Bonsoir à tous
Jeudi 10 octobre a eu lieu une soutenance de thèse très intéressante, et ce à plus d’un titre. Sofia Bekrar, chercheuse en sécurité informatique chez Vupen et sœur du PDG Chaouki Bekrar, présentait ses travaux de doctorat en informatique menés en collaboration avec deux laboratoires de recherche reconnus (LIG/Verimag) sous la direction de thèse de Roland Groz et Laurent Mounier pour la partie académique et Chaouki Bekrar pour la partie industrielle. Pour ma part, j’ai eu l’honneur et le plaisir d’œuvrer en tant que rapporteur de cette thèse.
La thèse s’intitulait “Recherche de vulnérabilités logicielles par fuzzing intelligent d’exécutables”. Il s’agit d’un travail à la fois théorique (formalisation et analyse conceptuelle) mais surtout pratique et opérationnel. Il convient de dire que c’est une thèse, à tous les points de vue, d’une grande qualité. Sofia Bekrar a réalisé des avancées que l’on peut qualifier de majeures tant dans la formalisation que l’analyse théorique fine d’un sujet non seulement critique mais aussi scientifiquement ardu (les problèmes combinatoires, parmi de nombreux autres, sont multiples). Elle a aussi conçu et programmé une architecture logicielle complète qui donne déjà de très beaux résultats mais constitue aussi un atout important pour Vupen dans le domaine de la recherche de vulnérabilités logicielles. Donc avant toute chose, bravo à Sofia, elle illustre, une fois de plus, que la science française avait encore une grande capacité à produire des pépites. Il y a tellement de personnes en France promptes à critiquer notre pays, à douter de son génie, pour encenser tout ce qui est outre-Atlantique, en particulier dans ce domaine, qu’il ne faut perdre aucune occasion de leur rabattre leur caquet. Il y a un vrai génie français et il faut sans cesse le rappeler.
Mais cette thèse et cette soutenance me donnent l’occasion de tirer quelques conclusions intéressantes :
- Tout d’abord, il est rassurant de voir collaborer deux mondes perçus comme en opposition : le monde académique et le monde du hacking (au sens noble du mot). Cette thèse démontre le contraire : ces deux mondes sont appelés à collaborer pour leur bénéfice mutuel. Il en ressortira des productions d’une grande qualité. Il faut cependant faire en sorte que des gens doués pour le hacking puissent être accompagnés pour parvenir au niveau nécessaire pour une thèse. Et que les académiques ouvrent leur esprit vers le monde du hacking. Ce n’est pas un hasard si l’une des meilleures conférences de hacking en France est Grehack, organisée par l’ENSIMAG, précisément avec cette vision fédératrice : académisme et hacking.
- Vupen n’est pas la bande de hackers/reverseurs d’Etats que certains journalistes peu scrupuleux et ignares dépeignent, et ce encore récemment. C’est une entreprise française ayant pignon sur rue, reconnue même par les USA et la NSA – et oui le savoir-faire et l’excellence française sont reconnus ailleurs, même par les plus grands –, qui rapporte des devises et qui comme toute entreprise sérieuse a à cœur de penser aussi en termes de R&D. La thèse de Bekrar est non seulement de très bonne qualité mais elle va conforter l’avance de Vupen dans ce domaine particulièrement stratégique et ce pour pas mal d’années encore, renforcer sa place de leader au plan international… et finalement montrer une fois de plus aux ricains qu’il faudra toujours compter avec les frenchies.
- Le seul défaut de cette thèse est d’être confidentielle, ce qui par ailleurs se comprend et est nécessaire. Mais il faut que l’État valorise les thèses confidentielles pour que les laboratoires de recherche qui se lancent courageusement dans cette aventure soient eux-mêmes valorisés. Un chercheur n’existe et est évalué que par la publication. Il tire ses financements de cette évaluation. Encadrer une thèse confidentielle, voire classifiée, est un investissement très conséquent et donc risqué car sans valorisation évidente. Alors pourquoi, sous la tutelle ANSSI, en liaison avec le ministère de l’Enseignement Supérieur et de la Recherche, voire d’autres entités de l’État, ne pas créer un label spécial qui garantirait la confidentialité des travaux mais reconnaitrait l’excellence de la recherche couverte et serait une contribution de poids dans un dossier universitaire (dossier de MCF, dossier AERES…). Cette idée a été soumise à certaines personnes de l’ANSSI et a fait l’objet de discussions mais pour le moment officieuses. Ces quelques personnes sont acquises à l’idée mais entre la perception de quelques personnes et l’institutionnalisation d’une idée, des années peuvent s’écouler. Avons-nous ces années devant nous ?
En tout cas, bravo à Sofia Bekrar pour ce travail de recherche de tout premier plan qui donne à la France un avantage stratégique certain.
E. F.