Blockchain et Assurance entre ambition et réalité : les risques et le cadre réglementaire
Comme vu dans l’article précédent, la Blockchain dispose indéniablement d’un certain nombre de consensus technologiques pour assurer la sécurité des transactions : son caractère décentralisé et distribué permet une forte disponibilité du système ainsi que la traçabilité des transactions.
Les risques majeurs de la Blockchain
La Blockchain est une opportunité pour faire émerger une nouvelle forme de confiance. Cependant, comme on pourrait s’en douter, cette technologie n’est pas parfaite et présente des faiblesses. Les risques sont toutefois bien identifiés et se regroupent en trois catégories :
– Des risques associés à l’écosystème de la Blockchain : La Blockchain ne sécurise que ce qu’elle stocke. La protection des clés privés et publiques, externes à la Blockchain, est nécessaire pour éviter la signature de transactions frauduleuses ou le vol d’identité ou de portefeuille. Par ailleurs, la vulnérabilité des interfaces extérieures, telles que les Oracles, impacte la Blockchain. Il est globalement plus facile de s’attaquer à l’écosystème Blockchain qu’à la Blockchain elle-même.
– Des risques associés à la gouvernance de la Blockchain : Le regroupement des mineurs en « Pool de mining » pourrait fédérer une puissance de calcul importante. Cette pratique peut engendrer des risques de fraude pour la validation des transactions.
– Des risques associés à la qualité du code des smart contrats : Tout comme les autres programmes informatiques, les développements des smart contrats sont susceptibles de contenir des erreurs de programmation qui peuvent avoir un impact critique sur la finalité de leur exécution. La grande différence est qu’un programme défectueux inséré dans la Blockchain n’est plus modifiable ce qui rend encore plus critique la qualité de la recette avant mise en production.
Attaques en double dépense des transactions :
Le minage, qui représente le processus de validation des blocs, peut se transformer avec le regroupement des mineurs en un risque menaçant la capacité des utilisateurs du réseau à valider les transactions. En effet, le regroupement des mineurs peut être un point de départ pour déployer une stratégie de minage frauduleuse : le minage égoïste ou selfish-mining. La fraude consiste à émettre deux transactions qui dépensent le même avoir : la première transaction est émise pour payer un premier destinataire, la seconde transaction est émise pour payer un complice ou le pirate lui-même, afin de récupérer la somme dépensée. Les deux transactions sont enregistrées dans deux branches concurrentes de la Blockchain. Grâce à la puissance de calcul du regroupement, la branche frauduleuse devient la branche principale. Dans ce cas, la première transaction ne pourra pas être recyclée dans un autre bloc car elle sera jugée invalide car incompatible avec la seconde transaction et sera donc finalement rejetée.
Attaques 51% :
Cette attaque consiste à avoir plus de 51% de la puissance de calcul du réseau dans le but d’annuler, ajouter ou modifier des transactions. L’idée est de créer une chaîne alternative et plus longue que la Blockchain existante afin de la remplacer et de faire ainsi disparaître certaines transactions. A titre d’exemple, un mineur possédant plus de 51% de la puissance de calcul veut annuler une transaction de A vers B. Il mine donc une chaîne secondaire, démarrant avant le bloc contenant cette transaction. Il n’inclue pas la transaction dans les blocs minés. Etant donné que la chaîne la plus longue est privilégiée sur le réseau de la Blockchain, l’attaquant a désormais une chaine plus longue que la chaine historique, et est en capacité de remplacer la chaîne précédente. La transaction a donc disparu de la Blockchain et B ne recevra pas les fonds qui lui sont dus.
Attaque Bitfintex :
Cette attaque correspond à un vol d’identité ayant permis de dérober, le 2 août 2016, 120 000 bitcoins, soit un peu plus de 64 millions d’euros au cours actuel, à la plateforme d’échange Bitfinex. Cette attaque s’est articulée autour d’une compromission des serveurs Bitfinex et un vol des clés privées de la plateforme. Les attaquants ont ainsi utilisé la clé Bitfinex pour signer des transactions frauduleuses vers leurs comptes. Le montant volé représente 36% des fonds de Bitfinex.
Le hack The DAO :
La DAO, l’organisation décentralisée hébergée sur la Blockchain d’Ethereum, a été délestée d’une grande partie de ses fonds par l’un de ses utilisateurs, pour un montant de 3 millions d’ETH équivalent à plus de 50 M$. Un utilisateur de la plateforme a découvert un bug dans le code « recursive call ». L’exploitation de cette vulnérabilité a conduit à une collecte répétitive des Ethers dans une DAO secondaire. Pour empêcher le voleur à récupérer ces fonds, 72% de la communauté des Ehtherum a voté pour une hard Fork, c’est-à-dire une modification de la Blockchain existante pour récupérer les Ethers volés. L’idée est d’effectuer une attaque équivalente à une attaque 51% pour créer une nouvelle chaîne plus longue, qui annulera la précédente opération de vol.
Le cadre réglementaire est en construction
En France, les régulateurs sont mobilisés par cette nouvelle technologie et visent à construire un cadre juridique adéquat pour tirer profit des avantages de la Blockchain tout en protégeant les consommateurs des risques et des attaques :
– La loi Macron votée en avril 2016, a constitué un premier pas vers une adaptation de la règlementation financière. Le gouvernement a évoqué son intention d’expérimenter l’apport de l’utilisation de la Blockchain au sein du marché de bons de caisse.
– Les régulateurs examinent les aménagements du cadre juridique national en matière de circulation des titres financiers non cotés rendus nécessaires par l’émergence de la Blockchain. L’adoption de la loi SAPIN II le 8 novembre 2016 constitue une initiative qui autorise l’utilisation de la Blockchain dans les opérations sur titres non cotés. L’idée est d’assurer la dématérialisation de titres en recourant à la Blockchain qui permettrait aux utilisateurs de disposer d’une traçabilité des mouvements de transactions.
– La publication de l’ordonnance « Blockchain » n°2017-1674, le 09 décembre 2017,
constitue une étape importante dans l’autorisation officielle d’émission et de cession des titres financiers dans le réseau Blockchain.
Malgré cette mobilisation, la construction d’un cadre juridique à même de répondre à l’ensemble des spécificités de la Blockchain n’est pas encore abouti. En effet, la Blockchain soulève des problématiques essentielles quant aux questions de responsabilité. Ces problématiques recèlent une multitude de questions dont les réponses s’avèrent cruciales pour le développement des applications de la Blockchain en assurance. Les défis législatifs portent sur les caractéristiques même d’un système décentralisé, la notion de smart contrats, ainsi que la taxation des biens échangés par le biais des cryptomonnaies.
De grandes manœuvres en assurance ont été initiées autour des smart contrats. Cependant, le caractère numérique et automatisé de ces contrats intelligents qui veillent à nouer des relations de confiance entre des utilisateurs ou des organisations sans passer par une intervention centrale, soulève des problèmes de responsabilité. Par conséquent, le statut législatif des smart contrats nécessite un éclairage en l’absence d’un texte de loi qui régule les principales caractéristiques de ces contrats intelligents. De surcroît, la dématérialisation applicable par la DAO amène systématiquement à des problématiques autour de l’identification des responsabilités avec un système qui pourrait présenter un passeport digital mondial et construire des identités numériques sans territoire.
A l’heure actuelle, l’ACPR se concentre essentiellement sur des activités de veille autour de la Blockchain et des crypto-monnaies. L’autorité n’impose et ne régule pas l’usage de la technologie, mais supervise les usages qui en sont fait. Ainsi, l’autorité de l’ACPR s’inscrit dans une démarche de mise en place de « Regulatory Sandboxes » pour permettre et soutenir l’innovation. Les « Regulatory Sandboxes » autorisent les compagnies d’assurance à tester des produits, services, ou Business Models innovants dans des environnements réels, avant que ceux-ci ne soient officiellement autorisés.
Le principe de l’Etat de droit est de tout autoriser sauf ce qui a déjà été interdit pour observer les cas d’usage avant d’adopter une jurisprudence quant à la Blockchain. En conséquence, le législateur ne prend pas une position définitive par rapport aux usages de cette nouvelle technologie pour ne pas brider cette innovation et freiner prématurément son potentiel. En début 2017, l’ESMA considère prématuré de légiférer autour de la Blockchain.
Les applications de la Blockchain, partout prégnantes, interpellent le cadre législatif français pour prendre un positionnement par rapport à ses usages. Pour ce faire, une appétence pour les nouvelles technologies dans le corps réglementaire est nécessaire afin de pouvoir tirer profit de la Blockchain tout en protégeant les consommateurs de tout usage malveillant. La difficulté réside dans la nécessité de cette protection sans pour autant étrangler le potentiel de la technologie. La proposition du Député européen, membre de la Commission des Affaires Economiques et Monétaires Jacob von WEIZSACKER, approuvée par le Parlement Européen en mai 2016, met l’accent sur la nécessité de la constitution d’une « Task Force ». Le but est de construire une expertise dans le domaine des monnaies virtuelles et des expertises judiciaires pour soumettre des propositions de lois.