Un "LinkedInien" typique frappe à tout moment, sans que l'on soit préparé, et ce, même quelques jours avant Noël. Tout est bon pour remonter dans l'algorithme avant les fêtes, même écrire un article sur le grand n'importe quoi de la blockchain et son utilisation dans les universités.
Pendant ce temps, sur linkedin
Apparemment, utiliser une blockchain pour les diplômes des étudiants à l'université de Lille, c'est le MAAAL. Ce n'est pas moi qui le dit, mais monsieur Levy, à travers un post LinkedIn et à travers cet article.
Le parti pris de l'auteur est simple : pour lui, dans les universités, "La blockchain [...] est uniquement mise en œuvre pour obtenir des subventions publiques et des fonds privés."
Preuve, ou plutôt PoC à l'appui, il semble nous démontrer clairement que oui, on peut "générer" des faux certificats de l'université de Lille sur leur blockchain, et tout cela en seulement DEUX HEURES !!.
Du coup, cela pose plusieurs questions, comme :
- Pourquoi se servir d'une blockchain dans une université ?
- Est-ce réellement possible de "générer" des certificats au nom de l'université ?
- Que vaut ce PoC / Preuve de l'attaque ?
- L'attaque décrite décrédibilise-t-elle la blockchain et son utilisation ? Ou est-ce une méconnaissance des attaques cybers possibles qui a pu conduire l'auteur à penser cela ?
- Ne serait-ce pas un énième article mensonger par un LinkedInien typique pour générer du CLIC à FOISON ?? Noooon, impossible !
Alors, pourquoi se servir d'une blockchain dans une université ?
Hop Hop Hop, avant tout, ce n'est pas aujourd'hui que nous allons dire si l'université de Lille utilise réellement une blockchain et si le choix du partenaire est cohérent ou non. Le but ici est plutôt de se demander, dans le cas où l'on dispose d'un partenaire / blockchain digne de confiance, quel serait l'intérêt pour une université ou une entreprise donnant des formations d'utiliser un tel outil pour établir ces certificats ?
L'idée est simple, on utilise souvent une blockchain lorsque l'on est très fortement intéressé par l'une des trois composantes du trilemme de la scalabilité :
Ce trilemme a quelque chose de très intéressant, car sur trois composantes, on ne peut choisir qu'un seul côté du triangle. Autrement dit, si dans mon cas, la sécurité et la scalabilité sont très importantes, cela se ferait sûrement au prix de la décentralisation. Si, au contraire, j'ai besoin d'une application fortement décentralisée et scalable à presque l'infini, on le paiera probablement avec la sécurité. Dans ce trilemme, tout n'est que question de compromis.
Mais revenons à notre université et à sa volonté de certifier ces diplômes. Parmi les trois critères précédents, lesquels semblent les plus importants pour l'université de Lille, par exemple ?
Très clairement, le critère numéro un pour l'université est la sécurité. Il est absolument indispensable pour une université que ces diplômes soient infalsifiables, sinon la valeur ajoutée de ces derniers est quasi nulle. Que vaut un diplôme que n'importe qui pourrait usurper ?D'ailleurs, c'est aussi le critère relevé dans le communiqué de presse de l'université de Lille. Il nous faut donc un outil dans lequel tout ce qui est inscrit est irréfutable et pour toujours, ou à minima, que la réécriture de la donnée soit tellement coûteuse que considérée comme impossible.
Il reste maintenant plus qu'à choisir entre la scalabilité et la décentralisation. Le projet de l'université s'inscrit dans le cadre de l'Europe, et avec un tel projet, on ne peut faire confiance à personne. Imaginons qu'on choisisse d'utiliser les services d'un cloud provider en Italie, mais que ce pays quitte le projet et l'Union Européenne au profit d'une union plus favorable. Tout l'environnement du projet est mis à mal par un seul acteur. Il faudrait alors que 100% des pays déploient l'information pour rester souverains et ne jamais être dépendants d'un autre pays dans ce projet tout en étant en accord sur la donnée disponible.
Mais, attendez une minute. Un outil où la réécriture est quasi impossible, car lié à la donnée précédente par exemple, et complètement décentralisé dans le monde, ça a un nom : c'est une blockchain décentralisée. Il ne nous reste plus qu'à trouver une blockchain disponible et respectant ces deux critères, et on trouve : l'Ethereum ou le Bitcoin, par exemple.
Bon déjà, nous venons de montrer pourquoi ajouter les diplômes dans une blockchain n'est pas une idée stupide seulement développée pour obtenir des investissements. Vu que nous avons debunké le "problème" énoncé dans l'article, on pourrait s'arrêter là. Mais, allons voir la suite pour soulever les autres problèmes de cet article. Et puis, j'ai posé des questions au début, alors autant y répondre.
Revenons sur cette histoire de génération de certificat.
Bon, d'accord, le problème énoncé n'en est pas un, mais quand même, le post LinkedIn a pour accroche : Il a suffi de 2 heures de travail pour debunker le système de certificats prétendument sécurisés par la blockchain de l'Université de Lille.
Serait-ce un cataclysme géant dans le monde de la crypto et du coup de la cybersécurité, de la blockchain, de la crypto-monnaie ? Et bien en réalité non, pas du tout. Comme on pouvait s'y attendre, il s'agit d'une énorme accroche pour nous attirer sur le bouton lire la suite puis vers l'article. C'est plutôt efficace, car j'ai cliqué !
Mais du coup, pourquoi je dis que tout cela n'est que mensonge ?
Résumons ce qui est démontré.
Le site de l'université de Lille nous donne un lien pour étudier ce que donne un diplôme de l'université fictif. Grossièrement, cela ressemble à un site classique avec le diplôme et un menu modal à droite avec un bouton preuves.
Ce bouton preuve nous permet de voir plusieurs choses :
- Qui a émis le certificat
- Qui a vérifié l'émetteur du certificat
- À quelle date et quelles infos ont été inscrites sur la blockchain
Pour chacune de ces informations, on dispose de liens pour vérifier les informations sur d'autres sites en ligne, souvent avec des interactions avec les smart contracts ou la lecture de la transaction en ligne.
Sur l'article publié sur LinkedIn par monsieur Levy, on peut voir un lien montrant que l'auteur ou nous-mêmes, pouvons générer des faux certificats en quelques clics de l'université.
Et cela semble vrai ! Si l'on regarde plus en détail, on voit bien notre diplôme et le menu modal à droite avec l'onglet preuve ! L'université a été renommée, mais tout paraît valide.
Ok, mais du coup, qu'est-ce qui a été cassé en moins de deux heures par monsieur Levy ? Le mécanisme de cryptographie ? Le numéro de blockchain de l'émetteur du certificat ? Celui de l'émetteur lui-même ? Les infos écrites sur la blockchain ?
En réalité, ce n'est pas sur ce terrain qu'il s'est engagé. Malgré un gros titre aguicheur. Ce site est juste un site dummy, digne des sites que l'on reçoit pour le phishing. Concrètement, ce PoC implique de redéployer un site écrivant les mêmes infos. Pour résumer, ce post vise juste à dire : regardez, il est possible de recopier un site disponible sur Internet !
Et la preuve de l'attaque ? Ce serait du pipo ?
Du coup, est-ce une preuve valide pour décrédibiliser la blockchain et son utilisation ? Et bien, le problème est là, ce n'est absolument pas une preuve valide pour prouver ce point.
Ce genre d'attaque en informatique est très connu et accessible à tous en trois clics. Il suffit de télécharger les sources d'un site web et de le redéployer sur un autre nom de domaine. Cette attaque consiste juste à usurper l'identité d'un site valide pour que des utilisateurs tombent dans le piège, souvent pour donner des informations sensibles de connexion, par exemple.
Mais l'attaque ici n'a absolument pas touché à notre sécurité de la blockchain ou à sa décentralisation. Le PoC est donc complètement hors sujet pour prouver le point.
Dans les commentaires et dans la section solution, monsieur Levy essaie du coup de nous convaincre que la blockchain est inutile, car pour un utilisateur, la confiance de ce certificat repose uniquement sur le nom de domaine, seule donnée facilement accessible et vérifiable, mais c'est ici que son propos manque de nuance. Ce problème d'usurpation d'identité est inhérent à tous les sites du monde, et celui de l'université de Lille ne fait donc pas défaut à cette attaque, pour le moment...
Qu'est-ce qui manque à ce mécanisme alors ?
Pour contrer ce mécanisme d'usurpation d'identité, il manque un simple détail à l'architecture de la solution actuelle. Et c'est d'ailleurs là que la blockchain prendra tout son intérêt pour l'université.
Actuellement, il manque un moyen de vérifier en prenant le hash d'une transaction les informations écrites dans la blockchain à un moment. Il faudrait ainsi simplement que l'université de Lille ajoute une fonctionnalité permettant de donner le hash d'une transaction sur son site pour vérifier que les informations écrites dans la blockchain coïncident avec le certificat.
En quoi faire cela réduit le risque de l'attaque démontrée par monsieur Levy ? Car il faudrait maintenant, en plus de déployer son site d'usurpation sur un autre domaine, déployer un site usurpant tout le site de l'université de Lille de vérification de certificat et que ce dernier se classe mieux sur les moteurs de recherche que le site officiel de l'université pour que son certificat apparaisse comme valide.
De plus, si la vérification se fait dans un smart contract, on pourrait utiliser n'importe quel site proposant d'interagir avec un smart contrat de la blockchain Ethereum pour vérifier le hash proposé et les informations.
C'est sur ce sujet que l'article aurait dû porter, et non sur l'inutilité de la blockchain. Car oui, la blockchain est utile dans ce contexte, c'est juste un manquement dans l'architecture, facilement réalisable, qui rend la solution un peu plus faible que prévu. C'est dommage de dénaturer un outil utile au profit d'une autre "solution" qui ne résout aucun de ces problèmes.
Le problème de la "solution" proposée contre la blockchain
L'article ne nous laisse pas sur notre faim et nous propose tout de même une alternative "low-tech" à l'utilisation de la blockchain : une application toute simple en Ruby on Rails avec une base de données PostgreSQL déployée sur un random cloud provider, utilisant probablement des serveurs AWS.
C'est quoi le problème de cette solution du coup ? Déjà, on vient de faire sauter la décentralisation en trois secondes. Utiliser des serveurs d'un seul cloud provider, loué probablement à un géant américain, c'est absolument problématique pour les raisons évoquées plus haut.
Et aussi, on vient de faire sauter l'aspect sécurité. La décentralisation n'étant plus de la partie, nous pouvons maintenant réécrire comme on le souhaite la chaîne de blocs de diplômes, car nous sommes les seules personnes maîtres sur le réseau.
Bah du coup, la solution proposée ne répond à aucune des demandes initiales, ce qui n'est vraiment pas une solution finalement.
De plus, dans le paragraphe solution, il est dit que la confiance de l'utilisateur est basée sur le nom de domaine et l'État. Hors, c'est justement tout le but de ce projet. Cette affirmation est ainsi fausse. L'utilisation de la décentralisation est justement pour faire face à la défiance des utilisateurs face aux États en général.
Et du coup, au final, cette conclusion : Les universités n'ont pas besoin de gadgets technologiques pour être des tiers de confiance. Il suffit de s'appuyer sur leur nom de domaine. Cela permet de déployer des solutions de (relativement) basse intensité technologique est complètement fausse et ne répond pas au besoin initial.
Et du coup, Blockchain ou pas Blockchain ?
La blockchain est un outil, tout comme peut l'être la programmation fonctionnelle, les serveurs, le cloud ou toute autre brique de l'informatique. Taper à grands coups de marteau que l'université jette l'argent par les fenêtres au profit de projets utilisant la blockchain est faux et malhonnête. Son utilisation est justifiée précisément dans ce genre de contexte, mais il suffit seulement de le comprendre et d'arrêter de penser qu'un outil est bon ou mauvais.
Le tournevis n'est pas moins bon qu'une visseuse. Chacun sera utile dans un contexte différent. Pour autant, je n'ai jamais vu un bricoleur écrire un article sur l'utilisation aberrante de la visseuse dans tel ou tel contexte où elle a sa place. Cela devrait être pareil dans la tech. La solution unique n'existe pas ; il faut prendre le temps d'étudier le besoin métier et répondre en cohérence.
Oui, faire le même projet avec la solution "low-tech" proposée n'aurait jamais été accepté. Non pas parce que le projet n'utiliserait pas les buzzwords comme IA ou Blockchain, mais plutôt que la solution proposée ne répondrait pas au besoin initial et serait donc rejetée.
Merci d'avoir lu ce debunking d'un joli post LinkedInien par un autre LinkedInien. Cet article ne vise pas à attiser de la haine, juste à débunker sans arrière-pensée et encourager une réflexion sur les outils en général.
À très vite,
Valentin pour Tornade.io
Vidéo
Vous pourrez retrouver prochainement ce texte en vidéo sur la chaîne YouTube de Tornade.io et sur son site web tornade.io.
J'avais lu cet article ridicule de M. Levy sur LinkedIn! D'ailleurs il vient de rappliquer récemment 😄
"Que l'Italie quitte l'union Européenne au profit d'une union plus favorable" 🤣🤣🤣
Ce que je voudrais ajouter ici c'est qu'à la différence d'Ethereum et les blockchains qui copient son architecture, sur Hive (et Steem) l'Université (de Lille ou d'ailleurs) pourrait enregistrer non plus le hash du diplôme, comme il se fait actuellement de manière courante, mais le contenu même du diplôme, potentiellement structuré. Un exemple concret dans cet article, mon récent diplôme de master en droit de l'union européenne de l'Université de Lorraine. Certes, moi non plus je ne démontre rien, car ça aurait dû être inscrit non pas par moi, le récipiendaire, mais par l'Université elle-même.
Cela permet déjà à tout un chacun d'accéder au contenu sans avoir besoin d'accéder aux serveurs de l'Université et surtout cela permet de chercher et trouver des gens qui cumulent un certain nombre de qualifications.
C'est bien ce qu'on fait aujourd'hui en utilisant la solution de BCdiploma. Toutes les données, y compris le modèle graphique sont écrites dans la blockchain Avalanche (voir par exemple leur article de blog sur l'intérêt d'écrire les données dans une blockchain).
Ce que j'aimerais savoir c'est quel est le business model de BC Diploma maintenant (je connaissais le précédent). Où est-ce qu'ils ont placé le "toll booth", d'où et de qui est-ce qu'ils se rémunèrent ?
De ce que j'ai compris, mais il faudrait leur demander, ils se rémunèrent sur le service de mise en place de leur solution, de personnalisation, d'accompagnement, et de développement à façon. Ils ne veulent pas se transformer en simple intermédiaire d'émission de certificats qui se rémunérerait à chaque certificat émis. Il y a bien les 2 aspects dans leur contrat avec nous aujourd'hui, mais ça pourrait changer.
Congratulations @boutvalentin! You have completed the following achievement on the Hive blockchain And have been rewarded with New badge(s)
Your next target is to reach 200 upvotes.
You can view your badges on your board and compare yourself to others in the Ranking
If you no longer want to receive notifications, reply to this comment with the word
STOP
Check out our last posts:
Merci @boutvalentin pour ce bel article sur un sujet qui n'a pas fini de rebondir à l'Université de Lille et chez BCdiploma. Pour la petite histoire, et pour répondre au commentaire d'@itharagaian, le site démo initial reprenait le logo de l'université et la signature du président. Après un échange un peu musclé avec M. Levy, il a remplacé ces éléments pour éviter d'éventuelles poursuites en contrefaçon.
Ah, affectivement, merci pour la précision.