Avec David Naccache, la cybersécurité à l’honneur à l’Institut universitaire de France
Tels des pirates bienveillants, les algorithmes de David Naccache, du Département d’informatique de l’ENS, traquent et détectent les failles dans les programmes. Cela permet de les corriger avant que des personnes moins bien intentionnées ne les exploitent. Afin d’affiner ces travaux aux côtés de ses doctorants, David Naccache a été nommé membre sénior de l’Institut universitaire de France.
Pour mener à bien leurs attaques informatiques, les pirates exploitent des faiblesses dans les logiciels et les protocoles. Mais, plutôt que d’attendre que le mal soit fait pour colmater ces brèches, certains acteurs de la cybersécurité tentent de les repérer avant les hackers. David Naccache, professeur à l’École normale supérieure et directeur de l’équipe Sécurité du Département d'Informatique de l'École normale supérieure (DI ENS - CNRS/ENS/Inria), en a fait son cheval de bataille.
« Les exploits sont un type d’attaque informatique particulière, des erreurs de programmation et de codage qui sont détournés par les pirates, explique David Naccache. Avec mes doctorants, je travaille à la détection automatisée des exploits, et ainsi à leur évitement. » Pour cela, le professeur désassemble des codes et les passe au crible d’outils qui servent habituellement à tester la présence de bugs. Ses algorithmes explorent ensuite ces premiers résultats afin d’y débusquer des failles. De la même manière, David Naccache étudie la rétroconception de systèmes d’exploitation, c’est-à-dire les analyser en tant que produits finis pour comprendre comment ils ont été fabriqués.
Ses travaux ont également servi à la Gendarmerie nationale, avec qui un de ses doctorants a développé des méthodes d’expertise de téléphones portables. Ils ont ainsi montré comment il était possible de contourner les protections de smartphones de marques majeures, qui préfèrent bien entendu régler le problème sans qu’il s’ébruite.
Le caractère sensible de ces travaux peut en effet générer des tensions avec des constructeurs qui, bien que cela leur soit bénéfique sur le long cours, craignent quelques fois pour leur réputation. « Quand on repère une faille, on regarde si elle est utilisable puis on contacte l’entreprise responsable, précise David Naccache. On la prévient qu’un exploit est possible et qu’on leur laisse six mois pour le corriger, avant de publier un article scientifique sur le sujet. Cela ne se passe cependant pas toujours sans problèmes, nous sommes parfois menacés de représailles judiciaires par les sociétés. On leur explique alors notre démarche, mais ça ne suffit pas forcément. Dans ce cas, on ne leur révèle pas le détail de la faille, que nous garderons strictement confidentielle tant qu’ils ne nous autorisent pas à communiquer dessus. »
Dans le contexte de l’épidémie de Covid, David Naccache a montré qu’il avait plusieurs cordes à son arc et a mis ses compétences en programmation, mathématiques et statistiques pour maximiser les taux de dépistage. Il s’agit principalement de concevoir des logiciels pour mutualiser les prélèvements : en mélanger plusieurs et ne les examiner individuellement que si l’ensemble est positif. Un procédé qui aiderait à désengorger les centres de test, mais qu’il faut optimiser avec grand soin. Avec son admission à l’Institut universitaire de France (IUF), David Naccache disposera de cinq ans pour approfondir toutes ces pistes.
« Je suis très fier et content de cette opportunité, s’enthousiasme le professeur. Je remercie tous mes étudiants et collaborateurs, car ce travail ne s’est pas fait seul. Cela nous donne de la visibilité et la dotation nous permettra de recruter un nouveau doctorant. » Les doctorants sont en effet au centre de l’attention de David Naccache. Avec sa culture du partenariat industriel, il se réjouit de les voir intégrer aussi bien de grandes entreprises que des institutions partout dans le monde. Un succès qui montre l’importance critique prise par les questions de cybersécurité.