Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 301

de décentralisation de la confiance. Cette
approche est notamment mise en œuvre
dans les technologies de registres décentralisés, au sein de la blockchain ou dans
le logiciel de chiffrement PGP. Elle s´appuie sur la mise en place d'algorithmes
qui créent une confiance reposant sur la
technique.
Ces deux modèles sont aujourd'hui
présentés comme antinomiques : bien
que leurs fondements techniques soient
proches, ils s'opposent d'un point vue
philosophique. Pour le premier, on est
en présence d'un acteur premier d'où
dérive la confiance par le contrôle. Pour
le deuxième, une confiance intrinsèque
est issue des principes algorithmiques et
du consensus des acteurs.
En réalité, ces deux modèles ne sont pas
exclusifs l'un de l'autre. Ils répondent
à des besoins et des exigences différents. Comme nous allons le voir, ils ne
permettent pas à eux seuls de garantir
une confiance absolue. Tous deux ont à la
fois des inconvénients et des avantages.
C'est pourquoi ils sont souvent utilisés
de manière croisée ou hybride, ce qui
permet de tirer le meilleur de chaque
modèle et de sécuriser au mieux les
transactions.

LES DEUX CATÉGORIES DE
MODÈLES DE CONFIANCE
Le modèle de confiance
centralisé et hiérarchique
Dans un tel modèle, la confiance trouve
sa source dans différents mécanismes qui
peuvent être intrinsèques ou exogènes.
Cela dépend de la relation ou de la transaction qu'il convient de sécuriser, de
valider ou de certifier.
Ainsi, il est possible que la confiance
découle de la réputation, de l'historique
d'un acteur du système. Il s'agit alors
d'une confiance intrinsèque qui prend
sa source dans la nature même de l'entité concernée. Par exemple, on fait plus
facilement confiance à une entreprise
réputée au niveau national ou international et qui existe depuis des dizaines d'années qu'à une nouvelle société qui ne
justifie que de quelques mois d'existence.
Concrètement, un acteur avec un historique important est plus apte à instaurer

un climat de confiance sans que les
parties éprouvent le besoin de contrôler
ou demander des preuves de pratiques
dignes de confiance.
A ce titre, l'Etat peut être érigé comme l'entité de confiance par excellence. Dans un
système démocratique, la confiance que
nous lui portons découle de l'organisation
politique mise en place et de la légitimité
que lui confèrent les élections. C'est d'ailleurs lui qui édicte, par la loi et le règlement, les conditions de la confiance et les
règles de contrôle applicables.
Par exemple, la confiance accordée à l'officier ministériel repose sur le respect de
règles déontologiques sanctionnées à la
fois par un ordre professionnel et par la
loi qui prévoit des peines sévères en cas
de transgression.
De la même façon, les institutions
bancaires sont garantes des fonds de
leurs clients à la fois par le contrat qu'elles
concluent avec lui mais aussi par les
différentes dispositions législatives et
réglementaires qui encadrent et régulent
cette relation. La crise de confiance qui
a agité le monde interbancaire en 2008
montre, avec acuité, l'importance de cette
notion.
Cette organisation qui confie à une seule
entité supérieure ou tierce la mission de
garantir le respect des règles et des principes est l'incarnation même d'un modèle
de confiance centralisé.
Comme nous l'avons évoqué en introduction, ce type de modèle de confiance
n'est pas réservé au monde physique.
Cette approche a été transposée dans
le cadre numérique. On la retrouve ainsi
dans le domaine de la cryptographie et
du chiffrement des données à travers les
architectures dites à clés publiques : des
autorités délivrent des certificats à des
personnes physiques ou morales et, ce
faisant, garantissent le lien entre l'objet
numérique et le porteur, l'intégrité des
données, leur historique, etc. Les services
de signature, d'horodatage ou d'authentification illustrent parfaitement l'application d'un modèle de confiance centralisé
dans le monde numérique.
Dans ce système, il est possible de vérifier les éléments de confiance fournis en
remontant la chaîne et en interrogeant

EXPERTISES SEPTEMBRE 2017

les différents acteurs. Par exemple, OCSP
(Online Certificate Status Protocol ou
Protocole de vérification de certificat en
ligne) est un protocole internet qui permet
de s'assurer de la non-révocation d'un
certificat numérique. Il trouve toute son
utilité au sein des architectures à clés
publiques afin de sécuriser les transactions et de s'assurer que les certificats
utilisés n'ont pas été révoqués par l'organisme émetteur.
Cette architecture qui se construit autour
d'un tiers de confiance peut être qualifiée
de classique. Ce modèle a d'ailleurs longtemps été l'unique façon de garantir les
transactions ou les données. C'est pourquoi il a eu tendance à se confondre avec
la notion de confiance jusqu'à l'émergence de modèles différents voire disruptifs. Ces derniers ont démontré que la
confiance ne devait pas obligatoirement
être concentrée au sein d'une même entité pour apporter le maximum de sécurité
et de sûreté.

Le modèle de confiance
décentralisé
Au sein d'un modèle centralisé, la
confiance n'est pas concentrée sur une
seule entité et ne dépend pas de l'existence de règles ou de la réalisation de
contrôle. La confiance est directement
créée par les acteurs du système sans
qu'une organisation hiérarchique de
celle-ci soit nécessaire. Deux méthodes
peuvent aboutir à la création de cette
confiance :
■ mise en place d'une chaîne de
confiance de proche en proche entre
les différents acteurs du système : le
modèle web of trust ;
■ mise en place d'une architecture
technique qui va produire intrinsèquement de la confiance à l'aide de
procédés algorithmiques : le modèle
trustless trust (blockchain).

Le modèle web of trust
Dans ce type de modèle décentralisé, un consensus entre les différents
acteurs permet d'accorder la confiance
à une donnée grâce aux différentes
vérifications déjà effectuées par certains
membres du système. Plus il y a eu de
vérifications ou de notes positives, plus
la confiance est grande. Ce n'est plus
une seule entité qui décide de la validité

301



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427

Couverture
Editorial & Sommaire
FOCUS DÉRÉFÉRENCEMENT, LE CASSE-TÊTE TERRITORIAL
EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW LOGICIEL D’OCCASION ET PATRIMONIALISATION DES LICENCES
DOCTRINE
DÉMATÉRIALISATION - LA CONFRONTATION DES MODÈLES DE CONFIANCE
DROIT D’AUTEUR - LE PRINCIPE DE LA RÉÉDITION DES OEUVRES INDISPONIBLES VALIDÉ
CONTRATS - IBM / MAIF : QUELS ENSEIGNEMENTS EN TIRER ?
SIGNATURE ÉLECTRONIQUE - INTERDICTION DE COMMERCIALISATION DE CERTIFICATS PAR LES CCI : DÉCODAGE
DONNÉES PERSONNELLES - DROIT DES SOCIÉTÉS ET DROIT À L’OUBLI
JURISPRUDENCE IBM FRANCE, BNP PARIBAS FACTOR / MAIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - FOCUS DÉRÉFÉRENCEMENT, LE CASSE-TÊTE TERRITORIAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 285
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 286
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 287
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 288
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 289
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 290
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 292
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 293
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 294
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 295
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - INTERVIEW LOGICIEL D’OCCASION ET PATRIMONIALISATION DES LICENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 297
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 298
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 299
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - DÉMATÉRIALISATION - LA CONFRONTATION DES MODÈLES DE CONFIANCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 301
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 302
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 303
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 304
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - DROIT D’AUTEUR - LE PRINCIPE DE LA RÉÉDITION DES OEUVRES INDISPONIBLES VALIDÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 306
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 307
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 308
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 309
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 310
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 311
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 312
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - CONTRATS - IBM / MAIF : QUELS ENSEIGNEMENTS EN TIRER ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 314
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - SIGNATURE ÉLECTRONIQUE - INTERDICTION DE COMMERCIALISATION DE CERTIFICATS PAR LES CCI : DÉCODAGE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 316
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - DONNÉES PERSONNELLES - DROIT DES SOCIÉTÉS ET DROIT À L’OUBLI
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 318
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - JURISPRUDENCE IBM FRANCE, BNP PARIBAS FACTOR / MAIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2017 - n°427 - 320
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com