En tant qu’entité faisant ou devant faire l’objet d’un audit financier, vous devez vous demander comment les auditeurs déterminent leurs honoraires d’audit. De leur côté, les auditeurs prennent en compte de nombreux facteurs pour effectuer une soumission quant à une mission d’audit impliquant des actifs numériques. L’objectif de ce blog est de détailler les raisons pour lesquelles certains audits peuvent être plus exigeants en termes de ressources (expertise, temps, personnel) que d’autres.
Dans le cadre de leurs procédures d’audit, les auditeurs doivent obtenir des preuves d’audit pour plusieurs “assertions” relatives aux actifs numériques détenus par une entité, tel que le Bitcoin par exemple. Le sujet de ce blogue concerne la propriété, mais d’autres articles sont à venir quant à l’existence, l’exhaustivité et l’évaluation de ces actifs.
En lien avec la propriété quant à ces actifs numériques, de nombreux enthousiastes répètent souvent le dicton “pas vos clés, pas vos bitcoins”. Selon eux, on ne peut pas détenir des actifs numériques sans détenir également les clés privées afférentes. L’inverse est aussi vrai : si vous détenez les clés privées, alors vous détenez les actifs numériques. En d’autres termes, l’actif numérique est selon ce groupe de personnes considéré comme un actif au porteur (comme l’argent liquide, le simple fait de le détenir signifie que vous en êtes propriétaire). Ce n’est toutefois PAS la position adoptée par les régulateurs ou d’autres types utilisateurs d’actifs numériques jugés plus traditionnels.
Le concept de propriété des actifs numériques peut être scindé entre le contrôle et le droit. Pour démontrer le contrôle d’un actif numérique, vous pouvez soit la déplacer, soit signer un message (c’est-à-dire démontrer que vous connaissez la clé privée). Cependant, il existe un risque fondamental qui réside dans le fait que plusieurs personnes puissent contrôler cet actif sans détenir les droits légaux associés. Lors d’un audit financier, non seulement vous devrez démontrer que vous connaissez la clé privée, mais aussi que vous êtes le propriétaire légitime des biens qu’elle protège. Si un client n’a que peu d’adresses, l’auditeur peut les traiter manuellement. Toutefois, un nombre important d’adresses se traduit généralement par davantage de temps passé à l’exécution des procédures et à la documentation des preuves obtenues. Il est à noter qu’il existe une norme, le « Bitcoin Improvement Proposal 32 » ou « BIP 32 » dans le monde des actifs numériques qui a été créée et selon laquelle il est possible d’inclure plusieurs adresses Bitcoin dans ce que l’on appelle un portefeuille hiérarchique déterministe (ou portefeuille HD).
Au lieu de créer une clé privée, l’entité crée une clé privée étendue qui elle génère une clé publique étendue. Cette clé publique étendue peut être utilisée pour générer des millions de clés publiques. Chaque clé publique peut être alors être utilisée pour effectuer des transactions (en utilisant donc la clé privée étendue). L’auditeur peut alors prouver la propriété de la clé publique étendue sans avoir besoin de prouver la propriété de toutes les multiples adresses. Toutefois, l’auditeur doit démontrer que ces millions d’adresses sont effectivement issues de la dérivation de la clé publique étendue, un processus qui peut être automatisé à l’aide d’outils logiciels.
En général, lorsque les organisations utilisent des clés publiques étendues, elles en ont une pour chaque type d’actif numérique détenu (Bitcoin, Ethereum, etc.). Si elles possèdent 15 actifs numériques différents, il suffit alors de 15 tests (en supposant bien sûr que tous les actifs numériques soient suffisamment matériels pour être audités). Il est intéressant de noter que le BIP 32 a été encore amélioré par le BIP 44, qui a créé un moyen d’indiquer la dérivation d’adresses à travers de nombreuses chaînes de blocs différentes (comme Ethereum ou Litecoin).
Désormais, il est donc tout à fait possible de contrôler plusieurs actifs numériques à l’aide d’une seule clé privée étendue. Théoriquement, une plateforme d’échanges avec des dizaines, voire des centaines d’actifs, pourrait prouver à son auditeur qu’elle possède et contrôle des millions d’adresses de différents types avec une seule preuve, ce qui pourrait s’avérer très efficient!
L’autre défi que nous avons mentionné est la complexité des adresses. La plupart des gens ne s’en rendent pas compte, mais presque toutes les adresses sont en réalité le résultat d’un hachage (alias une empreinte digitale) d’un ensemble d’exigences pour débloquer des fonds. Lorsqu’Alice envoie des fonds à l’adresse de Bob, elle doit satisfaire aux exigences de déblocage de ses fonds (en fournissant sa signature), puis elle doit également ajouter les exigences du bénéficiaire, dans ce cas l’adresse de Bob. Prenons l’exemple de Bob qui souhaite que son adresse nécessite un cosignataire pour permettre l’autorisation d’une transaction. Lors de la création de son adresse, Bob ajoute l’exigence de fournir deux signatures pour toute utilisation. Plutôt que de publier le code qui régit ces exigences, il les convertit en une adresse. Lorsque Bob (avec l’aide de son cosignataire) souhaitera envoyer des fonds, il devra publier la liste des exigences, démontrer que celles-ci sont la “pré-image” de l’adresse (c’est-à-dire la source de l’empreinte digitale), puis devra remplir ces dites exigences grâce à sa signature et celle de son cosignataire. Cet exemple de complexité est très courant et les adresses ayant cette caractéristique sont ce qu’on appelle des adresses « à multi signatures (ou multi-sig »). D’une certaine manière, il s’agissait du premier et du plus simple des contrats autonomes.
En plus de nécessiter davantage qu’une clé, certains types d’adresses peuvent exiger qu’une certaine période de temps soit écoulée (ce qu’on appelle le verrouillage temporel) ou même exiger certaines informations arbitraires avant d’autoriser une opération. Il est intéressant de noter que la technologie derrière le Bitcoin permet un code opération spécifique pour créer une adresse à plusieurs signatures. Ethereum, en revanche, ne dispose pas d’un schéma standard de multi-signatures mais permet la création de contrats autonomes pour reproduire la fonctionnalité de multi-signature. Dans ce cas-ci, les coûts peuvent augmenter comme nous le démontrons dans l’exemple ci-dessous.
Imaginez deux entités différentes, l’entité A qui décide de rédiger son propre contrat autonome et l’entité B qui utilise un contrat autonome multi-signatures et « open source », révisé et largement utilisé dans la communauté. Selon vous, quel auditeur aura la tâche la plus ardue? L’auditeur de l’entité A, car il devra effectuer l’examen du contrat autonome de l’entité pour valider la propriété des actifs numériques et cela prendra normalement plus de temps. Il devra s’assurer que le contrat autonome ne comporte pas de bogues ou de caractéristiques frauduleuses qui pourraient avoir un impact sur les procédures à effectuer.
Pour résumer, certaines preuves de validation d’adresses détenues en auto-détention peuvent être plus coûteuses que d’autres. Si le client possède un portefeuille HD adéquat, avec des caractéristiques de signature utilisant le BIP 44, et ne participe pas à un contrat autonome multi-signatures insuffisamment testé, les procédures d’audit pour valider la propriété peuvent être réalisées simplement et sans embuches.
En dehors de l’auto-détention, il existe également diverses options. Certains gardiens de valeur d’actifs numériques ont prouvé leur crédibilité dans l’industrie par l’obtention de rapports SOC 2. Sans entrer dans les détails, ces rapports fournissent des informations pertinentes sur les systèmes utilisés par les gardiens de valeur pour s’assurer que certains critères de confiance sont remplis en ce qui concerne les données des entités utilisatrices des services fournis par le gardien de valeur. Lorsque les gardiens de valeur ont ce type de certification, les auditeurs des entités utilisatrices peuvent alors réviser ce rapport SOC et diminuer l’étendue des procédures à effectuer par eux-mêmes, notamment pour valider la propriété des actifs. Là encore, ce processus peut être très efficient.
Lorsque ces rapports ne sont pas disponibles, les auditeurs des entités utilisatrices doivent alors communiquer avec le gardien de valeur afin comprendre ses contrôles internes et tester ces derniers pour s’assurer qu’ils ont fonctionné efficacement pendant la période auditée. Ce processus peut prendre beaucoup de temps et nécessite l’entière collaboration du gardien de valeur. Sans ce confort, valider la propriété des actifs numériques peut représenter un autre défi à relever pour l’auditeur. Si vous avez des questions sur ce qui précède ou sur votre capacité à fournir des preuves d’audit suffisantes quant à vos actifs numériques, n’hésitez pas à communiquer avec nous! Vos experts de Catallaxy sont là pour vous aider.
