Twitter ne serait pas piraté s’il était soutenu par la technologie Blockchain

Twitter ne serait pas piraté s’il était soutenu par la technologie Blockchain

Portefeuille en ligne crypto monnaie

La loi de Murphy stipule: « Tout ce qui peut mal tourner va mal. » Cela arrive toujours avec les services centralisés. Il y a un an, nous avons vu comment un demi-million de comptes Facebook ont ​​été divulgués en ligne, révélant des données personnelles. Nous le verrons beaucoup plus avec d’autres services. Le récent piratage de Twitter le souligne une fois de plus. Les comptes d’Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, entre autres, ont été piratés pour pousser une offre frauduleuse avec Bitcoin (BTC).

Écrivant pour la BBC, le commentateur de la cybersécurité Joe Tidy a déclaré: «Le fait que tant d’utilisateurs différents aient été compromis en même temps implique que c’est un problème avec la plate-forme Twitter elle-même.» Tous les comptes étaient vulnérables; c’était juste une question de choix pour les pirates: il est préférable d’utiliser des célébrités pour «approuver» les escroqueries.

Le problème est que même si Twitter ou tout autre service avec une architecture similaire continue de construire les murs de cybersécurité autour de son système, il deviendra plus compliqué et coûteux, mais pas plus sûr. Le paradigme actuel des services centralisés ne peut offrir une solution plus sûre pour l’authentification des utilisateurs.

J’ai récemment écrit sur les nouvelles technologies qui pourraient protéger les données et l’identité numérique, en utilisant l’exemple de l’Australie et de l’expérience européenne et comment les certificats de clé publique pourraient être protégés avec la technologie blockchain contre le déni de service distribué et l’homme au milieu. attaques. Bien que mon analyse soit assez technique et approfondie, il serait peut-être préférable de prendre du recul et de passer en revue certains détails généraux mais pertinents qui peuvent améliorer la protection des données.

Voici une terminologie à utiliser lorsque vous demandez à votre fournisseur de services, à votre boutique en ligne ou à votre gouvernement s’ils protègent vos données personnelles:

  • Identifiants décentralisés, ou DID, est un cadre général du W3C avec différentes méthodes pour créer et gérer des identifiants personnels de manière décentralisée. En d’autres termes, les développeurs de services en ligne n’ont pas besoin de créer quelque chose de nouveau s’ils veulent utiliser le potentiel des technologies décentralisées. Ils peuvent utiliser ces méthodes et protocoles.
  • Protocole de divulgation sélective, ou SDP, qui a été présenté l’an dernier à l’EOS Hackathon par le co-fondateur de Vareger, Mykhailo Tiutin et son équipe, est une méthode décentralisée de stockage de données personnelles (à l’aide de DID) avec protection cryptographique sur une blockchain. Avec SDP, l’utilisateur peut divulguer des informations soigneusement sélectionnées dans une transaction particulière.
  • Identité auto-souveraine, ou SSI, est un concept qui, en termes simples, permet aux utilisateurs d’être les propriétaires souverains de leurs données personnelles et de leur identité, et non des tiers. Cela implique que vous pouvez stocker des données personnelles sur votre appareil, pas sur le serveur de Twitter ou de quelqu’un d’autre. Pour illustrer la puissance du concept SSI, réfléchissez à cette affirmation: il est plus facile de pirater un système centralisé stockant des millions de comptes que de pirater des millions d’appareils personnels. Mais la question est beaucoup plus profonde. Si jamais nous sommes confrontés à une dictature numérique, la racine de ce problème sera l’absence du droit de contrôler et d’interdire à des tiers (y compris le gouvernement) de stocker et d’exploiter vos données personnelles. La terrible expérience avec les Ouïghours en Chine en est un exemple. Les citoyens n’ont pas le droit légal de refuser au gouvernement de collecter leurs données personnelles. Bien sûr, le gouvernement chinois a créé des comptes sans son consentement pour obtenir des informations sur ce qu’il considère comme un comportement inapproprié.

Pour mettre les choses en perspective, passons par une situation hypothétique.

Cas d’utilisation: Alice et son identité numérique

Alice génère sa paire cryptographique: une clé privée et publique. La clé privée chiffre les transactions à l’aide d’une signature numérique; la clé publique les déchiffre. La clé publique est utilisée pour vérifier si Alice s’est connectée, signé le contrat, signé la transaction blockchain, etc.

Pour protéger la clé privée, elle la stockera sur un appareil matériel sécurisé avec protection PIN, par exemple, sur une carte à puce, un jeton d’authentification USB ou un portefeuille de crypto-monnaie matériel. Néanmoins, une adresse de crypto-monnaie est une représentation d’une clé publique, ce qui signifie qu’Alice peut l’utiliser comme sa monnaie et son portefeuille de jetons.

Bien que la clé publique soit anonyme, elle peut également créer une identité numérique vérifiée. Elle peut demander à Bob de certifier son identité. Bob est une autorité de certification. Alice rendra visite à Bob et lui montrera sa carte d’identité. Bob va créer un certificat et le publier sur une blockchain. « Certificat » est un fichier qui annonce au grand public: « La clé publique d’Alice est valide. » Bob ne le publiera pas sur son serveur de la même manière que les autres autorités de certification traditionnelles le font actuellement. Si un serveur centralisé était jamais désactivé lors d’une attaque DDoS, personne ne serait en mesure de confirmer si l’identité numérique d’Alice est valide ou non, ce qui pourrait conduire quelqu’un à voler son certificat et à truquer son identité. Cela serait impossible si le certificat ou au moins sa somme de hachage étaient publiés en chaîne.

Avec une pièce d’identité vérifiée, elle peut effectuer des transactions officielles, par exemple, enregistrer une entreprise. Si Alice est un entrepreneur, elle peut vouloir publier ses contacts, comme un numéro de téléphone. L’utilisation d’une blockchain est un choix plus sûr car lorsque des données sont publiées sur les réseaux sociaux, un pirate peut s’introduire dans un compte et le remplacer pour rediriger les appels vers un autre numéro. Rien de tout cela ne serait possible sur une blockchain.

Si Alice va dans un magasin d’alcools, elle peut utiliser son DID vérifié. Le vendeur, Dave, utilisera son application pour vérifier et confirmer le DID d’Alice au lieu de son ID papier. Alice n’a pas besoin de divulguer son nom et sa date de naissance. Elle partagera avec l’application de Dave son identifiant, que Bob a certifié, sa photo et un «Au-dessus de 21 ans». déclaration. Dave fait confiance à cet enregistrement car Bob est une autorité de certification.

Alice peut créer divers pseudonymes pour les achats en ligne, les médias sociaux et les échanges cryptographiques. Si elle perd sa clé privée, elle demandera à Bob de mettre à jour son dossier sur la blockchain pour annoncer que « la clé publique d’Alice n’est pas valide ». Par conséquent, si quelqu’un l’a volée, tous ceux qui interagissent avec sa clé publique sauront qu’ils ne doivent pas croire les transactions signées avec cette clé.

Bien sûr, il s’agit d’un scénario simplifié, mais il n’est pas irréaliste. De plus, certains de ces processus existent déjà. Par exemple, la carte de résidence électronique estonienne n’est rien de plus qu’une carte à puce avec la clé privée de l’utilisateur. Avec cette carte, vous pouvez enregistrer à distance une entreprise en Estonie ou même signer des contrats. Étant intégrées dans un marché plus vaste, les signatures numériques estoniennes sont reconnues dans toute l’Union européenne. Malheureusement, ses gouvernements ne protègent toujours pas les certificats sur les chaînes de blocs.

La connaissance, c’est le pouvoir. Les utilisateurs doivent savoir que leur cybersécurité n’est pas seulement entre leurs mains, comme on pourrait le dire. Les géants des logiciels et des médias sociaux devraient opérer un changement pour améliorer les normes de sécurité, et les utilisateurs devraient l’exiger.

Les vues, pensées et opinions exprimées ici sont celles de l’auteur uniquement et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Crypto.

Oleksii Konashevych est l’auteur du protocole Cross-Blockchain Protocol for Government Databases: The Technology for Public Registries and Smart Laws. Oleksii est titulaire d’un doctorat. membre du programme conjoint de doctorat international en droit, science et technologie financé par le gouvernement de l’UE. Oleksii a collaboré avec le Hub d’innovation de la Blockchain de l’Université RMIT, en recherchant l’utilisation de la technologie de la blockchain pour la gouvernance électronique et la démocratie électronique. Il travaille également sur la tokenisation des titres immobiliers, les identifiants numériques, les registres publics et le vote électronique. Oleksii a co-rédigé une loi sur les pétitions électroniques en Ukraine, en collaboration avec l’administration présidentielle du pays et en tant que gestionnaire du groupe non gouvernemental sur la démocratie électronique de 2014 à 2016. En 2019, Oleksii a participé à l’élaboration d’un projet de loi sur la lutte contre le blanchiment d’argent et les problèmes fiscaux pour les actifs cryptographiques en Ukraine.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *