Publié début 2019, le Livre Blanc d’Inria sur la cybersécurité dresse un panorama des recherches menées dans ce domaine par l’institut, avec ses partenaires académiques, sur tout le territoire. Délégué scientifique au centre Inria de Rennes, Ludovic Mé est l’un des quatre coordinateurs* de cet ouvrage. Comme il l’explique, le bassin rennais possède une singularité dans le paysage national de la recherche en cybersécurité en concentrant de l’expertise sur des aspects proches de l’opérationnel.
18 équipes spécialisées. 200 chercheurs à plein temps. Les activités en cybersécurité sont importantes chez Inria. L’institut représente un quart des effectifs de la recherche académique française dans un secteur qui a doublé de volume en 10 ans. Toutes institutions confondues, le pays compte 850 chercheurs dans ce domaine. Parmi eux, plus de 80 travaillent à Rennes.
La carte dressée par Allistene (1) et reprise par le Livre Blanc fait apparaître des spécialisations régionales construites au fil du temps. Ainsi, le site de Grenoble s’intéresse plutôt à la sécurité matérielle. À Paris, et en particulier sur le centre Inria, sont particulièrement présentes la cryptologie et les méthodes formelles.
Protéger les systèmes existants
“La spécificité rennaise, c’est de mettre en avant, aux côtés d’équipes aux travaux plus formels comme Celtique, deux équipes, Cidre et Tamis, qui ont des orientations plus proches de l’opérationnel, plus pratiques et expérimentales, explique Ludovic Mé(2). Ces équipes s’intéressent à la sécurité des dispositifs tels qu’ils existent aujourd’hui : des téléphones, des systèmes Linux, l’internet des objets, des implémentations d’algorithmes cryptographiques attaquées de manière hardware, etc. Les chercheurs étudient comment attaquer puis comment assurer la sécurité de ces systèmes, au niveau logiciel ou au niveau matériel. C’est un positionnement assez original dans le milieu français de la recherche en cybersécurité, en particulier chez Inria dont les grands succès sont plutôt orientés vers la cryptologie et les méthodes formelles. Cette spécificité du centre rennais d’Inria s’applique également au tissu académique local, avec qui les coopérations et les interactions sont, bien entendu, nombreuses. Des écoles d’ingénieurs, CentraleSupelec, l’IMT Atlantique ou l’INSA de Rennes présentent ainsi un peu la même orientation (3).” Cet intérêt pour la sécurité opérationnelle est partagé aussi par la branche Maîtrise de l’information de la Direction générale de l’armement (DGA-MI) implantée à proximité.
Laboratoire de Haute Sécurité
Le centre Inria de Rennes accueille par ailleurs l’un des deux Laboratoires de Haute Sécurité (LHS). “Ils sont assez différents. Celui de Nancy s’intéresse surtout à la virologie. À Rennes, nous avons également des études en virologie. Je pense en particulier aux travaux de Valérie Viet Triem Tong et Jean-François Lalande sur les malware Android, à ceux de Jean-Louis Lanet sur les ransomware ou à ceux sur la classification et détection conduits par Annelie Heuser et Olivier Zendra. Mais le LHS-Rennes est aussi équipé pour faire de la cybersécurité expérimentale. Nous disposons, par exemple, d’un banc pour tester l’effet des attaques par injections électromagnétiques. Même un algorithme cryptographique théoriquement parfait et implémenté de façon irréprochable peut rester vulnérable au niveau matériel. Il faut donc assurer la sécurité sur toute la chaîne, y compris les couches les plus basses.”
Compilation, cloud, vie privée
Au niveau national, outre les équipes spécialisées en cybersécurité, une vingtaine d’autres contribuent également au domaine par des travaux connexes. “À Rennes, c’est le cas par exemple de l’équipe Pacap. Cette équipe travaille sur la compilation. Elle s’est ainsi intéressée à un moyen de générer, par compilation, un programme exécutable dans lequel il n’est plus possible de retrouver des informations confidentielles, comme des clés de chiffrement, par des attaques électromagnétiques classiques. On peut citer aussi Myriads et Stack qui travaillent sur la sécurité des clouds. Un autre exemple concerne la vie privée. Les équipes Wide et Diverse s’intéressent à la protection de la vie privée. Wide travaille sur la protection des données personnelles en évitant la centralisation chez un seul opérateur, Diverse s’efforce de réduire l’empreinte de navigateur pour éviter le pistage sur internet.”
DGA-MI
Autre marqueur régional : la présence à Rennes de DGA-MI, qui finance des thèses et des post-doctorats et vient aussi d’impulser la mise en place de semestres et chaires thématiques consacrés à la cybersécurité. Opérés par Inria pour le compte de la communauté locale, ces événements visent à identifier les meilleurs sujets de recherche à venir. “Nous commençons au mois de juillet avec une école d’été consacrée à la sécurité à l’interface matériel/logiciel.”
La présence de DGA-MI a été aussi l’un des facteurs qui ont motivé le ministère de la Défense à créer en Bretagne, fin 2014, le Pôle d’excellence cyber (PEC). “Cette structure fonctionne comme une caisse de résonance. Elle donne à nos activités plus de notoriété. Elle a permis d’attirer un certain nombre d’entreprises qui n’étaient pas présentes sur le territoire rennais. Nous avons ainsi maintenant des thèses de doctorat financées par des groupes comme Thales, Nokia ou Cisco.”
Défis et recommandations
Le Livre Blanc comprend plusieurs chapitres techniques. “Le premier sur les menaces et les attaques, le second sur la cryptographie, le troisième sur les autres services de sécurité, le quatrième sur la protection des données personnelles et le cinquième sur les environnements applicatifs. À chaque fois, nous avons demandé à nos collègues chercheurs d’identifier des défis importants pour les années à venir.” Exemple ? “Il est souhaitable de chiffrer tout le trafic qui passe sur les réseaux. Sauf que… c’est antinomique avec la manière dont fonctionne aujourd’hui la supervision de ces réseaux. Pour s’assurer qu’il n’y a pas d’attaque, il faut observer les réseaux. Mais si tout est chiffré, on ne pourra plus rien voir ! Alors comment superviser la sécurité ?”
L’ouvrage avance ensuite une série de recommandations. “Elles visent d’une part à travailler sur les défis scientifiques que nous avons mis en avant. Mais nous invitons aussi à considérer des recommandations plus générales. Nous suggérons en particulier d’affecter plus de moyens à la cybersécurité expérimentale. De même, il faut accentuer le transfert d’expertise entre différents champs scientifiques. Étudier, par exemple, ce que l’intelligence artificielle peut apporter à la sécurité et inversement : la sécurité qu’il faut envisager pour l’IA.” Autre recommandation : penser la sécurité dès la conception. “Il s’avère très compliqué de rajouter de la sécurité à un mécanisme déjà en service. Il faut s’en préoccuper au moment même où le conçoit, et non pas après.”
Dans un autre registre, “il faut sans doute aussi que nos chercheurs contribuent davantage à la formation. Cela concerne d’une part la formation des spécialistes. L’industrie en a besoin. Mais aussi la formation du grand public. Il faut que le citoyen dispose d’un minimum de connaissances pour comprendre les problèmes et adopter les bonnes pratiques, en évitant à la fois les fantasmes et l’angélisme.”
|
