David Naccache : « S’inspirer de différentes disciplines scientifiques pour mieux protéger les données »
David Naccache intègre l’Institut Universitaire de France en tant que membre senior au 1er octobre 2014. Spécialiste de la sécurité informatique, de plus en plus importante dans notre société d’information où la protection des données est primordiale, sa démarche est marquée par sa curiosité et son ouverture envers d’autres domaines pour en reprendre des mécanismes et les adapter aux problématiques qui s’offrent à lui.
Quelles sont les spécificités de votre expertise en sécurité informatique ?
David Naccache : Mon objectif est de concevoir et de développer des algorithmes et des architectures logicielles pouvant garantir un niveau de service même en présence d’attaques, dont certaines peuvent être impossibles à éradiquer (Advanced Persistent Threats, APTs). Dans de tels cas, les attaquants arrivent à compromettre le système en exploitant des failles qu’on ne peut pas réparer, soit parce que la faille est inconnue au défenseur, soit car la faille est trop profondément enfouie dans le système. Notre approche consiste à mettre au point des programmes pouvant être réparés… durant leur exécution. En quelque sorte il s’agit de réparer le moteur d’un avion durant le vol.
Les révélations d’Edward Snowden ont marqué, je crois, un tournant dans l’orientation de vos recherches ?
D. N. : Je dirais plutôt que c’était la confirmation du bien-fondé de certaines directions de recherche. Ces révélations posaient clairement un problème qu’il fallait résoudre. Comment peut-on vivre avec l’idée que toutes nos informations sont potentiellement accessibles, que tout le monde, même les dirigeants, utilisent des fournisseurs de service mail alors que ces derniers mettent en place des interfaces d’écoute pour récupérer nos données ? Je travaille, avec mes doctorants, sur des idées de solutions et de systèmes utilisant de manière sûre des réseaux et des infrastructures mis sous écoute.
Je m’intéresse également à la manière de détecter des fuites d’information d’un système informatisé (Data Loss Prevention). Pour répondre à cette problématique, il y a différentes techniques, mais je m’intéresse à l’une d’entre elles en particulier qui m’a en fait été inspirée lors d’un voyage à New York.
Lors d’une promenade, j’aperçois de l’eau orange qui sort d’une bouche d’égout. Renseignement pris, on m’a expliqué que la ville de New York a été construite il y a des siècles, et que les services de voirie n’ont pas les plans complets des canalisations. Du coup, une des techniques de détection de fuites consiste à injecter de l’eau colorée à un point pour voir par où elle émerge. Ils cartographient ainsi la connectivité sans connaître les détails sous-jacents. Dans notre domaine, quand nous voulons savoir si une application fournit des informations à d’autres alors qu’elle ne le devrait pas, nous pouvons également « colorer » des informations, à l’aide d’un encodage particulier. Si on retrouve le même encodage ailleurs, c’est que l’information a été transmise. La difficulté vient du fait qu’une application peut apporter des modifications, parfois très profondes à l’information transmise… Du coup, il est parfois difficile de déterminer le devenir de l’information. Pour expérimenter, on essaie cette technique sur des applications courantes, pour mieux connaître le fonctionnement et permettre de définir un premier niveau de détection.
Exemple de mimétisme müllerien : l’araignée sur l’image du haut imite la fourmi de l’image du bas pour repousser ses prédateurs
La curiosité pour les autres domaines semble fondamentale pour vous, comme source d’inspiration.
D. N. : C’est une démarche qui est essentielle dans mon fonctionnement. Je passe beaucoup de mon temps à étudier des domaines très différents : robotique, calcul ADN, simulation physique, électronique, optique, astrophysique, pharmacocinétique… Dès qu’il y a des choses qui se calculent, qui se programment, qui se construisent, je m’y intéresse. Cela me sert après dans mon domaine, ces idées importées d’ailleurs me permettent d’innover. J’essaie également de transmettre cet intérêt aux élèves normaliens à travers un cours nommé Informatique scientifique par la pratique. J’ai travaillé par exemple sur des parallèles entre la biologie et la sécurité informatique, comme le mimétisme müllerien. Il s’agit de l’observation que deux espèces, disjointes génétiquement, finissent par se ressembler physiquement lorsqu’elles ont des prédateurs communs. Cela nous a permis de trouver des moyens de protection de données contre des attaques physiques. Le système est aujourd’hui déployé dans des cartes à puce et des terminaux de paiement.
La sécurité informatique et l’expertise judiciaire à laquelle je m’intéresse sont des domaines très différents de la physique ou de la chimie. Un chimiste ou un physicien « joue » avec les lois de l’univers. Ces lois n’ont pas une intelligence propre ni une créativité. Le praticien de la sécurité informatique ne « joue » pas avec les lois de l’univers, mais face à une intelligence humaine qui peut faire tout ce qu’elle veut. La technologie n’est que l’échiquier sur lequel vous jouez, en essayant d’optimiser vos stratégies. Les notions d’attaques, de menaces, de secrets, sont des notions profondément connectées à l’humain, qui sont motivées par la compétition et dont l’affrontement se déroule sur un terrain technologique. C’est pourquoi il est important de s’intéresser à toutes les technologies autour pour se constituer une boîte à outils nécessaire pour trouver de nouvelles solutions.