Dans plusieurs articles sur Habré, la solution d'authentification sans mot de passe de REMME a déjà été mentionnée. Le PDG de la société Alexander Momot était le conférencier de notre conférence Kiev Blockchain & Bitcoin. Il a expliqué ce qui n'allait pas avec les mots de passe et comment leur système d'authentification avec un registre distribué était organisé. Sous la coupe - décodage de son discours.
1. Les mots de passe ne sont pas pratiques
Selon Alexander, l'idée de REMME lui est venue en 2014: il a participé à l'Ethereum ICO et un an et demi après, il a décidé de vérifier son portefeuille. Mais il s'est avéré que j'ai oublié le mot de passe. Seulement trois jours plus tard, après avoir trié de nombreuses options, il était possible de trouver la bonne combinaison. Après cela, Alexander a sérieusement pensé que les mots de passe sont une chose extrêmement gênante et que quelque chose d'autre devrait venir les remplacer.
Aujourd'hui, l'internaute moyen possède des dizaines de comptes. Pour eux, la plupart n'utilisent que 3-4 combinaisons de mots de passe. La base de données des 1000 mots de passe les plus populaires (12345678, qwerty, abc123, etc.) ouvre 90% de tous les comptes dans le monde. Mais même ceux qui utilisent des mots de passe complexes et uniques et les conservent dans un endroit inaccessible ne sont pas à l'abri de briser le système: les méthodes de protection traditionnelles ont d'autres faiblesses.
2. Les cyberattaques causent d'énormes pertes aux entreprises
La principale vulnérabilité de nombreux systèmes est le serveur principal. S'il y a un point central de défaillance, le système peut être piraté. Le plus souvent, cela se produit en raison du facteur humain. Selon Alexander, 100% des comptes de la bourse Kraken sont piratés précisément à cause de ce facteur, notamment par le phishing, le vol d'informations sur le canal, l'utilisation de mots de passe répétés, la force brute et le piratage du serveur (la source des informations est des informations privilégiées). Et c'est sur un échange qui a la réputation d'être le plus sûr.
À titre d'exemple, Alexander a également mentionné des cyberattaques en Ukraine sur des infrastructures critiques et des vidéos où une voiture intelligente est piratée. Il a également cité des statistiques de la Deutsche Bank, qui effectue des centaines de milliers d'attaques chaque année, et plusieurs exemples de hacks de premier plan d'échanges de crypto-monnaie: Coincheck (volé un demi-milliard de dollars, les circonstances du piratage sont inconnues) et Bitfinex (800 bitcoins volés; il y a des informations selon lesquelles l'administrateur de la bourse est tombé dans l'habituel hameçonnage).
REMME a également rencontré des tentatives de phishing lors d'une vente de jetons. Mais, comme l'entreprise est spécialisée dans la cybersécurité, les attaques ont échoué.
Ainsi, dans la plupart des cas, les cyberattaques sont dirigées vers un serveur central et utilisent le facteur humain. Les dégâts totaux de leur part chaque année sont de 6 à 7 billions de dollars.
3. Le remède contre le phishing - l'authentification du site
REMME travaille en cybersécurité sur deux marchés en parallèle. Premièrement, ils émettent des certificats de sécurité pour les sites avec protection contre le piratage et les faux. Ce marché n'est pas très important, estimé à environ 2 milliards de dollars. Un analogue bien connu est ce que Google propose: un moyen de vérifier la validité d'un certificat.
Deuxièmement, la société opère sur le marché de la gestion des accès. Maintenant, dans ce domaine, il existe une solution telle que 2fa - une autorisation à deux facteurs. Parmi les ressources de crypto-monnaie, elle n'est pas très populaire, mais les grandes entreprises, les banques et les sociétés financières constituent un grand marché, qui est maintenant évalué à 10 milliards de dollars. Dans quelques années, il atteindra environ 15 milliards de dollars.
Selon Alexander, dans toute technologie qui entre sur le marché, il doit y avoir trois qualités: simplicité, sécurité et valeur pour l'entreprise. Sinon, il ne deviendra pas populaire.
Un exemple négatif, à son avis, est l'authentification à deux facteurs sur l'échange cryptographique Bittrex. Lors de l'autorisation, vous devez saisir un nom d'utilisateur et un mot de passe; lorsque vous entrez à partir d'une nouvelle adresse IP, vous devez également passer par la confirmation par courrier, puis saisir à nouveau le login et le mot de passe. Cette 2fa complique le processus d'autorisation sur le site, beaucoup la désactivent donc. La norme technologique actuelle est la suivante: pour faire quelque chose de mieux et de plus sûr, ils compliquent généralement les choses.
4. Simple 2fa sur blockchain et messagers
REMME est basé sur la technologie SSL TLS existante. Il s'agit d'un certificat utilisé pour vérifier un site. Mais dans le projet, ce certificat est utilisé différemment. Il montre non seulement la validité du site, mais confirme également l'identité de l'utilisateur, garantissant son accès au serveur.
Pour montrer plus clairement le principe du REMME, Alexander a cité l'aéroport comme exemple. À l'arrivée du passager dans un autre pays, son document est vérifié à la base. Si un citoyen ne figure pas sur la liste des personnes recherchées, il est admis dans le pays. REMME fonctionne de manière similaire: le statut du certificat (actif / inactif) se trouve dans la blockchain. Si le certificat est actif, l'utilisateur peut être autorisé. Le deuxième facteur est la confirmation de l'identité de l'utilisateur dans le télégramme ou dans tout autre messager. Le résultat est une authentification à deux facteurs en deux clics. Aucune donnée n'est entrée et les attaques de phishing deviennent impossibles.
La blockchain dans REMME est utilisée uniquement pour stocker l'état du certificat. Ces informations sont accessibles au public, elles n'ont pas besoin d'être cryptées. De plus, toutes les données utilisateur (par exemple, une clé privée, un certificat d'ordinateur) sont stockées sur lui, et non sur le serveur. Toutes les informations nécessaires peuvent être extraites du certificat. Cela résout également le problème du stockage des données utilisateur.
Selon Alexander, les développeurs de REMME sont en train de résoudre le problème de l'intégration dans les entreprises traditionnelles. Certains clients de l'entreprise (télécommunications, centrales électriques) utilisent des systèmes SCADA de Siemens, ABB, General Electric. Par conséquent, les solutions REMME doivent être intégrées du côté du fabricant de ces programmes. Ensuite, les entreprises peuvent simplement connecter l'authentification REMME à un produit en boîte.
REMME propose aux utilisateurs de payer un certificat de 1 $. C'est moins cher que la moyenne du marché, où son coût atteint 500 $. Les nœuds de la blockchain REMME ont le droit d'émettre un certificat: si un consensus est observé, avec une probabilité de 100%, le certificat sera valide. La probabilité qu'il soit kidnappé ou qu'il lui arrive quelque chose est extrêmement faible, car il n'y a pas d'autorité centrale pour mener une telle attaque. Le jeton est utilisé pour émettre un certificat: pour cela, une pièce virtuelle doit être envoyée à l'adresse du nœud; alors le nœud du réseau blockchain permettra de le générer. Plus de jetons sont nécessaires pour augmenter votre nœud. De plus, une petite quantité est utilisée à chaque transaction pour protéger le réseau contre les DDoS.
5. Une bonne blockchain personnalisée est la fiabilité
REMME fonctionne sur une blockchain personnalisée, mais les jetons de projet ont la norme ERC-20. La principale raison du choix de cette norme est la nécessité de l'intégrer dans les échanges et autres services existants. La blockchain personnalisée a été choisie pour des raisons de sécurité et de fiabilité. L'interaction est réalisée via le mécanisme de migration inter blockchain (le token ERC-20 est transféré vers la blockchain interne).
Alexander a expliqué pourquoi le projet REMME n'a pas été créé à l'origine sur la blockchain Ethereum: "Nous faisons quelque chose sur Ether, puis l'employé de la centrale nucléaire ne peut pas se connecter au système - personnellement, je ne voudrais pas que cette situation se produise." Selon Alexander, le réseau de Vitalik Buterin est maintenant à un stade précoce de développement. La probabilité que quelque chose arrive à "l'éther" est assez élevée, et les créateurs du projet eux-mêmes ne le nient pas. REMME estime que lors de la conclusion de contrats commerciaux, ils doivent prendre des risques. De plus, la tâche des développeurs était de créer une blockchain à large bande passante, car les clients potentiels de l'entreprise (télécoms) ont des centaines de millions d'utilisateurs. Les capacités d'Ethereum à cet égard semblaient insuffisantes aux développeurs.
7. Jetons et dollars
Chez REMME, le prix du certificat est fixé en dollars, mais le coût du token est assez volatil et est déterminé à l'échange. Par conséquent, il existe un taux de relation de jeton-certificat. Comme l'explique Alexander, un tel système est conçu pour la commodité des partenaires, car ils ont besoin d'un chiffre fixe pour établir les budgets. Maintenant, le prix du certificat est de 1 $ par an pour un utilisateur, et le prix du jeton, selon coinmarketcap.com, est de 0,019 $. L'équipe du projet a défini des opportunités de croissance des prix symboliques: chaque nœud recevra 90% de la valeur du certificat. Parmi ceux-ci, elle recevra 45% immédiatement, et 45% sera bloquée pour une période d'un an et sera progressivement libérée. Cela créera des conditions pour la croissance du prix du jeton.
Alexander Momot a pris la parole lors de la conférence Blockchain & Bitcoin Conference Kyiv dans le volet Develpoment & Tokenization (le deuxième volet était Finance & Regulation). Parmi les autres orateurs figuraient le ministre de l'Infrastructure, Vladimir Omelyan, chef de l'Agence d'État pour la gouvernance électronique, Alexander Ryzhenko, président d'Ukrainian Investment Holding Mark Ginsburg, associé de CKR LAW LLP Gordon Einstein.
Notre prochaine conférence sur la blockchain dans la CEI se tiendra à Tbilissi le 20 juin . Détails et programme - sur le site officiel .