Paiements adaptés aux commerçants : moins que parfaits, mais meilleurs qu'avant

Bitcoin devrait connaître une refonte de son mécanisme de paiement pour le rendre plus convivial pour les commerçants, mais l'équipe de développement CORE travaille avec un système imparfait, disent-ils.

L'idée de base derrière leRequest de paiement L'initiative vise à doter Bitcoin d'un mécanisme permettant d'envoyer des paiements vérifiés directement entre utilisateurs. Cela ne retire T les transactions de la blockchain, mais offre un niveau de sécurité supplémentaire entre le commerçant et le client. Cela rend également les paiements plus conviviaux.

Le problème avec les paiements en Bitcoin

Dans le système de paiement Bitcoin traditionnel, les bitcoins sont envoyés en collant manuellement une longue adresse alphanumérique incompréhensible dans un client Bitcoin . Certains clients permettent de scanner les codes QR des adresses.

« C'est techniquement excellent, mais pour le commun des mortels, cela LOOKS à un singe tapant sur un clavier », explique Jeff Garzik, développeur CORE . Outre sa difficulté à comprendre et à utiliser pour le commun des mortels, le format d'adresse, un peu baragouin, rend possible de nombreuses attaques. « Par exemple, on ne sait T si l'adresse Bitcoin que je vous ai donnée est bien la mienne », souligne-t-il.

Il existe un risque que l'adresse soit inexacte ou tout simplement frauduleuse. Je pourrais me faire passer pour un commerçant en ligne légitime et reconnu, ou peut-être vous envoyer une attaque de phishing pour vous demander de l'argent. Si vous vous laissez avoir et me payez, votre argent disparaîtra. Après tout, les paiements en Bitcoin sont irréversibles.

L'autre problème des paiements en Bitcoin existants est que, bien qu'enregistrés de manière permanente dans la blockchain, ils sont difficiles à documenter. Aucune métadonnée n'est encodée dans les informations de paiement pour en préciser la finalité. Il n'existe pas non plus d'adresse de retour pour les remboursements. Tout remboursement doit être organisé séparément. Et si vous souhaitez confirmer immédiatement que votre paiement en Bitcoin est bien parvenu à son destinataire, vous devez obtenir une confirmation distincte de sa part.

Une meilleure façon

Tout cela pouvait paraître raisonnable en 2009, mais les choses ont évolué. Il nous faut désormais une solution plus robuste, affirme Pieter Wuille, ONEun des sept CORE développeurs de Bitcoin. « Dans la plupart des cas, vous visitez déjà le site web du commerçant pour passer commande. Il est assez étrange que nous nous appuyions désormais sur le réseau pair-à-pair (lent, peu fiable, coûteux et peu flexible) pour lui faire parvenir son paiement, alors que nous pourrions simplement le lui envoyer directement (plus rapide, moins cher, possibilité d'ajouter des métadonnées à la transaction et, surtout, confirmation instantanée de la réception du paiement par le commerçant). »

Le mécanisme de demandes de paiement vise précisément cet objectif. Au lieu d'envoyer des paiements à une adresse Bitcoin fastidieuse, une personne souhaitant payer en bitcoins peut simplement attendre qu'une Request lui soit envoyée par courriel par le commerçant ou via un site web. Le client Bitcoin du client utilise les informations contenues dans la Request de paiement pour effectuer le paiement, ce qui sécurise le processus.

Les demandes de paiement utilisent des certificats numériques pour tenter de résoudre le problème, de la même manière que les sites Web les utilisent pour prouver que les sites appartiennent et sont exploités par les véritables propriétaires d'une entreprise.

Aux heures sombres d'Internet, il était facile de visiter un site web que l'on croyait appartenir à une certaine entreprise (par exemple, www.microsoft.com) pour finalement atterrir sur un site frauduleux géré par un escroc (par exemple, www.m1cros0ft.com). De nombreuses personnes étaient vulnérables aux attaques de phishing à cause de cette faille. L'industrie a donc introduit les certificats numériques. Les sites fournissaient ces certificats, obtenus auprès d'organismes tiers de confiance appelés autorités de certification. Les navigateurs les recherchaient et affichaient une erreur s'ils ne les trouvaient T .

Certificats numériques dans les paiements en Bitcoin

Les développeurs CORE souhaitent utiliser le même principe de base pour les paiements. Un commerçant envoie une Request de paiement au client, signée par un certificat numérique. Cette demande peut inclure des informations telles que la date d'expiration du paiement, des données spécifiques au commerçant comme un numéro de facture, une note en texte brut et une URL de destination. Auparavant, aucune de ces informations n'était disponible dans un paiement Bitcoin standard, car il n'y avait T de Request de paiement. Le client envoyait simplement ses bitcoins dans l'Ether, en espérant qu'il atterrirait chez la bonne personne.

Dans le nouveau système, le client enverra son paiement au commerçant, encodé avec des informations supplémentaires, y compris certaines des informations de la Request de paiement comme référence, ainsi qu'une adresse de remboursement dans le cas où le commerçant aurait besoin de renvoyer des fonds.

C'est un système très mature, et Bitcoin en avait besoin depuis longtemps, c'est pourquoi il est à l'étude depuis un an ou deux. Mais le système sur lequel il sera construit est loin d'être parfait, admettent les développeurs CORE .

Le gain de vitesse de sécurité du SSL

Les certificats sont difficiles à obtenir correctement. Que se passe-t-il si un certificat est frauduleux, comme cela s'est produit ?ici,ici, et iciQue se passe-t-il si un certificat a été révoqué ?

« En général, l'infrastructure de confiance à clé publique est un problème très difficile, et il n'existe malheureusement pas de solution miracle. La PKI SSL est en quelque sorte le pire système existant, après tous les autres », admet Wuille.

SSL est le nom familier de X.509, la norme de certification qui sera utilisée pour le mécanisme de Request de paiement. Les experts la critiquent depuis longtemps pour ses failles. Dan Kaminsky et Moxie Marlinspike sont des demi-dieux du secteur de la sécurité. Ils a fait sauter le couvercleVulnérabilités de sécurité X.509 lors de la tristement célèbre conférence de hackers Defcon en 2009.

La révocation des certificats est un autre problème rencontré avec X.509. Les certificats peuvent être révoqués pour diverses raisons, notamment si les détenteurs fournissent de faux documents ou commettent d'autres actes spécieux en ligne. X.509 utilise un système appelé OCSP (Online Certificate Status Protocol) pour identifier les certificats révoqués.

« Les experts s'accordent à dire que le système de révocation de certificats (OCSP) est T », déclare Gavin Andresen, développeur principal. « Les autorités de certification ne sont tout simplement T suffisamment incitées à investir dans l'infrastructure nécessaire pour prendre en charge des millions d'utilisateurs qui interrogent constamment leurs serveurs OCSP et se demandent : "Ce certificat est-il révoqué ? Non ? Et maintenant ?" »

Adoption vs sécurité

Ainsi, au moins deux des sept développeurs CORE admettent que X.509 présente des failles. Pourquoi l'utilisent-ils ? Qu'on le veuille ou non, la quasi-totalité d'Internet utilise SSL, et en pratique, les développeurs CORE n'ont T vraiment le choix. Si vous êtes un commerçant en ligne, vous possédez probablement un certificat SSL. Même si l'équipe de développement CORE était capable de résoudre le problème de l'infrastructure à clé publique et de concevoir une meilleure solution, il lui faudrait convaincre les utilisateurs de l'utiliser. C'est déjà assez difficile d'intéresser les commerçants au Bitcoin , sans pour autant les obliger à s'inscrire à nouveau pour un nouveau certificat.

Rien n'est parfait en technologie, et comme le dit Andresen, les commerçants en ligne T s'appuient pas non plus sur OCSP en pratique. X.509 reste plus sécurisé que les adresses Bitcoin utilisées aujourd'hui. Toute avancée vaut mieux que rien.

Les avantages des demandes de paiement

Un meilleur mécanisme de paiement apporterait des avantages significatifs à Bitcoin. Les améliorations apportées à l'expérience utilisateur ne doivent T être sous-estimées. Andresen aimerait voir un jour les adresses Bitcoin actuellement utilisées disparaître à jamais. « J'espère que ce sera un jour le cas », dit-il. « Les adresses Bitcoin ne sont pas très conviviales. »

Les adresses Bitcoin ne seront T officiellement obsolètes, déclare le développeur CORE Nils Schneider, mais elles pourraient très bien être moins utilisées dans les relations avec les commerçants, d'autant plus qu'elles doivent actuellement générer des adresses Bitcoin distinctes pour chaque transaction.

« Actuellement, utiliser une adresse différente pour chaque transaction est la méthode privilégiée pour les KEEP . Cela implique de créer et de stocker une clé privée pour chaque transaction », explique-t-il. « Avec les demandes de paiement, vous pouvez utiliser la même clé plusieurs fois tout en étant capable de distinguer les différentes transactions et de savoir quel client a envoyé l'argent. »

De nombreuses infrastructures reposent déjà sur des adresses Bitcoin standard, explique Wuille. Cela représente une grande inertie à gérer. Mais il espère que l'expérience client supérieure en vaudra la peine. « Concentrons-nous d'abord sur l'utilisation de cette technologie pour les transactions e-commerce, et nous verrons pour le reste. »

Alors, quand est-ce que tout cela va arriver ? Les développeurs CORE ne s'engagent T sur grand-chose. Ils visent les demandes de paiement dans Bitcoin v0.9, mais ce n'est pas une certitude absolue, explique Wuille. « Nous publions des versions dès que nécessaire. En cas de mise à jour de sécurité importante, de nouvelles versions de la série 0.8.x pourraient être publiées avant la 0.9 », précise-t-il. « L'objectif est de prendre en charge le protocole de paiement dans la 0.9, mais si cela entraîne des retards importants et inattendus, la 0.9 pourrait être publiée sans. »

Les demandes de paiement peuvent rencontrer des difficultés, mais c'est une bonne chose pour Bitcoin, et c'est une initiative audacieuse de la part d'une équipe de développement notoirement conservatrice. Tout ce qui peut rendre le processus d'envoi de Cryptomonnaie entre les parties plus sûr et plus efficace sera bénéfique.