Le web 3.0 pour l'entreprise

Le web 3.0 est depuis peu sur toutes les lèvres. Le monde de la blockchain et des crypto-monnaies s’en est emparé pour désigner une évolution qui est surtout axée sur la personne physique. L’entreprise semble exclue de cette nouvelle tendance mais nous verrons ici, qu’il est possible dès aujourd’hui d’adapter ce nouveau concept à la personne morale. Nous commencerons par tenter de définir le web 3.0 puis nous expliquerons comment Woleet l’applique déjà depuis plusieurs années au monde de l’entreprise.

Qu’est-ce que le web 3.0 ?


Il n’existe pas de définition officielle du web 3.0 pour l’instant. Si beaucoup considèrent qu’il s’agit d’un concept purement marketing, pour d’autres il s’agit d’une réelle évolution du web. Ici nous considérerons que le web 3.0 est  un concept général qui décrit l’évolution du web vers un modèle où l’utilisateur reprendrait le contrôle sur son argent, ses assets, son identité, ses données. Le web (1.0) a commencé en lecture seule, le web 2.0 à permis à l’utilisateur d’interagir avec un service centralisé fourni par une société dans un schéma client-serveur. Le web 3.0 quant à lui introduit le concept de décentralisation, une étape ultime ou l’utilisateur final s’affranchit totalement d’intermédiaire.

Le web 3.0 introduit ainsi le contrôle inaliénable, la possession de ses données grâce à des outils cryptographiques permettant de s’affranchir de tout intermédiaire.

Qu’est ce que l’identité décentralisée ?


L’identité décentralisée est un concept très important de cette mouvance web3, elle consiste pour l’utilisateur à être capable de prouver son identité à l’aide d’un wallet contenant des clés cryptographiques dont il possède le contrôle exclusif.

L’exemple le plus couramment utilisé pour illustrer l’identité décentralisée est celui de la preuve d’identité à connaissance nulle (zero knowledge proof). Une personne pourrait à l’aide d’outils cryptographiques prouver par exemple qu’elle est majeure pour boire de l’alcool dans un bar, sans avoir à fournir sa pièce d’identité et donc divulguer beaucoup plus d’information que nécessaire. Comment cela peut-il être possible ? À l’aide de la cryptographie on pourra signer une donnée prouvant le fait que la personne possédant la clé est bien majeure.

Le concept des DID rend possible l’application de l’identité décentralisée combinée avec l’utilisation de wallets. Les DID sont des preuves de “claims” d’identité qui pourront être utilisées à posteriori dans un contexte où cela est nécessaire.


Comment l’entreprise peut bénéficier des avancées du web 3.0 ?

Le web 3.0 et plus spécifiquement le concept d’identité décentralisée a surtout été pensé et implémenté pour les personnes physiques. En effet, le contrôle exclusif des clés l’utilisation d’un wallet sur un terminal mobile ou un hardware wallet est particulièrement adapté à l’utilisateur unique, physique. Quid de l’entreprise ?

Il est tout à fait possible d’appliquer ce concept à l’entreprise. Il faut pour cela trouver un moyen d’assigner des clés à une personne morale. Une fois qu’on à réussi à faire cela, le web 3.0 devient accessible à l’entreprise et débloque de nombreux cas d’usage améliorant grandement certains process de sécurité notamment.

Les certificats X509

L’identité d’entreprise du monde web 2.0 était gérée jusqu’ici par des certificats X509. Le certificat X509 est  la façon privilégiée de lier une identité de personne morale à une clé publique. Ainsi on pourra authentifier un email, un nom de domaine afin d’apporter de la confiance aux utilisateurs et éviter l’usurpation d’identité.

Ce système de certificats inventé à la fin des années 80 fait intervenir le concept d’autorité de confiance, un intermédiaire identifié chargé de la délivrance du certificat après une vérification d’identité ou “KYB” (Know your Business). Cette autorité étant elle-même validée par des tiers, toute une chaîne de confiance remonte ainsi jusqu’à des certificats racine dont la signature est générée par des autorités de confiance (AC).

Les certificats X509 sont utilisés pour permettre de s’assurer de l’authenticité de donnée numériques, ainsi on peut les utiliser dans les contexte suivants :

  • authentifier un nom de domaine (s’assurer qu’un nom de domaine est bien légitime)
  • Chiffrer des flux de données
  • signer des données pour s’assurer de leur provenance (un document signé avec un certificat pourra prouver qu’il provient d’une certaine source)

Cette technologie utilisée depuis trente ans fonctionne, mais possède le désavantage de reposer sur plusieurs intermédiaires qui peuvent être faillibles. Plusieurs attaques cyber ont d’ailleurs eu pour origine une défaillance dans la chaîne de certification, permettant aux attaquants de déchiffrer des flux qu’ils n’étaient pas censés déchiffrer, ou alors d’usurper une identité afin de commettre leurs méfaits.

Le serveur d’identité Woleet

Woleet fournit une technologie permettant aux entreprises de gérer elles-mêmes la façon dont elle prouve l’authenticité de leurs différents flux et particulièrement sur les opérations de scellement ou signature.

Ce composant open source, Woleet ID Server, peut être déployé au sein même de l’infrastructure privée de l’entreprise et permet de faire plusieurs choses :

  • associer des clés à des identités
  • signer des données en utilisant ces clés
  • vérifier la validité de signatures
  • gérer le cycle de vie des clés (création, suppression, révocation)

Une fois déployé derrière une url appartenant à l’entreprise, Woleet ID server permet à l’entreprise d’être elle-même garante de la preuve de son identité et/ou d’identités qu’elle connaît ou contrôle, et de sortir du paradigme de la confiance déléguée à des autorités de certification. La procédure devient plus rapide, plus souple et moins onéreuse pour l’entreprise tout en lui permettant de bénéficier des mêmes cas d’usages qu’avec des certificats, l’horodatage en plus.

Exemple d’implémentation du web 3.0 avec les technologies Woleet

En utilisant WIDS l’entreprise pourra bénéficier d’une identité décentralisée avec laquelle elle pourra faire du scellement de flux de documents en combinant signature et horodatage dans la même opération.

Cette technologie pourra se substituer aux technologies de parapheuses car elle présente de nombreux avantages :

  • l’horodatage est compris dans l’opération de signature
  • l’identité crée est disponible immédiatement
  • le scellement des données ne nécessite aucun partage des données à aucun tiers
  • le coût réduit de la sécurisation des flux
  • la compatibilité du serveur d’identité avec le SSO (permettant la création automatique d’identités décentralisée pour les utilisateurs authentifiés)
  • la gestion simplifiée du cycle de vie des clés
  • la vérification sans intermédiaire


Conclusion

Woleet utilise la blockchain principalement pour sceller les preuves cryptographiques dans la “Time Chain” de Bitcoin. Le temps est une élément crucial pour la sécurité mais les mécanismes apportés par la blockchain sont également utilisés “off chain”. La création de clés, la signature de condensats et l’horodatage  rajoutent la preuve de temporalité à la preuve de provenance.