Cryptographie, Méthodes formelles et Vote électronique et protection de la vie privée sont trois domaines qui ont connu des avancées majeures en matière de cybersécurité.
C’est ce qu’indique l’Inria dans un livre blanc sur la cybersécurité publié à l’occasion du FIC 2019, à la fois pour faire le point sur les grands défis scientifiques et technologiques et renforcer la prise de conscience par tous.
La place d’Inria dans le paysage français est significative puisque quasiment 25% de l’activité académique française en cybersécurité est menée dans des équipes-projets Inria communes avec ses partenaires (CNRS, universités et écoles d’ingénieurs). Au sein d’Inria, une trentaine d’équipes ont une activité en cybersécurité, ce qui représente au total près de 200 équivalents temps plein.
Le livre blanc commence par une description des menaces et des modèles d’attaques, que ce soit au niveau matériel, réseau, système d’exploitation, application, ou humain. Face à ces menaces, les « primitives cryptographiques », telles que le chiffrement, constituent une première défense pour garantir la confidentialité et l’intégrité des données. Mais la sécurité de ces primitives doit aussi être continuellement scrutée : c’est le rôle de la cryptanalyse.
L’établissement de communications sécurisées, y compris en présence d’attaquants, utilise des protocoles cryptographiques, construits au-dessus des primitives de base. La complexité de ces protocoles rend nécessaire leur validation via des techniques formelles, qui se sont avérées particulièrement efficaces pour la détection de failles ou pour garantir l’absence de certains types d’attaques. Munis de ces primitives et protocoles, l’étape suivante consiste à construire des services de sécurité, par exemple pour l’authentification ou le contrôle d’accès, que ce soit au sein du système d’exploitation ou d’Internet.
Cependant, comme rien n’est infaillible, une surveillance de ces systèmes d’informations est aussi nécessaire pour détecter les violations des politiques de sécurité, et des mécanismes automatiques doivent être ajoutés pour pouvoir réagir rapidement en cas d’attaque afin d’en limiter les impacts.
Le respect de la vie privée, aspect essentiel de la cybersécurité, est également complexe, car intégrant aussi des dimensions légales, économiques et sociétales. Plusieurs facettes sont explorées, que ce soit dans la compréhension des principes, dans la construction d’outils, ou dans la mise en évidence des pratiques de captation de données personnelles.
Enfin, différents domaines applicatifs posent de sérieuses questions en matière de cybersécurité, car en devenant connectés, les systèmes numériques ont largement augmenté la surface d’attaque possible et sont devenus potentiellement plus vulnérables.
Quelques succès et des recommandations
Le renforcement de la cybersécurité est un pilier fondamental du développement de la société, même si cela a un coût. Les motivations et compétences des attaquants sont très variables, et la sécurité n’est jamais totalement garantie, d’où la nécessité d’être aussi résilient aux attaques, tout en insistant sur la sensibilisation et la formation pour limiter les risques, car le facteur humain reste trop souvent le maillon faible. Face à ces constats, la recherche académique française, en particulier chez Inria, peut apporter des éléments de réponse.
Pour l’Inria les trois domaines suivants ont en particulier connu des avancées majeures :
– Cryptographie :
La qualité de la recherche française en cryptographie et cryptanalyse est internationalement reconnue. En plus d’être à la base de nombreux systèmes de chiffrement et de signature numérique, les scientifiques français participent régulièrement aux efforts de standardisation du NIST (l’organisme de standardisation des Etats-Unis, qui joue un rôle clé au niveau mondial), à la fois pour proposer des nouvelles primitives et lors de l’évaluation des candidats. Des équipes Inria maintiennent également plusieurs records de calcul tels que la factorisation de clés RSA permettant de « casser » cette méthode de chiffrement.
– Méthodes formelles :
La conception d’assistants de preuve, tels que Coq ou plus récemment F*, et leur utilisation pour la vérification de systèmes critiques sont des forces historiques d’Inria. Appliqués dans le contexte de la cybersécurité, ces outils et plus généralement les méthodes formelles, ont permis de déceler de nombreuses failles dans des protocoles tels que TLS, et de proposer des implémentations de protocoles et primitives cryptographiques dont la sécurité est prouvée de bout en bout, comme la librairie HACL*, aujourd’hui intégrée dans les logiciels de Mozilla.
– Vote électronique et protection de la vie privée
Par l’application de nouvelles recherches dans ces domaines, Inria et ses partenaires au sein de la recherche française ont aussi un impact important sur la société. Par exemple, les travaux sur le vote électronique menés conjointement par Inria et le CNRS ont permis le développement de la plateforme ouverte Belenios, qui utilise des protections cryptographiques pour garantir le secret du vote et l’intégrité de l’élection, sans avoir à faire confiance aux organisateurs de l’élection ni aux serveurs qui la gèrent. Ce travail a indirectement permis de sensibiliser le public aux questions de sécurité liées au vote, qu’il soit électronique ou papier.
D’autres travaux de tout premier plan sur le respect de la vie privée, allant des concepts clés aux études de cas, qui héritent de la sensibilité toute particulière de la France sur cette thématique depuis la Loi Informatique et Liberté de 1978, ont réussi à avoir un impact au niveau européen jusque dans sa réglementation sur la protection des données (Règlement Général sur la Protection des données, RGPD).
Les scientifiques français en cybersécurité disposent de connaissances pointues sur un grand nombre de sujets. Ils sont sollicités de manière croissante pour des missions d’expertise. Le besoin de compétences en cybersécurité se fait de plus en plus ressentir dans tous les domaines, et tout particulièrement les systèmes industriels et médicaux ou l’Internet des objets, pour lesquels un transfert d’expertise est nécessaire. De même, la cybersécurité a un besoin pressant de compétences en techniques d’intelligence artificielle. Bien que la France ait une position de premier plan dans de nombreux domaines de la cybersécurité, un déficit existe sur des recherches plus expérimentales comme la sécurité des réseaux et des systèmes qu’il conviendrait de mieux valoriser, tout en facilitant l’accès aux données bien souvent indispensables à ces recherches.
Comme le facteur humain reste souvent le maillon faible, l’éducation et les actions de médiation en cybersécurité sont également incontournables, et ce à destination de tous les acteurs : citoyens, acteurs, industriels, enseignants et élèves de tous âges, du primaire à l’enseignement supérieur.
De nombreux rapports récents sur la cybersécurité nous mettent en garde vis-à-vis de possibles attaques massives envers des entreprises ou des pays. La résilience de nos opérateurs d’importance vitale est cruciale et, comme la sécurité, elle ne peut être assurée que si elle est prise en compte dès la conception.
Les défis scientifiques
Parmi les défis scientifiques et technologiques, l’Inria mentionne la cryptographie post-quantique, le calcul sur des données chiffrées, la preuve de bout en bout des protocoles cryptographiques, le développement de la sécurité de l’Internet des Objets et le renforcement de la protection de la vie privée des citoyens.
La France dispose d’un écosystème de premier plan en cybersécurité, avec notamment des acteurs comme l’ANSSI ou la DGA, plusieurs groupes industriels et des start-up technologiques extrêmement innovantes, considèrent les auteurs du livre blanc. Pour renforcer cet écosystème, étant donné les enjeux croissants de la cybersécurité liés à la pénétration du numérique dans tous les pans de la société et de l’économie, la France doit aussi maintenir, voire accroître, son effort de recherche consacré à la cybersécurité.