Le crise qu’a récemment traversé la crypto-monnaie Bitcoin aura eu le mérite de nous faire réfléchir à la notion de confiance.

Car si l’on comprend bien que la confiance est fondamentale à toute activité SSI, elle n’est que rarement étudiée en tant que telle : quels sont les mécanismes qui la soutiennent, et peuvent-ils évoluer ? Concrètement la confiance – en tant que matière première de la SSI – ne peut-elle exister que dans sa forme actuelle  ?

L’aventure du Bitcoin est un bon point d’entrée dans cette réflexion. Car avant d’être une monnaie le Bitcoin est avant tout une expérience : son auteur a cherché à prouver qu’une monnaie adossée à aucune banque centrale, à aucun gouvernement ni à aucune entité ou individu, pouvait fonctionner.

Et l’idée n’avait rien d’évident. Car pour qu’une monnaie ait de la « valeur » (autrement dit, pour qu’on lui fasse confiance), il est de coutume qu’elle soit adossée à une garantie capable de convaincre ses utilisateurs d’échanger contre elle leur travail ou leurs biens. Sans entrer dans la passionnante histoire de la monnaie, l’or a longtemps joué le rôle de cette garantie. Parce qu’il n’existe qu’en quantité finie sur la planète (quoi qu’en disent les alchimistes…) c’est sa rareté qui conférait sa valeur à la monnaie qui lui était adossée. Valeur qui était, de fait, directement proportionnelle à la quantité d’or entassée dans les coffres de l’émetteur.

C’est ici que se joue la confiance : elle est liée à la puissance de l’émetteur. Car plus le nombre d’utilisateurs d’une monnaie est important, plus l’entité qui la garantit doit être puissante. Dans cet exemple, posséder de grandes quantités d’or implique indirectement d’avoir la capacité de l’acquérir et de le protéger. Ainsi outre la rareté elle-même, il s’agit donc bien aussi du reflet de la puissance de son propriétaire.

Aujourd’hui les monnaies légales ne sont plus adossées à l’or mais restent garanties par la puissance d’un état : son économie, son activité industrielle, sa capacité à attirer des capitaux ou à exporter, et bien sûr sa capacité à assurer sa propre sécurité… C’est finalement une mesure peut-être plus juste, et en tout cas plus granulaire, de la puissance. Mais le principe de confiance demeure le même. Les utilisateurs acceptent la monnaie parce qu’ils estiment que la puissance de l’émetteur est une garantie de pérennité suffisante pour conserver leur valeur au travail ou aux biens une fois ces derniers convertis en monnaie.

A l’autre bout du spectre rien n’interdit à une poignée d’individus de créer leur propre monnaie afin de faciliter les échanges entre eux (la création d’une monnaie privée est légale). Mais la confiance qu’ils pourront y apporter sera limitée à un capital ou à une richesse commune, ou elle existera de facto parce qu’ils se connaissent tous et se font déjà confiance (il n’y aura donc pas de création de confiance)

Mais quelle confiance accorder à une monnaie qui ne serait adossée à aucune richesse, garantie par aucune puissance et dont les utilisateurs ne se connaissent pas ? Cela semblait jusqu’à présent impossible. Après tout même les monnaies dites virtuelles utilisées par exemple dans les jeux vidéo massivement multijoueurs sont adossées à une banque centrale. Il s’agit dans ce cas de l’exploitant du jeu vidéo lui-même, main toute puissante capable de réguler la circulation de sa devise et d’en contrôler l’émission. Le meilleur exemple d’une telle économie ludique est EVE Online, dont le studio de développement a embauché un économiste pour superviser l’évolution de la monnaie virtuelle du jeu.

Une monnaie adossée à rien du tout, c’est pourtant le défi qu’a voulu relever le créateur de Bitcoin. Et sa solution est terriblement élégante : la confiance y est garantie par les mathématiques. L’algorithme qui sous-tend la génération des bitcoins (et qui garantit leur authenticité) est conçu pour limiter artificiellement la quantité de monnaie en circulation à un moment donné, pour un maximum de 21 millions de bitcoins aux alentour de 2040. Et c’est tout : la monnaie n’est adossée à rien d’autre que la capacité d’un algorithme à garantir l’authenticité des jetons créés et le rythme de leur création (amenant ainsi un effet de pénurie programmée). D’autres principes secondaires sont certes à l’oeuvre pour renforcer la rareté (notamment le fait que les bitcoins perdus ne peuvent être recréés) ainsi que la confiance (une liste unique et publique des transactions, un historique complet de chaque jeton en circulation…) mais la valeur intrinsèque du Bitcoin est avant tout basée sur sa rareté programmée (elle-même fonction de la difficulté croissante de génération des bitcoins, et donc adossée, tout de même, à une consommation de puissance de calcul et au final à une dépense électrique pour les générer)

Qu’est-ce que cela nous apprend ? Bien sûr d’abord à nous poser la question de la garantie : qu’est-ce qui, objectivement, soutient la confiance que je peux placer dans telle ou telle entité, au regard de la valeur de ce que je lui confie ? A-t-elle la motivation et les moyens suffisants pour agir afin de défendre mes intérêts une fois que je lui aurai donné ma confiance ? Certes, il s’agit là du principe de base de l’analyse du risque (financier, notamment) mais son extension à de nombreuses autres facettes de la SSI peut être un exercice intéressant.

Prenons par exemple le cas de SSL : la confiance que l’on peut apporter dans un certificat numérique est garantie avant tout par son émetteur. Certes, les mathématiques sont là aussi afin d’assurer que la chaîne de confiance n’est pas compromise, mais c’est avant tout à une entreprise que l’on donne notre confiance. Et en particulier en sa capacité à se protéger des intrusions et en sa pérennité. Toutes ne disposent pas cependant des mêmes moyens, et les utilisateurs de Diginotar, Comodo, GlobalSign, KPN ou DigiCert, par exemple, ont clairement vus leur confiance trahie. Certes, SSL et ses certificats numériques sont toujours là, mais le fait que cette technologie repose par principe sur une autorité centrale est désormais une faiblesse reconnue.

Ce qui nous conduit au second enseignement que l’on peut tirer de la crise du Bitcoin : une autorité centrale (la banque centrale dans le cadre d’une monnaie ou l’Autorité de Certification dans le cas de SSL) est-elle vraiment toujours nécessaire ? Ne serait-il pas possible de s’en passer dans certains cas ?

Le fonctionnement de Bitcoin prouve que c’est possible. Car certes une place de marché a disparu et des vulnérabilités techniques sont connues, mais le fondement même de la confiance en la monnaie demeure intact. Et la confiance est intacte car, entre autre, elle est distribuée : Mt. Gox, le courtier en faillite, n’est pas Bitcoin mais simplement un de ses acteurs parmi d’autres. Et il n’est pas Bitcoin car il lui est impossible de l’être : la confiance en Bitcoin est entièrement distribuée (les transactions sont validées par des noeuds volontaires du réseau en mode Peer-to-Peer).

Il se trouve qu’une approche similaire est envisagée pour SSL : il s’agit du projet Convergence, qui vise à se passer tout simplement des Autorités de Certification. Celles-ci seraient remplacées par des noeuds distribués, des « notaires » que n’importe qui pourrait créer et que chaque utilisateur pourrait choisir librement.

L’exemple du Bitcoin et de SSL pourrait ainsi nous pousser à rechercher des modèles de confiance différents de ceux que nous connaissons aujourd’hui et qui demeurent basés sur une vision hiérarchique et sur la notion de puissance inférée. Grâce aux réseaux numériques et aux mathématiques la confiance peut désormais aussi se concevoir de manière distribuée.

Il ne s’agit évidemment pas de remplacer manu militari nos architectures de confiance existantes. Dans certains cas une autorité centrale sera le meilleur choix, dans d’autres une architecture de confiance distribuée et gérée par ses utilisateurs sera plus appropriée. Mais dans tous les cas, c’est toujours mieux d’avoir le choix !