211service.com
La correction de bogue secrète d'une société de crypto-monnaie a des implications juridiques déroutantes
Mme Tech
Mardi 5 février, la Zcash Company, la société à but lucratif chargée de maintenir la crypto-monnaie Zcash, a fait une révélation choquante : elle avait agi en secret pour corriger un bug logiciel qui aurait donné à un attaquant les moyens de créer de faux Zcash .
Ce qui est choquant, ce n'est pas que Zcash avait un défaut. C'est que seulement une poignée d'employés étaient au courant et (à notre connaissance) l'ont gardé secret pendant huit mois avant de le réparer. La façon dont l'équipe a traité le problème ne serait probablement pas aussi controversée si Zcash était une société de logiciels traditionnelle. Mais c'est la crypto, où les passionnés s'attendent à ce que tout soit transparent et décentralisé. Peut-être plus important encore, cet épisode nous rappelle que nous manquons de définitions claires pour faire la distinction entre les systèmes de blockchain centralisés et décentralisés, même si les décideurs ont commencé à attacher de réelles implications juridiques à ces étiquettes.
L'histoire commence en mars. Selon un long article de blog , c'est alors que le cryptographe de Zcash, Ariel Gabizon, a découvert une faille cryptographique subtile dans un document académique Zcash s'est appuyé pour développer sa technologie. Zcash utilise un outil cryptographique sophistiqué appelé une preuve à connaissance nulle pour permettre aux utilisateurs d'effectuer des transactions de manière anonyme. Il permet de valider les transactions sans divulguer aucune autre information les concernant.
La vulnérabilité trouvée par Gabizon est si subtile que les cryptographes experts l'ont manquée pendant des années, écrivent les auteurs du billet de blog. En fait, c'est l'une des raisons pour lesquelles la société pense que personne d'autre n'était au courant de la faille. La découverte de la vulnérabilité aurait nécessité un haut niveau de sophistication technique cryptographique que très peu de gens possèdent, écrivent-ils, ajoutant qu'ils n'ont vu aucune preuve de contrefaçon (bien que ils admettent qu'ils ne peuvent pas être certains ).
Après avoir découvert le bogue, la petite équipe avertie a décidé que le moyen le plus sûr était de ne le divulguer qu'après qu'il ait été corrigé. Selon Fortune , ils ont utilisé des communications cryptées et des confidents soigneusement sélectionnés pour empêcher les initiés, les espions ou les pirates de prendre connaissance de la vulnérabilité. Enfin, en octobre, ils ont introduit le correctif de bogue dans une mise à jour qui avait été planifiée à l'avance.
En supposant que nous ayons confiance en la confiance de l'entreprise que laisser le bogue non corrigé pendant si longtemps était sûr puisque très peu de personnes ont l'expertise cryptographique pour l'exploiter, nous devons encore nous demander : les actions de l'entreprise ici signifient-elles que Zcash est réellement centralisé ?
Malheureusement, nous ne sommes pas encore en mesure de parvenir à une réponse significative, car nous n'avons toujours pas de définition convenue de la décentralisation. À ce jour, cela n'a pas eu beaucoup de conséquences dans le monde réel ; les débats sur la question de savoir si certaines pièces sont vraiment décentralisées ont été principalement idéologiques. Mais étant donné que la décentralisation est en train de passer d'un terme marketing à un terme qui a de réelles implications juridiques, c'est problématique, écrit Angéla Walch , professeur à la faculté de droit de l'Université St. Mary's, dans un nouveau papier académique : Si nous glissons sur ce que [la décentralisation] signifie, nous risquons des conséquences imprévues lorsque ces systèmes ne se comportent pas comme nous l'attendons.
Prenez, par exemple, un parole remis en juin 2018 par William Hinman, directeur des finances des sociétés pour la Securities and Exchange Commission des États-Unis. Dans ce document, Hinman a qualifié Bitcoin et Ethereum de suffisamment décentralisés pour que leurs crypto-monnaies ne soient pas réglementées en tant que titres, une catégorie qui comprend les actions et les obligations.
Mais comme la décentralisation n'a pas été définie, la norme de Hinman est difficile à cerner. D'autres parties de son discours contredisent sa conclusion, soutient Walch. Par exemple, Hinman dit qu'un actif numérique peut être une sécurité (lire : centralisé) s'il existe des asymétries d'information entre les promoteurs et les acheteurs potentiels (c'est-à-dire que certaines personnes en savent plus que d'autres sur son fonctionnement interne). Si un petit nombre de développeurs gardent des secrets, ce genre d'asymétrie existe bel et bien, écrit Walch.
Nous avons déjà vu cela se produire dans Bitcoin et Ethereum, soutient-elle. En septembre 2018, moins d'une douzaine de développeurs de Bitcoin Core, le principal client logiciel Bitcoin, attendu des jours avant de divulguer un bogue critique qu'ils avaient découvert dans la dernière version. En novembre, les principaux développeurs d'Ethereum ont fait face à des réactions négatives de la part de certains membres de la communauté après avoir a tenu plusieurs réunions privées pour discuter des mises à jour logicielles proposées.
Quant à Zcash, Walch tweeté Mardi, si quatre personnes qui gardent secret un bogue critique pendant des mois ne font pas preuve de centralisation, je ne sais pas ce qui le ferait.
Même si c'est vrai, et alors ? Vraisemblablement, les décideurs finiront par nous le dire, une fois qu'ils auront décidé de ce que signifie réellement la décentralisation.