Gildas Avoine : « Renforcer la sécurité des objets communicants »
Gildas Avoine vient d’être nommé membre junior de l’Institut Universitaire de France au 1er octobre 2014. Ses recherches sont tournées vers la sécurisation des données qui transitent dans une informatique que l’on ne soupçonne pas nécessairement, et qui est partout à la fois dans les objets que nous utilisons quotidiennement : l’informatique ubiquitaire.
Qu’est-ce que l’informatique ubiquitaire ?
Gildas Avoine : Nous connaissons tous l’informatique basée sur les ordinateurs et les serveurs… Mais de plus en plus l’informatique se répartit aussi dans les objets du quotidien : votre pass navigo du métro, la clé de démarrage de votre voiture, votre passeport biométrique ou encore le badge d’accès à votre bureau… Je travaille à améliorer la sécurité de l’information dans ces objets de tous les jours. La particularité, c’est que cette informatique est embarquée dans des dispositifs qui ont peu de ressources. Un pass navigo a très peu de capacité de calcul, la carte n’a pas de batterie, elle est alimentée par le portillon avec lequel elle communique en une fraction de seconde. Il faut donc trouver des techniques ou des algorithmes nécessitant peu de ressources pour sécuriser ces dispositifs. Dans le cas d’une carte de transport public, on souhaite protéger, d’une part, la société de transport, pour empêcher la création de fausses cartes, et, d’autre part, la vie privée de l’usager, pour éviter l’accès à ses informations de domicile et de déplacement stockées dans son pass.
Est-ce que vous pouvez nous donner d’autres exemples d’applications sur lesquelles vous avez travaillés ?
G. A. : C’est vrai qu’au niveau de la sécurité, nous menons des travaux très théoriques, et en même temps très appliqués car on a besoin de cryptographie dans des produits de tous les jours. C’est cette dualité entre théorie et pratique qui me plaît vraiment dans cette discipline. J’ai eu l’occasion de travailler sur différents cas applicatifs, comme le passeport biométrique par exemple. C’est un produit plutôt bien fait mais un certain nombre de faiblesses a été mis au jour par les chercheurs, ce qui rend indispensable l’intégration de nouvelles mesures de sécurité (voir à ce sujet l’article « Passeport : la petite précision qui vous perdra » sur les travaux de Stéphanie Delaune). J’ai étudié également d’autres exemples, comme les systèmes de contrôle d’accès physique à un bâtiment.
Il y a un sujet sur lequel je suis plus particulièrement investi en ce moment, car il donne lieu à beaucoup d’attaques, c’est le contrôle d’ouverture et de démarrage des voitures. Beaucoup de systèmes sont faibles, ce qui entraîne une forte augmentation des vols. Malheureusement le matériel et le logiciel pour pirater ces systèmes se « démocratisent » et se retrouvent sur internet, il n’y a même plus besoin d’être un expert. Et pour les propriétaires, une voiture volée sans effraction peut être considérée comme une fraude à l’assurance, ce qui exclut le remboursement…
Comme il n’existe que quelques modèles de systèmes de démarrage, nous pourrions imaginer travailler avec un industriel qui les fabrique, plutôt qu’avec l’industrie automobile qui les installe seulement sur leurs voitures. Que ce soit du contrôle d’accès pour les bâtiments ou pour les voitures, le niveau de sécurité actuel est alarmant, et il devient urgent de concevoir et développer des systèmes plus sûrs dans ces domaines.
Le projet européen que vous allez coordonner porte globalement sur ce type d’attaques, je crois.
G. A. : Tout à fait, il s’agit du projet CRYPTACUS, qui est une "action COST" mettant en réseau des scientifiques européens. Le financement s’élève à la base à environ un demi-million d’euros, mais l’expérience montre qu’une action COST permet de générer environ 50 millions d’euros d’activités sur 4 ans grâce à des financements complémentaires nationaux et internationaux. Dans le cas de CRYPTACUS, il y a une vingtaine de pays impliqués, avec notamment l’ETH Zurich, la KU Leuven, l’EPFL, etc. Notre approche dans ce projet est assez originale puisque nous faisons financer de la recherche qui se concentre sur des attaques… même si c’est évidemment pour proposer des solutions ! Le projet a démarré à la rentrée, il est centré sur la cryptanalyse des systèmes informatiques ubiquitaires, de la théorie jusqu’à la pratique. Cela signifie que nous allons faire de la modélisation et concevoir de nouvelles techniques pour tester les algorithmes et protocoles cryptographiques. Nous allons également nous intéresser en laboratoire à la sécurité physique des dispositifs, mais aussi étudier différents produits commerciaux pour tester sur le terrain nos techniques et méthodologies. Bien que le consortium ne soit pour l’instant constitué que de laboratoires académiques, des industriels importants ont soutenu sa création.