La folie NFT

Dans le cadre du développement continu du solutionnisme technologique, les NFT (parfois appelés cryptocollectibles) tiennent une place de choix : c’est la solution à on-ne-sait-pas quel problème. On les voit désormais régulièrement dans l’actualité avec des affaires qui montrent que ces actifs numériques ne sont ni compris ni maîtrisés par le plus grand nombre. Et ça ne prête pas toujours à rire.

En janvier 2022, un professeur de médecine a mis en vente sous forme de NFT un cliché d’une radiographie présentant un caractère particulier, à savoir un cliché médical d’une victime du Bataclan. L’offre de vente se trouvait sur le site opensea.io, un site spécialisé dans ce type de transactions. Dans la description de la vente, il y avait des éléments d’information pouvant permettre d’identifier (au moins partiellement) la personne en question.

De bien mauvais exemples

Dans ce premier cas, le professeur indique avoir réfléchi à l’aspect éthique sans que cela ne l’empêche d’initier la vente. On peut supposer qu’ici le problème serait que l’éthique médicale qu’il a pu développer au cours de sa carrière n’était pas adaptée à ce phénomène technologique très récent.

Jusqu’à peu, il n’aurait rien pu faire de ce cliché à part l’échanger sous le manteau, mais avec l’apparition des NFT, il est devenu possible de le vendre. Or, possible ne signifie pas souhaitable ni légal, et l’engouement actuel pour ces jetons va certainement conduire à d’autres excès ou erreurs de jugement. Sans compter qu’il n’avait pas demandé à la victime la moindre autorisation.

Autre exemple moins dramatique, Spice DAO, une organisation décentralisée, a lancé une campagne de financement participatif pour acquérir un manuscrit non publié du projet de film de 1975 d’Alejandro Jodorowsky d’après le roman de Frank Herbert, Dune.

Ce projet, qui a une histoire singulière, pour un film qui aurait duré 15 heures avec une distribution exceptionnelle, n’a jamais abouti. Spice DAO s’est donné pour mission de reprendre cette œuvre et a acquis pour 3 millions de dollars un manuscrit via NFT, ce qui correspondait à 90 fois l’estimation de Christies. Or ce que Spice DAO a acheté est effectivement une version du manuscrit, mais cela ne leur sera d’aucune utilité puisqu’il ne suffit pas d’avoir le manuscrit pour en avoir les droits.

C’est plus clair en faisant l’analogie avec le papier, car on y est plus habitué : ils n’ont fait qu’acheter le livre, pas les droits. Ça n’est pas parce que vous achetez le dernier Marc Lévy ou Amélie Nothomb que vous avez le droit d’en faire un film : vous avez le droit… de le lire ! Aucun problème légal ou éthique ici : tout s’est fait dans les règles. Spice DAO est depuis devenu la risée de nombreux internautes.

Avec les NFT, il faut donc savoir ce qu’on vend et ce qu’on achète. Les NFT ne traitent qu’une partie des mécanismes légaux dans la vente d’une œuvre.

NFT et blockchain, même combat

Il faut d’abord comprendre les chaînes de blocs (« blockchains ») pour comprendre les NFT. Basiquement, une chaîne de blocs n’est grosso modo qu’un gros fichier informatique (ou un ensemble cohérent de fichiers) distribué et intègre. Ça n’est pas une base de données, ni une monnaie, ni un truc magique, c’est un fichier.

Pour ceux qui veulent en savoir plus, un très détaillé et très pertinent rapport du Sénat « Comprendre les blockchains : fonctionnement et enjeux de ces nouvelles technologies » nous définit la blockchain (en l’occurrence pour le bitcoin) comme un « grand livre comptable infalsifiable qui rend inutile l'existence d'un tiers de confiance ».

Entendons-nous bien : infalsifiable doit être pris au sens très difficile à falsifier, car des attaques sont – mathématiquement – possibles, mais uniquement dans certains scenarios considérées comme très peu probables. 

• Qu'est-ce qu'une blockchain et à quoi ça sert ?

Une blockchain permet donc d’inscrire de façon (quasi) indélébile des informations sans avoir besoin d’une autorité en charge de ce rôle. Rien de plus. Toute la valeur d’une blockchain repose dans ses règles de gestion (comment les données sont validées, distribuées) et la nature des données entrées. Chacun est libre de formaliser les règles et les usages d’une blockchain.

Pour le bitcoin, c’est le fameux article du mystérieux Satoshi Nakamoto en 2008 qui a donné les règles, dont l’objet était de proposer un système de transaction sans avoir besoin d’un tiers de confiance – habituellement les banques (centrales) dans l’économie traditionnelle.

• #14h42 : Et si on décryptait les crypto-monnaies ? (Bitcoin, altcoins & cie)

Pour le bitcoin, les données enregistrées dans la chaîne sont des transactions, mais pour les NFT ce sont des titres de propriété d’œuvres numériques sous une forme informatique (numérique, comme on dit de nos jours).

Et donc, c’est quoi un NFT ?

La définition la plus large serait : un actif non fongible validé selon un protocole consensuel dans une blockchain.

Maintenant, cassons le mythe.

Actif non fongible

Un actif fongible est quelque chose (un actif) qui peut être remplacé par un autre de même nature. Par exemple, vous pouvez remplacer une pièce de 2 euros par n’importe quelle autre pièce de 2 euros. Un actif non fongible, c’est l’inverse : vous ne pouvez pas remplacer une toile de maître par autre chose, car ce tableau est unique. La toile de maître est donc un actif non fongible (mais il n’est pas numérique).

On entend aussi parler d’actifs semi-fongibles. Pour faire très simple, ce sont des actifs dont la nature peut varier dans le temps ou qui ont des caractéristiques mixtes entre fongibles et non fongibles. Par exemple, des billets de concert ou des places dans une enceinte sportive, pour un événement donné, sont des actifs semi-fongibles : on peut échanger un billet contre un autre, mais si la place est numérotée, les deux billets ne sont pas équivalents. De plus, une fois l’événement passé, le billet n’a plus aucune valeur. Les cas de figure sont nombreux.

Les NFT – Non Fongible Token – sont tout simplement l’application de la technologie des chaînes de blocs à des actifs numériques non fongibles. Par application, on parle de l’affectation de la propriété d’un objet numérique (donc non fongible) à un utilisateur de la blockchain. Ainsi, je peux prétendre être le détenteur d’une œuvre numérique si cet acte de propriété est inscrit dans une blockchain.

Avec quelles chaînes ?

La chaîne Ethereum est souvent utilisée car elle dispose de caractéristiques convenant à ce genre d’usage, comme la possibilité d’utiliser des smart contracts (en gros, un programme qui peut inscrire une donnée dans une chaîne de blocs, selon les conditions qu’on lui fournit). D’autres chaînes peuvent être utilisées, parfois dédiées à cet usage comme Klaytn, mais cela ne change rien au fond pour l’utilisateur, à condition que ces chaînes assurent l’intégrité nécessaire, ce qui est le cas pour Ethereum.

Il est toutefois difficile de gérer soi-même ce genre d’acte de propriété numérique : on passe souvent par des intermédiaires tels que opensea.io (le plus important), qui se charge d’inscrire les informations nécessaires dans la chaîne et de conserver l’œuvre numérique elle-même.

On y met quoi, exactement, dans un NFT ?

C’est la question la plus importante et à laquelle il n’y a aucune réponse juridique universellement admise : « Aujourd’hui, les NFT ne font l’objet d’aucune réglementation spécifique. Dès lors, la qualification juridique du NFT reste à ce jour incertaine », expliquait fin 2021 le cabinet Beaubourg Avocats.

On risque fort de se retrouver avec les mêmes débats qu’avec la nature des cryptomonnaies, avec ce paradoxe : seule une règlementation internationale pourrait lever toute ambiguïté sur la nature de ces actifs, alors même que l’intérêt de ces constructions décentralisées est justement de s’affranchir d’un tel carcan centralisateur.

Encore aujourd’hui, et malgré sa relative ancienneté, le statut de bitcoin reste sujet à discussion. Le Salvador en a fait une monnaie officielle, ce qui lui vaut un sévère rappel à l’ordre du FMI en raison des risques sur l’intégrité et la stabilité financière du pays, tandis que d’autres pays l’interdisent purement et simplement, comme la Chine ou le Maroc. Mais, en pratique, des utilisateurs en détiennent quand même !

Rentrons dans les détails

Juridiquement, il existe des pistes, mais aucune universelle ou automatique. Les NFT n’ont pas de vie indépendante et déconnectée : ils sont intrinsèquement liés à différentes branches du droit dont celle de la propriété intellectuelle, avec des cas de figure variés nécessitant souvent l’intervention d’un juge.

Parmi les zones d’incertitudes, rien que la qualification juridique d’un NFT peut prêter à interprétation. En France, n’est considéré comme actif numérique que ce qui remplit certaines conditions déterminées par le Code Monétaire et Financier (article L552-2,) dont le fait de représenter un ou plusieurs droits. Autrement dit : il faut que le propriétaire de l’œuvre ou son auteur autorise sa transformation en NFT et que cela soit rattaché au NFT d’une façon ou d’une autre.

Le terrain est plus stable au niveau de la technique. Dans le cas de la chaîne Ethereum, il existe des standards dédiés à ces objets. Cela signifie que la chaîne est capable de gérer des NFT de façon relativement simple et homogène. Pour les objets non fongibles, il faut « lire » le standard ERC-721. Pour Klaytn, une autre blockchain utilisée dans ce domaine, le standard correspondant est le KIP17. Comme vous le voyez, tout est déjà prévu. Ou presque.

Et donc un NFT c’est... ?

Un nombre, associé à l’adresse d’un portefeuille du possesseur.

Source : KIP 17: Non-fungible Token Standard (klaytn.com)

Hé ho, c’est tout ? Un nombre ?

Oui, c’est tout. Que vous regardiez dans le standard KIP17 ou ERC-1155, un actif n’est identifié que par… un identifiant unique sous la forme d’un nombre uint256 (un entier non signé de 256 bits). Rien d’autre. C’est bien un jeton (un token) associé à quelque chose, mais qui n’est pas contenu dans le token lui-même.

Et c’est bien tout le problème : que met-on derrière ce nombre identifiant l’actif du NFT ? Dans ces deux standards (KIP17 et ERC-721), on peut ajouter des informations (comme le nom de l’œuvre, la description, une image sous forme d’une référence URI à une ressource ayant un type MIME image/*), mais ces métadonnées sont optionnelles et ne sont que des informations descriptives, non l’objet original.

On trouve naturellement aussi l’adresse d’un portefeuille (Ethereum ou Klaytn) pour déterminer le propriétaire, ce qui est assez logique, mais on voit bien qu’on manipule des jetons, à savoir un simple identifiant de quelque chose qui est géré ailleurs. Comme le résume parfaitement le spécialise des réseaux Stéphane Bortzmeyer : « un NFT est un pointeur vers l'œuvre, pas l'œuvre ».

Et comment je sais ce que j’achète ?

Un token de type NFT ne contient donc qu’une référence à l’objet numérisé. Et qui stocke cet objet numérisé ? L’émetteur du token. Concernant l’œuvre numérique elle-même, en dépit de la sécurité apportée par la blockchain (à la réserve des scénarios d’attaques possibles), on repose entièrement sur l’émetteur qui peut être n’importe quelle société dont le niveau de sécurité ne répond à aucun standard a priori.

Ainsi, un acheteur de CryptoKitties s’en remet entièrement à la gestion du site cryptokitties.co. On se retrouve avec un nouveau fameux paradoxe : seul un acteur central peut gérer un type précis de NFT ! Il n’y a que le « titre de propriété » du NFT qui passe par un mécanisme décentralisé.

Quels risques ?

On voit passer dans l’actualité des affaires de vols concernant les NFT, ce qui surprend pas mal de personnes persuadées que l’utilisation d’une blockchain permet justement de retrouver le propriétaire véritable. Or s’il est vrai que la propriété inscrite dans la chaîne ne peut pas être modifiée, l’anomalie vient du fait que le mécanisme de transmission ne repose pas sur la chaîne, mais sur l’émetteur.

Dans le cas d’une cryptomonnaie, le détenteur du portefeuille valide lui-même une transaction par des mécanismes cryptographiques inclus dans la blockchain. La transaction est entièrement sécurisée par la chaîne. Pour un NFT, l’utilisateur donne l’ordre à l’émetteur de transférer l’objet, et cela fait toute la différence : la transaction en elle-même est valide et intègre, mais elle peut très bien avoir été demandée de manière frauduleuse ou accidentelle !

Prenons quelques cas réels. Nos confrères de Motherboard rapportent les déboires d’opensea.io qui a expérimenté la jeunesse du concept et l’inexpérience de ses utilisateurs : l’un d’entre eux a vu son NFT revendu par un autre utilisateur ! Aucune faille ou attaque en règle dans cette histoire. L’explication tient au fait que pour conserver son NFT, il faut payer des frais et les utilisateurs ont tendance à oublier ce détail.

Ainsi, à la suite de cet oubli, un tiers a pu racheter un NFT oublié à un prix dérisoire, en toute légalité, et le revendre au prix du marché en faisant en passant une petite culbute de plus de 80 ETH, soit plus de 200 000 euros. Le même principe s’applique aux noms de domaines : oublier de le renouveler dans les temps peut coûter très cher. 

Autre actualité citée par nos autres confrères de Decrypt : un utilisateur a été victime de phishing, ce qui arrive malheureusement. La réponse (de la même plateforme opensea.io) fut de bloquer des NFT dérobés par ce biais, ce qui est assez logique dans le « monde réel », mais qui revient à donner un pouvoir particulier à une seule entreprise. Comprenons bien : ce n’est pas la blockchain Ethereum qui a été attaquée ou abusée, mais l’émetteur des jetons ! Et hélas les exemples d’abus et de détournement ne manquent pas, comme le citent nos confrères de Numerama.

D’autres éléments peuvent conduire à des fraudes ou des incidents : les Smart Contracts peuvent être bugués ou contenir des vulnérabilités. Cela n’est pas propre aux NFT, mais c’est un point d’attention parmi d’autres.

Le rôle des places de marché

Comme on le voit, les émetteurs (les places de marchés) ont un rôle central qui va à l’encontre de la décentralisation et fait reposer les risques sur leurs épaules. Parmi les problèmes techniques et juridiques que vont de facto relever des émetteurs, on trouve :

• Comment stocker, conserver et pérenniser une œuvre numérique ? En clair, que se passe-t-il si le serveur de stockage de l’œuvre plante ?
• Comment caractériser l’œuvre numérique ? Le jeton en lui-même ne pose pas de problème, l’intégrité est gérée dans la blockchain utilisée. Mais comment faire le lien entre ce jeton et l’œuvre ? Il faudra souvent faire appel à un juge pour trancher les litiges.
• Qui gère les droits associés aux œuvres ? La propriété est gérée dans la chaîne de blocs, mais reprenez l’exemple de Spice DAO : acheter un objet, fût-il numérique, ne présume en rien des droits associés. Or la gestion des droits est déléguée aux émetteurs de NFT et aux vendeurs, sans normalisation technique d’aucune sorte.
• En corollaire, rien n’empêche techniquement de prendre une œuvre originale telle qu’un morceau de musique et de la proposer à la vente en NFT (c’est d’ailleurs ce que fait le site HitPiece). Un simple copier/coller suffit… Les plateformes constatent amèrement que la plupart des objets vendus sous forme de NFT ne sont que ces copier/coller éhontés sans aucun respect des droits de la propriété intellectuelle, totalement oubliée dans ce concept de NFT. D’un point de vue légal, le vendeur est généralement responsable de ce qu’il vend, l’émetteur n’étant souvent considéré que comme intermédiaire, mais toute cette finesse de gestion et d’appréciation reste hors de portée des NFT.
• Comment identifier le propriétaire initial et le détenteur des droits ? Hermès a récemment intenté un procès à un « artiste » proposant des images de sacs à main inspirés d’une de leur gamme. Idem pour Nike. Les NFT n’apportent aucune réponse à ce problème.

Il est important de comprendre que ces problèmes ne sont pas nouveaux et sont traités la plupart du temps par le droit commun, mais ils sont totalement extérieurs aux mécanismes des NFT ! Seuls les émetteurs de NFT font le lien entre le mécanisme relativement sûr des blockchains et les lois applicables.

Des lois comme la loi PACTE tentent bien de mettre de l’ordre dans cela, mais cela reste une législation française et seul un juge aujourd’hui est capable de l’apprécier dans une situation donnée. On est bien loin des promesses de fluidité et de facilité vendues par les promoteurs des NFT.

Les autres problèmes

Parmi les points à résoudre rapidement, il faut aussi penser à l’empreinte écologique du système, à une époque où l’usage des cryptomonnaies fait aussi débat sur le sujet. L’emploi de la « preuve de travail » est encore majoritaire dans les blockchains, et on peut se demander si le jeu en vaut la chandelle du point de vue énergétique.

Ethereum envisage de changer le mode de preuve pour un plus vertueux, mais on n’y est pas encore. Par ailleurs, faut-il vraiment investir dans cette technologie sachant qu’elle aboutit à une centralisation de fait par l’émetteur ? Quel en devient l’intérêt face à un simple tiers de confiance (un « notaire »), concept stable, éprouvé et relativement peu consommateur de ressources ?

La spéculation fait aussi partie intégrante du phénomène. On achète en espérant que cela prenne de la valeur, sans aucune certitude, en jouant sur la rareté. Mais tout ce qui est rare est-il forcément cher ? Sans compter les productions « shitpost », où on met en vente n’importe quoi en profitant de l’effet de mode. Certains espèrent peut-être y voir les autocollants Panini du futur (la réalité vient de rattraper le fiction…), mais même les gamers en ligne semblent réfractaires à cette façon de faire de l’argent sur du vent.

Faut-il investir dans les NFT ?

La réponse est très simple : les gains potentiels sont possibles mais hypothétiques et aléatoires, alors que les pertes peuvent être très importantes, car il est possible de perdre l’ensemble de son investissement, soit par dévaluation de l’actif acheté (qui ne vaut pas le prix payé), soit à cause du manque de sécurité sur certaines plateformes.

Cet environnement est hautement spéculatif, comme les cryptomonnaies. Pour jouer dans cette cour de récré, il vaut mieux avoir l’approche « loto » : on se donne une limite de jeu à investir, et on accepte qu’on puisse tout perdre. Si le jackpot est au rendez-vous, tant mieux. Sinon, il ne restera que le plaisir d’avoir joué.

Force est de constater que le soufflet des promesses premières de démocratisation du marché de l’art retombe en exacerbant les excès et les travers de ce marché qu’on retrouve dans le « monde réel », avec une infime partie de progrès pour les rares acteurs jouant le jeu mais au prix d’un déferlement d’abus et de spéculation pouvant transformer ce challenge en entreprise extrêmement risquée. Le Web 3.0 nous promet donc un avenir décentralisé… aux mains de quelques-uns. Même Elon Musk tire à boulets rouges sur ce concept.