Oeuvre d’art, musique, Une de magazine, maison, objet virtuel de collection d’un club de foot, et bientôt brevet intellectuel, on trouve aujourd’hui de plus en plus de tout sous forme tokenisée, répondant à l’acronyme NFT (de l’anglais non-fungible token ou jeton non fongible), ces items numériques avec une identité propre, non interchangeable, qui se reposent, comme Ethereum, ou Bitcoin, sur la Blockchain. NFT : existe-t-il des risques cyber et des arnaques possibles ? La question méritait d’être posée. Boriana Guimberteau, associée au cabinet d’avocats FTPA, répond à Solutions Numériques.
Il y a quelques semaines, le patron de Twitter vendait une version NFT de son premier tweet pour la somme de 2,9 millions de dollars. Ce jeudi 22 avril, c’est le spécialiste de la sécurité collaborative HackerOne qui indiquait avoir vendu en NFT la toute première vulnérabilité qui a mené à la création de la société en 2012. A l’époque, cette vulnérabilité, un simple bug XSS (Cross-Site Scripting) dans Facebook Mail, le prédécesseur de Facebook Messenger, a été remontée à Facebook par Michiel Prins et Jobert Abma, qui deviendront cofondateurs d’HackerOne. Cette vulnérabilité vient d’être vendue pour plus de 7 000 dollars sur OpenSea, une place de marché dédiée, célèbre auprès de toute la communauté des tokens non fongibles et qui a levé 23 millions de dollars le mois dernier.
Ce ne sont que deux exemples de vente dobjets NFT, en l’occurence par des entreprises du monde numérique. Mais celui de HackerOne est intéressant, dans la mesure où ce spécialiste de la cybersécurité, pour expliquer pourquoi il vend cette vulnérabilité en NFT, explique que ces objets virtuels ont une « authenticité et traçabilité inviolables grâce à la blockchain« .
Alors, Solutions Numériques s’est logiquement posé cette question : est-on sûr à 100 % de la fiabilité du système ? Nous avons posé la question à Boriana Guimberteau, associée au cabinet d’avocats FTPA.
S.N. : Comment sécuriser les transactions des œuvres NFT ?
Boriana Guimberteau : Dans la mesure où les transactions sont inscrites dans la blockchain, elles sont sécurisées puisque la technologie blockchain est inviolable – ou plutôt extrêmement coûteuse à violer. Depuis sa création, en 2014, la blockchain Ethereum n’a pas été hackée. En outre, une fois inscrites dans la blockchain, les transactions sont non modifiables.
S.N. : Existe-t-il cependant des risques ?
B.G. : La Blockchain peut être vue comme un ensemble de coffres-forts. Posséder un NFT, revient à posséder le code qui contrôle un coffre-fort de la Blockchain. Les principaux risques sont les suivants. Vous perdez le code qui contrôle le coffre-fort, alors vous perdez votre NFT et il sera impossible de le récupérer sans le code. On vous vole le code qui contrôle le coffre-fort, alors le voleur peut transférer le contenu du coffre-fort dans un autre coffre-fort.
S.N. : Existe-t-il d’autres problématiques identifiées ?
BG : Avec le pseudonyme des acheteurs, cette absence d’identification pourrait créer des difficultés en cas de non-paiement.
Il est possible de supprimer entièrement le risque de non-paiement si le paiement est fait en crypto-monnaie. Il est possible de réaliser un swap de la propriété du NFT contre paiement. Ceci est similaire à un « compte-séquestre » sur la blockchain, lequel pouvant recevoir les crypto-monnaies destinées au paiement et le NFT. Ce “compte-séquestre”’ ne réalise ensuite l’échange du NFT contre paiement que si les 2 parties l’acceptent. Il n’y a alors plus de risque de non-paiement même si l’on ne connait pas la contrepartie.
En revanche il peut y avoir des enjeux d’Anti Money Laundering (ndlr, lutte contre le blanchiment d’argent) et de Know Your Customer (ndl, pour l’identification des tentatives de fraudes, de blanchiment d’argent, de financement de terrorisme au sein des établissements bancaires) lors de la conversion des crypto-monnaies en monnaie traditionnelle. En effet, en fonction des montants en jeu, des questions peuvent être posées par les banques sur la provenance des fonds. Certaines plateformes réalisent des contrôles sur leurs utilisateurs.
En ce qui concerne le droit de suite pour les auteurs (arts graphique et plastiques), pour l’instant les auteurs ne sont pas nécessairement rémunérés à chaque revente successive des NFT. La législation n’est pas nécessairement applicable au NFT et devra sans doute être adaptée.
Le droit de suite est très complexe techniquement à mettre en œuvre sur la blockchain, certaines plateformes l’appliquent, mais pas toutes, et rien n’empêche a priori un propriétaire de passer sur une autre plateforme pour éviter de payer ce droit de suite.
S.N. : Des arnaques sont-elles à craindre ?
BG : En ce qui concerne l’authenticité de l’œuvre, le NFT étant unique et inscrit sur la blockchain, il ne peut être dupliqué. En revanche, le lien avec le monde réel présente toujours des risques. Ainsi, un faux peut être présenté comme une œuvre originale. Il peut y avoir donc des problèmes liés à l’authenticité de l’œuvre. Il faut donc coupler le système des NFT/blockchain avec un système d’authentification de l’œuvre originale (scan de l’œuvre originale et émission de certificat par exemple).
Pour la disponibilité de l’œuvre, dans la plupart des cas, l’image liée à un NFT n’est pas directement stockée dans le jeton inscrit sur la blockchain, car trop volumineuse. Bien que certains projets stockent les images grâce à leur hash, la majeure partie des NFT voient leurs œuvres stockés hors de la blockchain. Ainsi, l’œuvre pourrait ne pas être rendue disponible/visible pour son propriétaire même s’il en demeure propriétaire.
