionnelle, les serveurs, le cloud ou toute autre brique de l'informatique. Taper à grands coups de marteau que l'université jette l'argent par les fenêtres au profit de projets utilisant la blockchain est faux et malhonnête. Son utilisation est justifiée précisément dans ce genre de contexte, mais il suffit seulement de le comprendre et d'arrêter de penser qu'un outil est bon ou mauvais.
Le tournevis n'est pas moins bon qu'une visseuse. Chacun sera utile dans un contexte différent. Pour autant, je n'ai jamais vu un bricoleur écrire un article sur l'utilisation aberrante de la visseuse dans tel ou tel contexte où elle a sa place. Cela devrait être pareil dans la tech. La solution unique n'existe pas ; il faut prendre le temps d'étudier le besoin métier et répondre en cohérence.
Oui, faire le même projet avec la solution "low-tech" proposée n'aurait jamais été accepté. Non pas parce que le projet n'utiliserait pas les buzzwords comme IA ou Blockchain, mais plutôt que la solution proposée ne répondrait pas au besoin initial et serait donc rejetée.
Merci d'avoir lu ce debunking d'un joli post LinkedInien par un autre LinkedInien. Cet article ne vise pas à attiser de la haine, juste à débunker sans arrière-pensée et encourager une réflexion sur les outils en général.
À très vite, Valentin pour Tornade.io
Vous pourrez retrouver prochainement ce texte en vidéo sur la chaîne YouTube de Tornade.io et sur son site web tornade.io.
