Tableau des facteurs qui structurent le progrès des systèmes crypto-économiques : consensus, scalabilité, identité, oracles, confidentialité, contrats intelligents et gouvernance.
Note au lecteur : Ce texte a été rédigé en 2017. Certaines parties demeurent manifestement justes, d'autres se sont déployées, d'autres encore n'étaient pas tout à fait au rendez-vous. La relecture rétrospective garde un intérêt ; d'où cette publication.
Bitcoin, en tant que système, dépasse de loin un registre partagé lent et sous-optimal. C'est un dispositif décentralisé à l'échelle mondiale qui synchronise son état toutes les dix minutes. Une prouesse, et l'une des merveilles de notre époque.
Depuis son apparition en 2009, d'autres systèmes ont émergé : ouverts ou fermés, permissionnés ou non, centralisés ou décentralisés, plus ou moins résistants à la censure. Des concepts clés d'informatique et de théorie des jeux sont appliqués à ces systèmes ; couplés à l'économie décentralisée et institutionnelle, ils feront émerger des structures nouvelles qui concurrenceront, et parfois l'emporteront sur, les systèmes, firmes, organisations et institutions centralisés actuels.
Ce n'est que le début. J'ai trouvé utile de passer en revue les facteurs de haut niveau qui, combinés, déplieront un réseau véritablement mondial de systèmes crypto-économiques décentralisés.
Raisons de lire ceci et d'envoyer un retour :
Allons-y.
Résistance quantique, chiffrement homomorphique, preuves à divulgation nulle
La plupart des systèmes s'appuient sur des algorithmes mathématiques -- par exemple le problème du logarithme discret -- que l'informatique quantique pourrait casser.1 La cryptographie sur courbes elliptiques (ECC), telle qu'utilisée aujourd'hui, devra être mise à niveau2 avec des algorithmes résistants au quantique.
Un second versant, prometteur en cryptographie appliquée, est l'usage de propriétés homomorphiques pour renforcer la confidentialité. Mimblewimble3, par exemple, utilise des engagements de Pedersen (additivement homomorphiques) combinés aux signatures de Schnorr4 -- ces dernières désormais intégrées dans un BIP Bitcoin.5 Le chiffrement homomorphique complet progresse nettement6 et offrira des leviers pour améliorer la confidentialité des transactions et des contrats, ainsi que la fongibilité des jetons.
L'un des progrès saillants en cryptographie relève de la recherche sur l'intégrité computationnelle.7 À court terme, les chaînes ouvertes supporteront des protocoles de preuve à divulgation nulle (zkp). Ces protocoles fournissent des preuves cryptographiques à des tiers sans révéler l'information privée. Concept vertigineux -- obstacles d'implémentation réels -- mais un pilier du progrès à venir.
Welcome my son, welcome to the machine
L'une des composantes clés de la décentralisation est la technologie de consensus décentralisé. Elle doit résister à de multiples types d'attaques et laisser le « réseau » décider de la « vérité » : un changement d'état valide de la machine globale. Elle doit converger vers une finalité8 dans un délai donné -- ne pas « hésiter » trop longtemps entre deux ou plusieurs « réalités numériques ». Nul ne doit pouvoir imposer la « vérité » ; d'où la nécessité d'une foule, d'un niveau très décentralisé où un acteur unique aurait le plus grand mal à dominer ou tromper la multitude.
Aujourd'hui, le consensus de Bitcoin repose sur la preuve de travail. Il a fait la preuve de sa solidité et subit deux critiques majeures : une consommation électrique considérable pour faire tourner les fermes de minage ; un risque de cartel de mineurs capturant la gouvernance (l'évolution de Bitcoin) au détriment des autres acteurs (utilisateurs, développeurs), pour maximiser leur profit présent et futur. Dans Bitcoin, les mineurs ont la puissance -- au propre comme au figuré -- parce qu'ils ont engagé des capitaux et protègent leur investissement. Ils ont intérêt à une corrélation entre leur récompense (création de bitcoin ou frais de transaction) et le nombre et la valeur des transactions. Ils découragent l'arrivée de nouveaux mineurs en augmentant la puissance de hachage, ce qui conduit à des pools et cartels qui capturent la rente (avec un effet positif sur la sécurité de Bitcoin). En parallèle, les utilisateurs souhaitent que les mineurs traitent plus de transactions, plus vite, à un coût marginal proche de zéro.
Résultat : des méthodes de consensus alternatives sont explorées et déployées à plus petite échelle ou en contexte privé. À ce jour, la question de savoir si ces protocoles alternatifs tiendront dans des réseaux ouverts « sans confiance » n'a pas de réponse définitive. La preuve d'enjeu (PoS), candidat le plus probable, est vivement critiquée. Le déploiement de Casper9, nouveau protocole PoS pour Ethereum, a été à ce titre décisif. Tezos10 déploie également une PoS déléguée comme mécanisme de consensus privilégié et met en place des mécanismes de gouvernance pour gérer l'évolution des intérêts des parties prenantes.
Les protocoles de consensus sont au cœur des systèmes crypto-économiques. Ils opèrent des mécanismes où tous les participants sont incités à agir et coopérer pour ce que « la gouvernance » a défini comme « bien commun », et où les comportements non coopératifs sont sanctionnés.11 D'où la nécessité du débat sur la gouvernance12, qui renvoie à la tragédie des biens communs.13
L'innovation clé de ces systèmes tient à l'articulation entre théorie des jeux, savoir mathématique et cryptologie pour concevoir des jeux ou systèmes qui maintiennent un équilibre (décentralisé) et résistent aux attaques, internes ou externes. Beaucoup de progrès sont attendus dans ce champ à mesure que la recherche avance. Aujourd'hui, les outils de modélisation et de simulation de ces jeux restent rares.
Les « guerres » Bitcoin ont porté sur ce thème ; Ethereum a été saturé en juin 2017 par quelques ICO et des CryptoKitties. À mesure que l'usage croît, y compris pour des micro-transactions, les blocs se remplissent et nombre de transactions restent non confirmées longtemps. Certains ont inondé le réseau pour le démontrer. La question a mené Bitcoin au bord du fork après le verrouillage de la proposition SegWit 2x et le fork Bitcoin Cash (BCH).
Plusieurs techniques -- sidechains ancrées14, canaux d'état15, sharding16 -- devraient apporter de la scalabilité. Au prix d'une fragmentation possible de la résistance : une sidechain peut être compromise et régler sur la chaîne principale. Le sharding introduit des limites17 pour l'exécution des smart contracts (entre shards) et exige des mécanismes pour maintenir la cohérence.
Les « métachaînes » ou parachains peuvent fédérer plusieurs blockchains en assurant le règlement des transactions, la compensation et la confirmation « monde » des transactions chaîne à chaîne (ou DAG18, ou autre). Le projet Polkadot19, porté par le Dr Gavin Wood (Web3 Foundation), et Cosmos20, de Tendermint, ont ouvert la voie aux chaînes de chaînes. Plasma21, soutenu par Joseph Poon et Vitalik Buterin, transpose une logique type Lightning Network22 aux smart contracts, permettant une validation à fort débit des états de contrats sans validation continue sur la chaîne principale Ethereum. Raiden23 est également un canal de paiement pour Ethereum, à fort débit potentiel et confirmation rapide, dérivé du protocole Lightning.
L'identité auto-souveraine relève-t-elle d'un droit humain ?
Un des livres de prédilection de la communauté « crypto » est The Sovereign Individual de James Dale Davidson et Lord William Rees-Mogg. Le lien est direct avec La Route de la servitude de Friedrich Hayek et le courant libéral où la liberté l'emporte sur l'égalité. La discussion sur l'identité auto-souveraine se déploie dans un contexte où les individus contestent et se méfient des institutions publiques et privées.
La notion d'identité auto-souveraine est bien décrite par Christopher Allen24 et Joe Andrieu.25 Pour simplifier : les individus gèrent leurs identités et les attributs qui y sont attachés. Ils décident quels attributs partager, avec qui, et pour combien de temps.
Les systèmes crypto-économiques décentralisés doivent traiter l'identité, et pas seulement l'authentification, s'ils veulent se connecter au monde « fiat » : le monde des institutions. Celles-ci -- propriété, accès à la justice, responsabilité des parties aux échanges -- reposent sur la preuve d'identité. Elles ont des défauts, une efficacité limitée, parfois de la corruption ; il restera difficile de déployer les systèmes crypto-économiques à l'échelle mondiale sans lien direct avec elles. La difficulté est d'éviter de plaquer les arrangements institutionnels actuels sur les nouveaux systèmes décentralisés : on n'en tirerait que des gains marginaux et une tendance à la recentralisation. C'est l'un des phénomènes qui peuvent limiter la valeur des « blockchains privées » portées par des firmes (centralisées) ou des cartels.
Réciproquement, les institutions devront s'adapter au paradigme de l'identité décentralisée et auto-souveraine. Les systèmes d'identité centralisés trahissent l'objet même des systèmes décentralisés : éviter qu'une entité centrale ne s'empare de ou manipule l'information. Un pas de plus : affirmer que l'identité est un droit humain. Autre pas : toute entité juridique devrait exister et être référencée au niveau mondial, comme résultat vérifiable d'une organisation gouvernée d'individus via une constitution ouverte. Ces entités peuvent désormais être créées et gouvernées sur des systèmes décentralisés, où règles du jeu, responsabilités, décisions et rémunérations des dirigeants et actionnaires seraient auditables.
Il est possible d'en dériver un registre public et ouvert (système de dénomination d'entités) des entités juridiques à l'échelle mondiale à partir du système LEI actuel.26 Cela réduirait les coûts de transaction -- onboarding, risques de contrepartie, formalités AML/KYC -- pour les entreprises.
À l'inverse, nier l'identité dans les transactions sape la propriété, la responsabilité et la responsabilité civile. Certains systèmes décentralisés continueront à fonctionner seuls et resteront « de simples expériences », une couche ouverte à quiconque a une connexion et résistante à la censure. Les deux mondes coexisteront et coopéreront.
En creux : il faut s'attendre à l'émergence de systèmes d'identité décentralisés globaux et à la mise en cause des systèmes d'authentification centralisés (autorités de certification, PKI publiques, DNS, annuaires). La tendance est accélérée par les réglementations sur la vie privée (RGPD) et les politiques de lutte contre le terrorisme et le blanchiment. Identités et attributs amélioreront la gouvernance des délégations, habilitations, signatures et contrôles d'accès au sein des firmes et entre elles.
Who's Zed? Zed's dead, baby. Zed's dead. -- Pulp Fiction
Les oracles sont des faits « de confiance » du monde réel qu'il faut attester et vérifier avant de les utiliser comme déclencheurs d'événements dans les systèmes. Les systèmes crypto-économiques et leurs règles d'action ou « smart contracts » fonctionnent à partir de transactions signées. Il est indispensable de connecter le monde réel -- c'est-à-dire représenter des faits de confiance dans ces systèmes -- sous peine de corruption.
Tant que les actions dans la sphère crypto-économique ne peuvent pas s'appuyer sur des faits vérifiés, ou pire, peuvent s'appuyer sur des faits non vérifiés, ces systèmes resteront exposés aux attaques par « fake news », provoquant des défaillances en chaîne qui peuvent devenir « la vérité » une fois validées par le consensus, avec hard ou soft fork à la clé.
Les oracles -- contrats signés certifiant l'occurrence d'événements physiques « réels » -- sont donc critiques pour l'adoption large des technologies blockchain et smart contracts. C'est à nouveau lié à l'identité et à la responsabilité juridique. Et c'est l'une des applications les plus importantes pour connecter des objets de confiance aux systèmes crypto-économiques.
Qui vérifiera les faits de manière décentralisée ? Faudra-t-il réinventer des tiers pour atteindre un niveau de certitude sur la réalité d'un fait ? Quel mécanisme d'incitation pour que les vérificateurs disent la vérité et déploient un niveau mesurable de diligence ?
Une des technologies utilisées pour capter les données du monde réel est les enclaves matérielles sécurisées (Ledger, Intel SGX pour Sawtooth Lake, TrustZones des smartphones). Ces enclaves doivent être auditées pour éviter les pièges connus.27
La confidentialité est requise par nombre de protocoles d'échange et sert à protéger les propriétés. C'est aussi l'un des attributs clés pour une vraie fongibilité des jetons -- on ne peut pas identifier les propriétaires passés ni les usages antérieurs. Pas de décollage grand public sans confidentialité, fongibilité et protection contre la censure.
L'état actuel des systèmes crypto-économiques offre divers niveaux de confidentialité ; la plupart des chaînes publiques exposent les transactions et le code des scripts ou contrats (et il faut faire confiance au système). D'où en partie les blockchains ou registres distribués « privés », qui n'exposent code, scripts et transactions qu'aux ayants droit. Ces configurations trahissent à la fois la décentralisation et la résistance à la censure ; elles deviennent un registre partagé à coopération marginalement supérieure aux systèmes centralisés existants, vulnérables aux attaques de collusion de sous-ensembles d'autorités de validation autorisées.
Des progrès majeurs ont été réalisés dans le champ de l'intégrité computationnelle, aboutissant aux « preuves à divulgation nulle ». Un « prouveur » peut calculer une preuve qu'un vérificateur peut contrôler sans révéler plus d'information que ce qui est dans la preuve. Par exemple, le vérificateur peut contrôler que le prouveur a assez d'argent pour payer un bien, sans savoir combien il possède ni d'où viennent les jetons. Cela ouvre un espace d'innovations rapides qui seront déployées dans les systèmes crypto-économiques.
La première implémentation de zk-SNARK28 (zero knowledge -- argument succinct non interactif de connaissance) a eu lieu dans Zcash, lancé le 28 octobre 2016. Ethereum a annoncé le support des zk-SNARK dans Metropolis/Byzantium. Tezos a inscrit les zk-STARK à sa feuille de route. Les zk-SNARK offrent un niveau de protection avec une réserve : la certitude que la clé privée centrale a été détruite avec tous les éléments permettant sa reconstruction.29 L'existence de cette configuration de confiance (trusted setup) introduit un doute qui, appliqué à des agents intéressés contrôlant la cérémonie, a constitué un blocage. Le développement des zk-STARK (T pour Transparent), tel que décrit par le Dr Eli Ben-Sasson30, constitue donc un progrès significatif : il évite une cérémonie de trusted setup non transparente.
Ces progrès alimenteront des débats : ils permettent d'obscurcir les transactions sur un système crypto-économique public. Comment autoriser surveillance, régulation et enquêtes dans ces systèmes ? Ou ne pas le faire ?
Code is Law ? Pas encore ; encore mouillé.
La notion de smart contract a été décrite par Nick Szabo31 en 1996. Elle a nourri des attentes démesurées : inscrit dans un registre cryptographique, le contrat pourrait exécuter les termes signés et faire chuter le coût de transaction de l'exécution. Elle a croisé la formule de Lawrence Lessig : « code is law ».32 La réalité a démenti. Les avocats expliquent pourquoi. Les smart contracts sont des scripts exécutés dans un environnement cryptographique, fournissant des preuves d'exécution sur des termes signés par les parties. Ils ne sont en rien un contrat juridique ; il leur manque encore de nombreux attributs. À ce jour, pas de gestion des litiges ni d'exécution de la responsabilité, pas de cadre juridiquement solide pour attacher des actifs à un jeton de manière exécutoire par les juridictions. La situation évolue toutefois vite ; c'est l'un des leviers fondamentaux qui diffusera la technologie dans le droit, les régulations et les institutions.
L'émergence des smart contracts -- scripts simples avec Bitcoin, code plus sophistiqué avec Ethereum, Symbiont, Rootstock (sur BTC) -- a rendu la blockchain et les registres distribués plus génératifs. Mais toute faille ou exploitation dans l'exécution de ces scripts fait plus qu'un « écran bleu » : elle peut être exploitée immédiatement pour drainer des millions de jetons. Les déboires du DAO ou le bug répété du multisig Parity en témoignent.
En conséquence, des progrès sérieux devraient intervenir pour durcir le code d'infrastructure et l'audit des scripts, à l'image du logiciel dans les applications critiques (aérospatiale, transports, etc.). De nouveaux langages -- Michelson pour Tezos33 -- et des outils émergent ; la vérification formelle du code deviendra la norme. Il sera crucial d'utiliser des langages plus fortement typés (Rust plutôt que C++, comme dans Parity). Reste que beaucoup de code déployé en C++ (portefeuilles) ou de smart contracts Solidity non testés, déployés vite via des ICO, peuvent causer des dommages graves.
Voir aussi : l'intersection entre contrats ricardiens et smart contracts.34
Alors que nombre d'efforts « blockchain privée » se sont concentrés sur le registre et l'utilité d'une base append-only partagée et un peu décentralisée, un paradigme essentiel a émergé sur les chaînes publiques : les jetons.
Le grand public les a surtout connus comme moyen d'« investir » dans une application ou plateforme décentralisée via les désormais (in)fâmes ICO. Ce paradigme a financé des startups valides ; beaucoup d'ICO restent des arnaques ou des promesses de personnes illusionnées. Cette manie ICO -- 1,2 Md$ au premier semestre 2017[^ico-mania] (mise à jour : 4 Md$ en déc. 2017) -- fut un excès appelé à se dégonfler violemment en 2018.
Les jetons ont pourtant un intérêt plus profond et pourraient constituer une opportunité majeure pour refaçonner des processus économiques et institutionnels clés : droits de propriété, droits d'usage, vote, échanges algorithmiques sophistiqués « système à système ». C'est un domaine à explorer au-delà des débats sur les ICO.
Les jetons sont une nouvelle nature de monnaie privée programmable, utilisée pour transférer de l'utilité au sein d'une communauté de joueurs engagés (skin in the game), tout en permettant un transfert de valeur depuis ou vers l'extérieur du système. À terme, les jetons sont gérés par des règles et servent à créer des équilibres qui assureront le développement long terme du système. Ils sont le véhicule technique de l'utilité transférable35, centrale pour définir les équilibres en théorie des jeux via le mécanisme de Vickrey-Clarke-Groves36, cadre idoine pour que la véracité soit une stratégie dominante et que le résultat soit socialement optimal.
Là est la tragédie. Chacun est enfermé dans un système qui le pousse à accroître son troupeau sans limite -- dans un monde limité. La ruine est la destination vers laquelle tous courent, chacun poursuivant son intérêt dans une société qui croit à la liberté du commun. -- Garrett Hardin, 1968
Au-delà du simple échange de jetons, les systèmes crypto-économiques décentralisés exhibent une propriété rare : la décentralisation. En 1968, Garrett Hardin publiait dans Science un article fameux.37 Il montrait que pour réguler l'usage d'une ressource commune (une ressource rare en accès ouvert, partagée par une communauté dont on veut éviter l'extinction), il faut choisir entre contrôle public ou privé -- par exemple une autorité centrale qui régule l'accès et l'usage par la coercition et les règles.
Il est devenu dominant d'accepter qu'une communauté doive centraliser la gouvernance liée à l'usage de ressources communes et rares. En parallèle, l'économie politique a montré de nombreux échecs de gouvernance et d'institutions : la gouvernance centralisée est structurellement exposée aux attaques, aux défauts et aux tentatives de capture par des coalitions au détriment de la communauté. La centralisation déléguée a conduit aux échecs principal-agent38 ; des institutions ont été créées pour contrôler et réguler ces agents. Sur les marchés ouverts, les régulateurs ont dû créer des instances de coordination pour se réguler et se contrôler mutuellement et détecter les tentatives de « capture » par des acteurs en collusion. D'où une inflation réglementaire, un fardeau pour la société.
En 1990, le travail séminal d'Elinor Ostrom39 a démontré que des communautés humaines décentralisées et séculières ont su concevoir des dispositifs institutionnels capables de fonctionner et de trouver un équilibre sans centralisation, selon un ensemble de principes communs.
Résumé de ces principes :
Le travail d'Ostrom s'inscrit dans la nouvelle économie institutionnelle40, courant influent et quelque peu hétérodoxe par rapport au néoclassique, où l'on compte quatre prix Nobel -- Ronald Coase, Oliver Williamson, Douglass North, Elinor Ostrom.
L'art de s'associer devient alors, comme je l'ai dit, la science mère ; tout le monde l'étudie et l'applique. -- Alexis de Tocqueville, De la démocratie en Amérique
Il est fort possible que l'organisation de grands groupes humains via des systèmes crypto-économiques décentralisés, fondée d'abord sur les incitations et des stratégies dominantes d'intérêt personnel, aboutisse à l'émergence de nouvelles organisations -- un nouveau type de firmes, syndicats ou gouvernements -- qui concurrenceront les institutions établies et centralisées.
L'intuition de Ronald Coase dans The Nature of the Firm41 était que la firme existe parce qu'elle abaisse les coûts de transaction de la coordination par les marchés. Si les systèmes crypto-économiques parviennent à réduire dramatiquement ces coûts de transaction -- par des contrats auto-exécutables, un règlement sans confiance, une identité décentralisée et une gouvernance transparente -- alors la frontière de la firme se déplace. Certaines de ses fonctions peuvent être représentées dans une « machine à états » comme « nexus de contrats »42, en plaçant les dimensions ricardiennes et smart de ces contrats dans le système, ce qui ouvre des opportunités d'optimiser la délégation et la structure même de la firme.
En creux, les entreprises pourraient retirer plusieurs niveaux de bureaucratie et réduire contrôles et audits internes. La question n'est plus de savoir si des institutions décentralisées émergeront, mais quel équilibre s'établira entre les anciennes et les nouvelles structures.
Shor, P. « Algorithms for quantum computation. » Proceedings of the 35th Annual Symposium on Foundations of Computer Science, 1994. Wikipedia ↩
Proos, J. & Zalka, C. « Shor's discrete logarithm quantum algorithm for elliptic curves. » arXiv, 2003. arXiv:quant-ph/0301141 ↩
Maxwell, G. « The power of Schnorr. » Bitcoin Magazine, 2016. Article ↩
Ben-Sasson, E. et al. « Computational Integrity. » ePrint, 2016. PDF ↩
Buterin, V. « On settlement finality. » Ethereum Blog, 2016. Article ↩
Zamfir, V. « The History of Casper -- Part 1. » Medium, 2017. Article ↩
Buterin, V. « Minimal slashing conditions. » Medium, 2017. Article ↩
Hardin, G. « The Tragedy of the Commons. » Science 162, n^o 3859 (1968) : 1243--1248. Wikipedia ↩
Back, A. et al. « Enabling Blockchain Innovations with Pegged Sidechains. » Blockstream, 2014. PDF ↩
« Sharding the Blockchain. » Scaling Bitcoin, 2016. Transcription ↩
Wood, G. « Polkadot: Vision for a Heterogeneous Multi-Chain Framework. » Web3 Foundation, 2016. PDF ↩
Kwon, J. & Buchman, E. « Cosmos Whitepaper. » Tendermint, 2016. cosmos.network ↩
Poon, J. & Buterin, V. « Plasma: Scalable Autonomous Smart Contracts. » 2017. PDF ↩
Poon, J. & Dryja, T. « The Bitcoin Lightning Network. » 2016. lightning.network ↩
Raiden Network. raiden.network ↩
Allen, C. « The Path to Self-Sovereign Identity. » Life With Alacrity, 2016. Article ↩
Andrieu, J. « A Technology-Free Definition of Self-Sovereign Identity. » Rebooting the Web of Trust, 2016. PDF ↩
GLEIF. « Introducing the Legal Entity Identifier. » gleif.org ↩
Schneier, B. « Using Intel's SGX. » Schneier on Security, 2017. Article ↩
Lessig, L. « Code is Law. » Harvard Magazine, 2000. Article ↩
Tezos. « Michelson : the Language of Smart Contracts in Tezos. » PDF ↩
Grigg, I. « The Intersection of Ricardian and Smart Contracts. » iang.org ↩
Hardin, G. « The Tragedy of the Commons. » Science 162, n^o 3859 (1968) : 1243--1248. Texte complet ↩
Ostrom, E. Governing the Commons: The Evolution of Institutions for Collective Action. Cambridge University Press, 1990. PDF ↩
Coase, R. « The Nature of the Firm. » Economica 4, n^o 16 (1937) : 386--405. ↩
Jensen, M. & Meckling, W. « Theory of the Firm: Managerial Behavior, Agency Costs and Ownership Structure. » Journal of Financial Economics 3, n^o 4 (1976) : 305--360. ↩