[Chronique] Web3 : comment anticiper les risques pour saisir l’opportunité ?

Dans sa nouvelle chronique, Michel Juvin détaille un futur chantier pour de nombreuses organisations : saisir les opportunités du Web3. Il revient notamment sur les actions à mener pour limiter les risques pour l’entreprise, face à la révolution en cours.

Web3 comment anticiper les risques pour saisir lopportunitéDans ce siècle hyper techno, il y a des révolutions qui ressemblent à des ruptures d’homothétie presque tous les dix ans ; et dans cet environnement en perpétuel mouvement, le rôle de l’expert cybersécurité est aussi de veiller à ce que les risques liés à ces nouveaux environnements soient plutôt considérés comme des opportunités de développement pour l’entreprise.

Dans ce contexte, si l’environnement du Web3 semble encore éloigné pour beaucoup d’entreprises, leurs experts cybersécurité doit s’y préparer. D’autant plus que certaines organisations ont déjà investi dans ce Web3 pour y développer des activités commerciales. L’objet de cette chronique est donc d’en présenter les enjeux et de préciser les risques et possibilités de ce monde qui n’est plus seulement réservé à quelques rares innovateurs opportunistes.

Web3 : des caractéristiques à comprendre, pour le différencier de l’expérience actuelle du web

Historiquement, le développement du Web3 répond à une volonté d’indépendance issue des constats d’espionnage, de corruption et de manque de liberté de certains acteurs. Dans le contexte des premières publications d’Edward Snowden en 2013 montrant un internet surveillé par la NSA, puis de la révélation des scandales de Cambridge Analytica ou des Facebook Files et la montée en puissance des ransomwares, l’envie s’impose chez beaucoup d’acteurs de s’affranchir des grandes plateformes et de remettre toute la sécurité et l’information dans une grande chaîne de valeur que tous les utilisateurs doivent recertifier de manière décentralisée : la blockchain.

On peut ainsi dire que le Web3 a pour objectif de rendre la souveraineté aux utilisateurs et de leur permettre également de « posséder » quelque chose sur internet directement (typiquement à travers des NFT). Un signe de son succès actuel est par exemple le nombre de visiteurs de la NFT Conférence de Paris qui est passée de cinq cent en 2022 à dix-huit mille en 2023.

Récemment, le développement du Web3 a souvent été associé dans les discours aux avancées sur les métavers. Pourtant, des différences notables sont à prendre en compte, notamment pour penser la protection de l’information.

Ainsi, les métavers sont multiples car portés par des fournisseurs, avec souvent une proximité vis à vis des plateformes de jeu et des réseaux sociaux (donc une grande variété de sociétés privées), alors que le Web3 dans sa globalité est unique et chaque utilisateur dispose des mêmes moyens de contrôle ; il n’y a pas de réglementation, ni d’autorité de modération unitaire qui en contrôlerait l’ensemble de son périmètre.

Les métavers sont ainsi plus proche du « Web2 » que nous connaissons majoritairement aujourd’hui, qui propose d’associer les réseaux sociaux (Facebook, Instagram, Twitter, Youtube…) à Internet, ce qui vous permet de naviguer avec une certaine expérience mais vous soumet à une autorité de régulation et de contrôle liée à chacun de ces plateformes.

A lire aussi : [Chronique] Chiffrement vs Quantique : où va-t-on ?

Liberté, propriété, police, transactions…

Le Web3 quant à lui, associe dans un environnement unique un identifiant (wallet électronique) et des applications dites « 3.0 », interopérables entre elles tout en s’appuyant sur une carte géographique unique. Ces applications reposent sur une infrastructure décentralisée et ne sont donc pas soumises à une autorité centrale de régulation. D’un point de vue de la protection des données, les informations sont stockées sur les postes des utilisateurs (de façon non-centralisée, en suivant le principe de la blockchain) et leur accès est protégé par un identifiant : le wallet. Cette protection est réputée fiable actuellement[1]. Chaque utilisateur choisira donc de partager ou non des informations avec ces applications.

Pour interagir avec les applications du Web3, il suffit soit, d’avoir ajouté une extension spéciale sur son navigateur depuis internet, soit, d’utiliser un navigateur spécifique (comme Brave ou Opera par exemple) intégrant un portefeuille en cryptomonnaie qui servira d’identifiant à l’utilisateur. Celui-ci aura alors accès aux applications qui interagiront entre elles comme le monde de l’internet classique, avec des applications téléchargées depuis une plate-forme spécifique.

Du point de vue d’une entreprise, une présence sur le Web 3, où des utilisateurs peuvent surfer virtuellement, est une opportunité de développement commercial et de communication. Cette présence permet notamment de s’appuyer sur des « smart contracts » pour effectuer des transactions financières décentralisées (voir plus bas).

Par contre, l’absence de réglementation entraîne aussi une forme de liberté à outrance : certains on dont qualifié cet environnement de « Far-West de l’internet ». Implicitement, cette absence de réglementation entraîne en effet l’absence d’autorités de surveillance ou de police facile à mettre en œuvre. Les comportements et achats ne sont donc pas contrôlés et peuvent être exempts aussi de toutes taxes et de factures. Il n’y a pas de censure non plus. Avec la logique de finance décentralisée, vous pouvez par exemple échanger de l’argent avec un tiers sans passer par une banque ni une autorité de régulation, avec toutes les possibilités de fraude que cela implique.

La notion de propriété promise par le Web3, elle, s’appuie sur une transaction via des blockchain comme Ethereum ou Polygon. En créant une application, il est possible d’accueillir dans un espace des personnes avec ou sans avatar, offrir ou vendre des informations ou des services, d’être connecté dans le monde réel et acheter ou vendre des biens matériels. En s’appuyant ainsi sur la blockchain, le Web3 propose de « posséder des données », pour des usages variés.

Au cœur du Web3 : les smart contracts et les DAO

En résumé, le Web3 ouvre l’accès à toutes les fonctionnalités de la Finance Décentralisée : échanger immédiatement des crypto-monnaies sans intermédiaire et de manière sûre puisque sécurisée par la blockchain. Mais pour cela, il faudra aussi posséder un nom de domaine et une position géographique pour accueillir les visiteurs et offrir des applications 3.0. C’est ce que vont permettre d’établir les smart contracts et les DAO.

Un smart contract est un contrat établi entre une ou plusieurs personnes (lesquelles sont identifiées par leur wallet respectif). Si les conditions sont réunies, le contrat est alors automatiquement appliqué ; en particulier s’il s’agit d’un transfert de crypto-monnaies. Il n’y a pas besoin d’avoir recours à une autorité de régulation. Le smart contract est un programme informatique qui est enregistré sur la blockchain de référence. Par exemple, vous établissez un pari sur une course ; le montant du pari est enregistré dans un smart contract qui vérifie la disponibilité en crypto-monnaie sur les wallets des deux parieurs. A l’issu du résultat, le gagnant reçoit automatiquement le montant du pari. Il n’y a pas d’intermédiaire, pas d’attente et pas de contestation possible puisque pas d’interaction avec un humain.

Les smart contracts peuvent porter sur autant de domaine que possible ouvrant la voie à toutes les transactions commerciales comme les échanges de titre de propriété sur la blockchain choisie. Concernant les NFTs, vous définissez dans un smart contract le mode d’accès à votre NFT pour les autres personnes de la blockchain ; par exemple, louer son accès ou la publication de son NFT pendant une durée déterminée.

De son côté, une DAO (Decentralized Anonymous Organisation) est une organisation qui s’entend sur un objectif. Par exemple, le crowdfunding, ou financement participatif, peut être animé par un groupe de personnes qui s’engagent à investir dans un bien ou un NFT pour le bien de la DAO. Si les conditions sont réunies, alors l’acquisition se réalise automatiquement. Dans la définition de la DAO, il y aurait par exemple, la possibilité de partager le bien acquis ou le louer. Les DAO peuvent aussi avoir une activité commerciale et répartir les revenus entre les membres ; suivant une règle de répartition définie dans la DAO.

Une DAO est donc un smart contract qui est développé par tous les membres de l’organisation. Elle n’est pas régie par une instance centralisée et se gère par l’objectif qui est définit par le smart contract. S’il y a une décision à prendre, l’ensemble de ses membres votera en fonction du nombre de part qu’il détient dans la DAO. Le budget de la DAO est aussi comme toutes les décisions, soumis au vote des membres. Tout est librement enregistré via la blockchain de la DAO et automatiquement appliqué si les conditions sont réunies pour l’exécution du ou des smart contracts. Il en est de même, si une DAO décide de louer un bien par exemple, les revenus seront définis lors du smart contract et automatiquement attribués ; sauf s’il est décidé lors d’une réunion de capitaliser pour un autre objectif. On pourrait ainsi tout à fait imaginer une captive d’assurance sous forme de DAO qui libèrerait les frais de gestion tout comme les taxes liées aux entreprises dans le pays où elle réside !

La gestion décentralisée de cette société est avantageuse car il n’y a pas de structure de management et actuellement pas de taxes. Les exemples de DAO se multiplient d’ailleurs aujourd’hui.

En cas de conflit sur un droit à la propriété comme le nom de domaine ou un emplacement sur la carte physique du monde, il faudra défendre sa cause devant l’une des deux seules juridictions existantes actuellement ; l’une est à New-York et l’autre à Londres. Si votre demande est reconnue par l’un de ces tribunaux, un mécanisme d’envoi de NFT ayant une valeur légale, correspond à une forme d’injonction obligeant la personne propriétaire d’accepter de rendre le bien acquis[2].

Agir pour anticiper les risques

On le voit, le Web3 présente des opportunités d’un genre nouveau, dont les organisations vont de plus en plus être amenées à s’emparer. Mais il représente des risques qu’il faut estimer. J’ai listé ci-dessous quelques actions clés pour se prémunir de ces risques les plus évidents :

Eviter le cybersquatting

Comme dans tous les domaines, il existe des précurseurs qui ont compris qu’investir maintenant en établissant sa présence dans le Web3 est une opportunité de gains financiers importants. A ce titre, il existe des collectionneurs de nom de domaine en « .eth » qui ont acquis des droits de noms de domaine au lieu d’entreprises connues. Ils proposeront alors de revendre leur droit de propriété pour que celle-ci puisse y développer ses activités moyennant une contrepartie.

Si votre entreprise, n’a pas d’existence dans le Web3 (pas de noms de domaine), les clients de demain ne pourront pas interagir avec elle et vous pourriez même constater une diffusion d’informations pouvant nuire à la marque et perdre la confiance de vos consommateurs, ou même, voir vos clients se tourner vers un site malveillant avec toutes des conséquences financières d’un potentiel recours contre votre entreprise.

De plus, n’oublions pas qu’en cas de contestation face à un cyber-squatter, le coût pour défendre sa légitimité auprès de l’un des tribunaux précédemment cités, aux Etats-Unis ou au Royaume-Uni, sera forcément financièrement conséquent et prendra du temps.

S’assurer de l’indépendance de la blockchain

Le risque sur les infrastructures de la blockchain est aussi à prendre en compte. On considère que l’indépendance de la blockchain, qui repose sur son nombre de nœuds (points d’accès), et sa répartition géographique mondiale, éviteront une tentative de hacking sur ces nœuds. En effet, une telle tentative devra être parfaitement coordonnée sur les différents points d’accès. Plus il y a d’intermédiaires, plus la fiabilité de l’information est garantie, au prix de transactions un peu plus longues. Cependant, les exemples de failles de Blockchain existent sur des cas ou le nombre de nœuds est faible ; souvent moins d’une dizaine. Ce n’est heureusement pas le cas d’Ethereum ni de Polygon, que je citais précédemment.

Vérifier le code source du smart contract

La valeur d’un NFT ne réside pas dans l’œuvre mais dans le contrat. En effet, c’est avec ce dernier, qui est un programme qui exécute un certain nombre d’instructions (développées par le créateur du NFT), que chaque détenteur pourra l’utiliser. Il pourra par exemple publier ou afficher physiquement le NFT dans un média. Le smart contract permet aux applications d’interagir avec le NFT. Cela nécessite éventuellement de maîtriser ou de s’appuyer sur une personne connaissant le langage de programmation Solidity d’Ethereum pour vérifier le contenu du smart contract avec soin.

Protéger son identifiant wallet

Là aussi, la protection de la propriété intellectuelle (et des actifs en crypto !) est nécessaire en appliquant des règles de sécurité pour ne pas perdre le code de son wallet. Il est en effet impossible de le retrouver de soi-même, sachant qu’il est stocké dans la blockchain. Il existe ainsi des sociétés de services qui proposent de gérer ces clefs, mais dans ce cas, l’utilisateur sort de la philosophie initiale du Web3 (la non-dépendance à une instance centralisée) est alors mise de côté. Actuellement, la société Ledger propose par exemple de gérer physiquement l’accès à son portefeuille de crypto-monnaies. Il existe par ailleurs plusieurs solutions pour gérer ses crypto-monnaies via son wallet ; les ERC sont une solution simple qui ne nécessite pas d’enregistrer toute la blockchain de votre wallet préservant de l’espace sur votre machine.

Associer une valeur juridique française aux smart contracts du Web3

Au-delà du fait que les smart contracts ne respectent pas le règlement européen de la protection des données à caractère personnel (définition de l’identifiant, stockage des données identifiantes et suppression après 2 ans des identifiants…), ils n’ont pas non plus d’existence physique et donc ne peuvent pas être rattachés à une juridiction. Il est donc nécessaire d’associer un contrat physique au smart contract pour avoir une existence légale, en France en tout cas. Cela permettra alors de tenter une action en justice dans notre pays, si besoin.

Surveiller les réglementations en cours de définition

Dans ce monde Web3 encore libre de juridiction et de réglementation au niveau mondial et surtout européen, il faut rester attentif à plusieurs projets de réglementation :

  • MiCA: Markets in Crypto-Assets a pour objectif de définir l’offre publique et l’admission à la négociation de jetons et la fourniture de services sur les cryptos-actifs par des prestataires ainsi que de prévenir les abus de marché sur ces crypto-actifs,
  • PSAN : Prestataire de Services sur des Actifs Numériques impose une réglementation pour ces fournisseurs de services.
  • Enfin, les protocoles de la Finance Décentralisée (DeFI) comme (Aave et Uniswap) sont toujours vérifiables car « on-chain ».

Quels sont les autres points à anticiper pour une entreprise ?

Dans un avenir proche, l’Europe va définir un Euro digital pour permettre les transactions en crypto devises. L’utilisation des cryptos monnaies sera plus réglementée et autorisera la finance décentralisée avec plus de sécurité.

Il faut également tenir compte des risques que l’on peut estimer par rapport à son propre contexte, et identifier les plus importants. Dans ce monde encore proche du Far-West, il est en effet nécessaire de se forger un avis sur le Web3, afin de pérenniser l’évolution de l’entreprise dans ce nouveau monde.

Face au risque de cybersquatting de noms de domaine, il est par exemple opportun de réserver dès maintenant le nom de domaine de son entreprise. La démarche, présentée dans un article de 2020, requiert un peu d’expertise. D’autres sociétés comme Metaverse.domains proposent une assistance complète ainsi que des explications sur les problèmes et difficultés que l’on peut rencontrer. Elles proposent un certain nombre de services comme l’enregistrement de noms de domaine et une assistance pour protéger la marque des noms de domaines similaires et une assistance dans la Finance décentralisée. Le coût de cet enregistrement[3]  reste estimé à un niveau largement inférieur au coût nécessaire pour récupérer son nom de domaine en cas de cybersquatting.

En conclusion, je ne peux que recommander d’investir de manière opportune dans le Web3 en réservant son « .eth » dès maintenant pour marquer sa place et prendre le temps d’analyser les opportunités commerciales. Il sera ensuite temps de développer sa marque et de profiter des nouvelles opportunités de la finance décentralisée qui sera prochainement réglementée au niveau européen. En anticipant de la sorte, il sera aussi nécessaire d’associer dès le départ le directeur Cybersécurité de l’organisation dans la démarche pour diminuer les risques identifiés et pérenniser ce chemin vers le Web3… tout en protégeant l’accès à son précieux wallet !

[1] Pour autant, la blockchain repose sur le chiffrement asymétrique, lire les risques sur ma précédente chronique https://www.alliancy.fr/chiffrement-quantique-securite-informatique

[3] Le coût varie entre 400€ et 1000€ chez www.metaverse.domains