Skip to content. | Skip to navigation

Emergences

Lettre d'information n° 35

Image emergences pour impression
Personal tools
You are here: Home 2015 Lettre d'information n° 35 LHS : un Laboratoire de Haute Sécurité à Rennes
Document Actions

LHS : un Laboratoire de Haute Sécurité à Rennes

Le 12 décembre dernier, onze acteurs de la recherche* signaient avec le ministère de la Défense et la région Bretagne un partenariat pour la recherche en cyberdéfense. L'accord arrive dans le sillage du pacte de Défense cyber dont l'un des axes vise à faire de la Bretagne le Pôle d’Excellence Cyber. Parmi les outils de ce PEC figure le LHS, un Laboratoire Haute Sécurité porté par le quatuor Inria, Supelec, DGA et Région Bretagne. Le transfert de technologies en sera l'une des vocations comme l'explique Jean-Louis Lanet, le scientifique en charge du projet.

Le 12 décembre dernier, onze acteurs de la recherche* signaient avec le ministère de la Défense et la région Bretagne un partenariat pour la recherche en cyberdéfense. L'accord arrive dans le sillage du pacte de Défense cyber dont l'un des axes vise à faire de la Bretagne le Pôle d’Excellence Cyber. Parmi les outils de ce "PEC" figure le LHS, un Laboratoire Haute Sécurité porté par le quatuor Inria, Supelec, DGA et Région Bretagne. Le transfert de technologies en sera l'une des vocations comme l'explique Jean-Louis Lanet, le scientifique en charge du projet.

Un gros morceau de fromage. Mais avec des trous. La Bretagne possède une très forte compétence sur la recherche en cybersécurité. On y trouve d'excellents chercheurs.  Pourtant, il nous manque certaines spécialités, peu ou pas représentées. Ce sont ces trous que nous allons combler grâce au LHS.”  Professeur à l’Université de Limoges et ancien chercheur chez Gemalto, Jean-Louis Lanet arrive à Rennes pour piloter le démarrage du Laboratoire de Haute Sécurité qui prend ses quartiers en 2015 dans les locaux d'Inria sur le campus de Beaulieu, à Rennes.

Quelle forme juridique pour cette nouvelle entité ? “Pas encore décidée. Mais nous voulons  une structure légère et très réactive.”  Pierre angulaire : “une chaire en sécurité financée par la Région Bretagne.” Objectif : “attirer à Rennes une pointure.” Ce scientifique de haute volée “pourra s'appuyer sur une équipe Inria. En l'occurrence, la DGA nous finance trois séquences successives de trois doctorants. Soit neuf personnes au total. Ce sera l'ossature. Par ailleurs, trois chercheurs de la DGA y consacreront aussi 50% de leur temps.

Étudier les logiciels malveillants


Quels seront les champs scientifiques couverts ? “La virologie tout d'abord. Appelons cela l'analyse de la menace. Très peu de chercheurs travaillent sur le sujet en Bretagne, ou même en France d'ailleurs. Cinq personnes tout au plus. La chaire portera spécifiquement sur les malware. Il s'agit de bien comprendre comment l'adversaire peut attaquer” avant d'envisager une parade.

Le deuxième champ concerne la liaison entre le logiciel et le matériel. Ce thème est partiellement abordé en Bretagne et nous allons tenter d'amplifier les travaux dans ce thème.”  Cette jointure entre software et hardware reste une affaire délicate. “Cela tient d'abord au fait qu'on ne maîtrise généralement pas beaucoup le matériel. Vous installez un routeur. Bien. Mais où sont fabriqués ses composants ? Quelle confiance leur accorder ?  Or, quand on crée un logiciel, on le conçoit indépendamment de la plateforme. Pourtant ce logiciel s'exécute sur une plateforme. Il faut savoir le prendre en compte. Généralement, c'est décorrellé. Les spécialistes du logiciel évoluent dans un monde. Ceux du matériel dans un autre.”  Entre les deux : un no man's land où peu de gens s'aventurent. “On ne sait jamais si les problèmes sont du ressort de l'un ou de l'autre. Il faut amener les chercheurs à travailler conjointement sur ce domaine.

Le matériel en lui-même joue un rôle crucial dans la chaîne de sécurité. “Il permet en particulier de faire de l'isolation. On peut fabriquer un bac à sable dans lequel un programme s'exécute sans jamais en sortir. S'il subit un dysfonctionnement, il n'ira pas polluer le reste du système.”  Dans un autre ordre d'idée, “avec l'aide de fonctionnalités réalisées par le matériel, le logiciel qui le pilote pourra être plus petit, mieux maîtrisé et moins victime de bugs. Cela va augmenter le niveau de confiance. Donc, le fait d'avoir un bon matériel va permettre d'obtenir du logiciel plus sûr. C'est le bon côté.”  Revers de la médaille : “tout matériel laisse fuir de l'information soit électromagnétique, soit de consommation électrique. Il va falloir pallier ces défauts potentiels par du logiciel ou du matériel adapté. Tout devient alors plus complexe.”  D'autant que l'adversaire ne va pas forcément en rester là.  “Par un tir laser ou une impulsion électro-magnétique, il peut parvenir à perturber le matériel et récupérer de l'information. Cela fait des dégâts sur des puces fortement sécurisées, a fortiori donc sur des puces ordinaires, comme celles dans nos téléphones. Pour traiter un thème comme celui-là, il faudra de l'instrumentalisation beaucoup plus lourde. Nous nous appuierons sur la DGA qui dispose de moyens dans ce domaine.

Le troisième champ scientifique : “la supervision de la sécurité. Quand une alerte se déclenche dans un système, elle se manifeste de multiples manières. Beaucoup de capteurs se mettent à envoyer de l'information. Il faut pouvoir interpréter ce flot de données. Il faut que la personne derrière l'écran parvienne à comprendre ce qui se passe. C'est l'un des axes de recherche de l'équipe Cidre (1).”  À tout cela un quatrième point s'est rajouté au fil de la réflexion. “La défense du citoyen. On ne peut pas le laisser en dehors de tout cela. La protection de la vie privée à l'ère du numérique soulève beaucoup de problèmes. Pour s'en convaincre, il suffit de lire l'étude sur les smartphones publiée ces jours-ci par la CNIL et Inria. C'est aussi une préoccupation exprimée par la Région Bretagne. Et nous avons ici des chercheurs qui travaillent sur ces questions.

Aussi un incubateur

Parallèlement à l'ambition scientifique, le LHS se veut aussi “un incubateur au service du transfert industriel. Nous mettons les deux activités au même plan.” Quelles formes prendra la collaboration ?  “Le projet est dans sa phase de gestation. Tout reste à construire. Il n'y aucun véto. Je vais prendre mon bâton de pèlerin et aller voir les entreprises. J'ai rendu visite par exemple à Secure-IC, une PME locale. Je discute également avec Gemalto, un leader international sur la sécurité. Nous sentons bien qu'il n'y a de l'intérêt pour ce que nous faisons. Et si les champs scientifiques s'avèrent toujours les mêmes, en revanche, du smartphone à la box Internet en passant par le compteur électrique intelligent qui arrive bientôt dans nos maisons, le champ d'applications, lui, est très vaste.


-------
Notes :

* Les 13 signataires : ministère de la Défense (DGA), Région Bretagne, CNRS, Inria, Université européenne de Bretagne (UEB), Université de Bretagne-Sud (UBS), Université de Bretagne occidentale (UBO), Université Rennes 1, Université Rennes 2, ENS Rennes, Supelec, Insa Rennes, Télécom Bretagne.

(1) Cidre est une équipe de l'Inria, Supelec, Université Rennes 1 et CNRS commune à l'Irisa (UMR6074).