Olivier Levillain, maître de conférences en sécurité des systèmes d'information Télécom SudParis.

Les systèmes d'information que nous utilisons quotidiennement sont d'une grande complexité. Ils reposent en particulier sur l'implémentation de protocoles réseau et sur l'interprétation de documents aux formats variés.

Dans cette conférence, nous étudierons quelques exemples de problèmes affectant les lecteurs PDF (malléabilité du format, absence d'un affichage de confiance) et les piles TLS (_Heartbleed_, contournement de l'authentification, exécution de code arbitraire). Nous verrons aussi comment des spécifications complexes, incomplètes ou ambiguës contribuent à cette situation.

Olivier Levillain est maître de conférences en sécurité des systèmes d'information à Télécom SudParis. Auparavant, il a été responsable du centre de formation à la SSI au sein de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il a également travaillé dans les laboratoires de la sous-direction expertise de l'ANSSI, sur des sujets variés allant des attaques sur les mécanismes bas-niveau des architectures matérielles aux infrastructures de gestion de clés. Plus récemment, ses travaux ont porté sur les protocoles réseau sécurisés (et plus particulièrement SSL/TLS) et l'étude des vulnérabilités logicielles.

Début de la présentation à 18h45, en présentiel depuis l'INSA Rennes, diffusée en multiplex à l'amphithéâtre Chappe, département télécommunications pour l'INSA Lyon.

Dans l’espace gravitent une multitude d’objets. Parmi eux, des satellites de télécommunications, placés en orbite autour de la terre, jouent le rôle de messagers, fournissant entre autres, services Internet, téléphonie, télévision et assistance à la sécurité civile et à la Défense. Parmi les menaces de cybersécurité guettant les satcoms, l’interception de données est reine. En 2020, un doctorant d’Oxford démontrait lors de la Black Hat Conf aux États-Unis qu’il était parvenu à intercepter les données de dix-huit satellites à l’aide d’un équipement bon marché. Cette expérience soulignait déjà la nécessité d’un renforcement urgent de mesures de cybersécurité, dans un secteur en pleine expansion.

Nicolas Lepotier, étudiant au département télécommunications, est en alternance au Centre National d’Études Spatiales. Co-auteur du livre « La cybersécurité de zéro » et passionné par le sujet, il brosse un portrait des enjeux liés à la cybersécurité et aux satellites de télécommunications.

C’est une affaire qui avait finalement causé peu de bruit dans les médias français, mais qui avait suscité autant l’admiration que le trouble chez les spécialistes des satcoms : en août 2020, James Pavur, jeune étudiant américain d’Oxford, avait démontré la vulnérabilité d’une quinzaine de satellites à haute orbite. À l’aide d’une antenne parabolique et d’un tuner satellite DVB-S achetés pour moins de 300 dollars en ligne, le jeune White hat¹, montrait comment il était possible d’intercepter du trafic non-chiffré échangé par satellite, en temps réel. « En interceptant certains des flux de ces satellites qui transitaient des informations non-sécurisées vers un fournisseur d’accès à internet, il a réussi à récupérer des données envoyées à des internautes, mais aussi à des avions et des bateaux. Cela a rappelé l’importance de renforcer les mesures de sécurité, et la marge de progression dans le domaine de la sécurité des télécoms par satellite », explique Nicolas Lepotier, élève-ingénieur au département télécommunications de l’INSA Lyon et passionné de cybersécurité. 

 

Les satellites de télécommunications : kesako ?
Placé dans l’espace pour répondre à des besoins de communication, un satellite de télécommunications relaie des signaux diffusés par des stations émettrices, vers des stations réceptrices. Apparue dans les années 1960, cette technologie a d’abord été développée pour transporter des communications téléphoniques et télévisuelles sur de grandes distances, pour ensuite être étendue à la télévision et à internet. « La plupart du temps, nous communiquons grâce à des réseaux présents sur Terre. Par exemple, notre téléphone transmet nos appels, sms et data par réseau cellulaire à des antennes, qui relaient le trafic au destinataire. Nos box internet sont aussi reliées grâce à la fibre optique ou l’ADSL, des réseaux terrestres très vastes. Cependant, toutes ces infrastructures ne sont pas toujours suffisantes pour assurer la communication. Certaines zones ne sont pas équipées, ou ces infrastructures peuvent être endommagées lors de catastrophes naturelles par exemple. Les télécommunications par satellite pallient ce vide ; et sont souvent utilisées par les services de sûreté comme les pompiers par exemple », introduit Nicolas Lepotier.

 

Illustration du satellite de télécommunications Telecom 1, premier satellite de télécommunications multi-mission associant missions civiles militaires.  (©CNES/DUCROS David 2023)

 

Le « New Space » a rebattu les cartes du monde des satcoms
Parmi les constellations de satellites qui ont fait beaucoup parler d’elles ces dernières années : Starlink, le fournisseur d’accès par satellite de Space X, dont l’explosion du nombre d’appareils en orbite basse soulève encore de nombreuses questions en matière de pollution spatiale, de souveraineté nationale, de réglementation et de sécurité dans plusieurs pays du globe. Cette technologie semble apparaître, dans l’histoire de l’exploitation spatiale, comme une ultime illustration des limites du New Space, un terme désignant les nouvelles formes d’économie liées à l’espace. « Depuis le début des années 2000, le monde du spatial s’est libéralisé. Au lieu d’avoir une agence nationale qui concentre les savoir-faire et expertises, on a ouvert la possibilité aux entreprises de proposer leurs services », explique l’étudiant en alternance au Centre National des Études Spatiales (CNES). « En France par exemple, le CNES a désormais un rôle fédérateur des entreprises du spatial, et est chargé d’élaborer et proposer au gouvernement français un programme spatial national. En résumé, il s’agit d’un rôle de maîtrise d’ouvrage, de régulateur et de financeur pour développer l’industrie du spatial, plutôt qu’un cavalier seul assurant tout en interne. »
Ce nouvel espace économique a ainsi segmenté le monde du spatial et celui des satellites de télécommunications. Constructeurs, opérateurs, orbites… Ce monde, pas toujours lisible pour les entreprises et institutions utilisatrices, est au cœur du domaine de compétence de CESARS, le centre d'expertise et de support pour les usages en télécommunications par satellite, créé par le CNES. « Notre rôle est d'accompagner les entreprises, les chercheurs et les entités publiques qui souhaitent découvrir le domaine et tester leurs solutions sur nos infrastructures », ajoute l’étudiant de l’INSA Lyon en alternance dans ce même centre.
 

Les satcoms : des objets dont il faut garantir la sécurité
Également co-auteur du livre « La cybersécurité de zéro », Nicolas Lepotier participe à améliorer la sécurité des échanges pour pallier les écoutes pirates sur les communications par satellite. « Il y a des informations plus sensibles que d’autres qui transitent, mais dans certains cas, comme pour les communications militaires, cela peut avoir des conséquences très graves. Parmi les mesures de sécurité prometteuses, il y a le VPN, qui masque et chiffre les informations ». Car le principal enjeu de sécurité des satcoms réside dans l’interception de données. Si Nicolas ne travaille pas spécifiquement sur l’aspect offensif de la sécurité, il expose : « il est reconnu que certains pays perturbent parfois les satellites d’autres pays pour les étudier ou les brouiller, mais l’écoute est le plus gros enjeu en matière de cybersécurité des satcoms. »

 

Comme pour un réseau terrestre, des « paquets » d’information transitent entre la station émettrice, le satellite et la station réceptrice. Le VPN, pour « virtual private network » (ou réseau privé virtuel en français), sécurise les informations en les chiffrant. Sans clé de déchiffrement, celles-ci sont rendues impossibles à lire. « En revanche, du fait de ses propriétés physiques, un lien satellite n’a pas une bande passante très grande et ne permet pas autant de liberté qu’un lien terrestre. Ainsi, le VPN ajoute des bits supplémentaires, ce qui peut engendrer une saturation, et donc réduire la rapidité avec laquelle les informations sont relayées. Actuellement, nous cherchons l’équilibre entre la sécurité et la rapidité du lien, notamment en explorant des systèmes de PEP² », décrit l’alternant en optimisation, sécurisation, accélération et hybridation.

 

L’autre mission de Nicolas au CESARS : la médiation technique
À l’arrière du camion baptisé « Victor », une table en forme de U, des écrans et des antennes. L’outil de médiation roulant est une vitrine pour le centre d'expertise et de support pour les usages en télécommunications par satellite du CNES. « C’est un outil de démonstration assez convaincant lorsqu’il s’agit de mimer des situations de gestion de crises via des télécommunications par satellites. Nous le présentons régulièrement aux pompiers et au SAMU, dont les besoins de terrain font souvent appel aux satcoms, spécifiquement en cas de crise ou de zone blanche. On m’a proposé de travailler à l’amélioration de cet outil de médiation ; je suis notamment chargé de trouver un routeur, permettant la répartition du trafic entre la 4G et le lien satellite, ajoutant de l’intelligence réseau ». 

 

Le camion Victor permet de faire de la médiation auprès des jeunes publics ou des pompiers dont les besoins font régulièrement appel aux satcoms. / Crédits : CNES/OLLIER Alexandre, 2022

 

En 2021, le marché des télécommunications par satellite représentait 9026 millions d’euros et offre un potentiel de croissance très élevé, spécialement en raison du développement de l’Internet des Objets (IoT), et de la 5G NTN³.
À l’échelle Européenne et dans le cadre de la transition numérique, les États membres s’apprêtent à se doter de leur propre réseau internet par satellite, souverain et plus sécurisé. Le programme IRIS² pour « Infrastructure for Resilience, Interconnectivity and Security by Satellite⁴ » sera le premier réseau de satellites multi-orbitaux souverain en Europe. Cette constellation, constituée d’environ 300 satellites, devrait voir le jour en 2030.

 

[1] Les White hat désignent les « hackers éthiques », qui décident de mettre leurs expertises en sécurité informatique pour trouver les vulnérabilités et améliorer la sécurité des systèmes d’information.
[2] Performance Enhancing Proxy.
[3] Les réseaux non terrestres (NTN) sont des systèmes de communication sans fil qui fonctionnent au-dessus de la surface de la Terre, impliquant des satellites en orbite.
[4] Infrastructure de Résilience et d'Interconnexion Sécurisée par Satellite.

Avez-vous déjà pensé faire une thèse ? Le monde de la recherche vous intrigue ? Des atomes crochus avec la cybersécurité mais le sujet est vaste et vous ne savez pas part où commencer ? Le projet CyberINSA du groupe INSA organise des conférences sur la recherche en cybersécurité pour répondre à vos questions.

La première conférence intitulée **"Sécurité Logicielle et Malwares"** sera donnée par Jean-Yves Marion Professeur et chercheur au LORIA.

Cette conférence s'adresse à l'ensemble de la population étudiante de l'INSA Lyon et ne nécessite pas de connaissances spécifiques ni de niveau minimum. Que vous soyez 1A ou 5A, si la cybersécurité vous intéresse, n'hésitez pas : venez découvrir les dernières avancées scientifiques autour des virus, malware et autres logiciels malveillants et l'envers du décor de la recherche dans ce domaine !

Cette conférence en multiplexe avec les autres INSA sera diffusée dans l'amphi Chappe bat. Hedy Lamarr (dpt TC) à partir de 18h15 et sera suivie d'un moment d'échange avec des chercheurs en cybersécurité autour d'un buffet.

Pensez à vous inscrire avec le lien suivant : https://evento.renater.fr/survey/participation-conference-cyberinsa-20-dec-2cm7y6ng

Réconcilier les jeunes avec le vote grâce à une application mobile : telle est l’objectif de l’application « Elyze », surnommée dans la presse « le tinder électoral ». L’application invite l’utilisateur à balayer l’écran sur la gauche ou la droite en fonction des propositions politiques affichées. Après avoir répondu à une centaine de questions, un classement apparaît : une liste de personnalités politiques avec lesquelles il partage des convictions. 

« Elyze », si elle fait partie des applications les plus téléchargées ces dernières semaines, n’a pas fait parler d’elle pour cette unique raison. Lorsque Mathis Hammel, diplômé du département informatique de l’INSA Lyon, met le nez dans le code informatique, il découvre des failles. De sécurité, d’abord, puisqu’il arrive à hacker l’application ; puis un manquement de protection sur les données des utilisateurs. L’ingénieur, habitué à vulgariser ses trouvailles informatiques sur son fil Twitter, a lancé un pavé dans la mare. Un pavé, oui. Mais un pavé citoyen car « le dossier Elyze » soulève à l’approche des élections présidentielles, un enjeu de sécurité majeur sur les « civic tech », ces outils technologiques qui œuvrent pour une participation citoyenne augmentée.

Vous avez mis en lumière des failles importantes sur l'une des applications les plus téléchargées en France ces dernières semaines. Que soupçonniez-vous ?  
J’ai d’abord été intrigué par l’écriture de l’algorithme : comment l’application choisit-elle le candidat qui « matche » le plus avec l’utilisateur ? En cas de résultat ex-aequo, comment le candidat qui s’affiche en premier est-il choisi par rapport à l’autre ? Comme le programme n’était pas librement accessible à l’époque, il fallait utiliser des outils spécialisés pour déchiffrer le programme informatique. Le premier problème s’est révélé : les informations personnelles que chaque utilisateur avait rempli à leur première connexion, comme le lieu de résidence, le genre et la date de naissance étaient collectées à des fins commerciales. Ces données auraient sans doute intéressé la plupart des partis politiques pour mener leurs campagnes… On se souvient du scandale de l’entreprise Cambridge Analytica¹ ! L’autre faille concernait la sécurité du contenu. J’ai réussi en quelques coups de clavier à modifier l’une des propositions politiques qui s’affichaient à l’écran.
Même si l’application ne prétend pas vouloir influencer les votes, il est facile d’imaginer que la plupart des utilisateurs voteront pour le candidat qui est apparu en premier. Les « civic tech » sont des outils très intéressants pour éclairer le débat public et engager le citoyen, mais elles ne sont pas neutres. Il était important de se pencher sur le cas de l’application Elyze, téléchargée plus d’un million de fois.

 
Un classement s’effectuait dans la première version
de l’application malgré des résultats ex-aequo

Depuis le partage de votre découverte sur Twitter, les créateurs d’Elyze ont suivi vos recommandations et ont même été audités par la CNIL². Votre intrusion a-t-elle permis d’éviter le pire ?
On peut dire que l’opération a porté ses fruits. Mon tweet a interpellé beaucoup de gens, obligeant les développeurs à modifier leur algorithme et à publier le code en open source. Je pense que les créateurs ont été surtout été dépassés par le succès de leur app, d’où la moyenne maîtrise des questions légales en matière de protection des données. Le dialogue avec la CNIL a permis de mettre de l’ordre dans l’aspect juridique et technique ; nous pouvons maintenant utiliser l’application l’esprit un peu plus tranquille ! 

Aujourd’hui, il est si facile de lancer une application et de la mettre à disposition de tous. Pourtant, personne ne vérifie réellement la mise en conformité juridique de chaque application, n’est-ce pas ? 
Les magasins d’applications font ce qu’ils peuvent au quotidien, en vérifiant que les applications disponibles ne contiennent pas de virus. Les créateurs ont l’entière responsabilité de ce qu’ils publient ; ils doivent être en conformité avec les lois, notamment celles qui caractérisent la manière de gérer les données. Dans les faits, les créateurs d’applications doivent faire leur propre audit et c’est ici qu’est le problème. Pour certains types d’application, le risque est moindre, mais lorsqu’on parle d’outils qui touchent le fonctionnement démocratique comme Elyze, les enjeux dépassent la simple utilisation de l’appli. J’espère que cette expérience avec Elyze permettra d’en tirer des leçons pour l’avenir des civic tech. La législation laisse encore des zones grises lorsqu’il s’agit de numérique et la façon dont j’ai découvert les failles d’Elyze en est un exemple, même si mon intention n’est pas de causer du tort non-mérité, mais d’alerter. C’est d’ailleurs, pour cette raison que je m’applique à vulgariser ce que je trouve. 

 

Hier soir, j'ai découvert un problème de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.

Je vous explique ce qui s'est passé ⤵️ pic.twitter.com/0a4LqZUPjL

— Mathis Hammel (@MathisHammel) January 15, 2022

Vous êtes très actif sur les réseaux sociaux, notamment pour sensibiliser le grand public à la cybersécurité. Vous êtes également communicant au sein de l’entreprise pour laquelle vous travaillez, CodinGame. Partager son savoir est une mission d’intérêt public pour vous ?
Cela fait plusieurs mois que j’essaie de partager ce que je comprends au grand public. Tout a commencé par un premier tweet qui a eu beaucoup de succès : j’avais réussi à reconstituer un pass sanitaire à partir d’une photo, celui de Jean Castex entre autres. Puis la sauce a pris et j’essaie de m’astreindre à poster régulièrement. À travers les réseaux sociaux, mon but est surtout d’informer sur des sujets d’actualité pour permettre aux internautes de mieux comprendre la société numérique dans laquelle ils vivent. 
Du côté de CodinGame, nous nous adressons à des experts, en proposant des entraînements pointus à la programmation. L’informatique évolue si vite qu’elle oblige les professionnels à se maintenir à jour des nouveautés techniques, souvent en autodidacte. La culture du partage de connaissances est assez forte dans la communauté informatique. Je me souviens de mes années à l’INSA, où après les cours, nous continuions à coder, programmer, déchiffrer avec mes copains de classe. J’ai beaucoup appris de ces années de vie associative qui réunissait des gens passionnés par la même chose que moi. Ça avait une autre saveur que d’apprendre seul dans sa chambre, derrière son ordinateur. 

 

1 La société Cambridge Analytica avait exploité en 2014 les données personnelles des utilisateurs Facebook américains. Ces informations ont servi à influencer les intentions de vote en faveur d’hommes politiques.

2 Commission nationale de l’informatique et des libertés

 

Le Mastère Cybersécurité de l'INSA Lyon en partenariat avec La Fabrique Défense organise une conférence sur la géopolitique et la cybersécurité

Cette conférence animée par Gaëtan Balan, spécialiste du droit maritime européen, de la cybersécurité et des relations internationales et Antony Dabila, Université de Toulouse I Capitole et chercheur à l’Institut d’Études de Stratégie et de Défense aura lieu le jeudi 9 décembre à 19h, amphithéâtre Emilie du Châtelet.

Une exposition d'ouvrages issus des collections de la bibliothèque Marie Curie complètera cette conférence dans le kiosque de la bibliothèque du 6 au 17 décembre 2021 .

IEEE International Conference on Automation Science and Engineering (CASE) is the flagship automation conference of the IEEE Robotics and Automation Society and constitutes the primary forum for cross-industry and multidisciplinary research in automation.

Its goal is to provide a broad coverage and dissemination of foundational research in automation among researchers, academics, and practitioners. IEEE CASE 2021 will be held in Lyon, France, on August 23-27, 2021. The theme of the conference is Data-Driven Automation.

La cybersécurité est un sujet récurrent dans l’actualité. La numérisation des données étant au centre de nombreux modèles économiques, les besoins de confidentialité, d’intégrité et de disponibilité de l’information sont croissants. Des élèves-ingénieurs du département informatique (IF) de l’INSA Lyon ont été confrontés à un exercice de simulation de crise grandeur nature. L’objectif ? Amener les étudiants à saisir toutes les dimensions d’une telle situation déclenchée par l’outil informatique. Immersion au cœur d’une crise fictive. 

La clinique de Bois-Riant connaît une crise sans précédents. Les systèmes d’information du centre de soin viennent d’être frappés par une cyberattaque, engendrant fuites de données et déni de service : les données médicales confidentielles des patients sont révélées et les accès aux stocks de médicaments et appareils médicaux ne sont plus protégés. Pour faire face à cette crise provoquée par une faille numérique, le service responsable des systèmes d’information de la clinique, composé d’étudiants de 5^e année du département IF de l’INSA Lyon, doit agir rapidement. 
« C’est un exercice de simulation en conditions réalistes et rien ne nous a été épargné comme cela aurait pu arriver dans la vraie vie ! Cyberattaque, affolement sur les réseaux sociaux, tempête médiatique, turbulences internes… Il s’agissait pour nous de gérer les évènements de façon technique mais surtout d’un point de vue organisationnel et humain », explique Julien Hecht, élève-ingénieur en 5IF option cybersécurité. 

S’adapter à la réalité du terrain
Pour répondre aux besoins de la société numérique, la formation des élèves-ingénieurs du département informatique de l’INSA Lyon débute par une année d’enseignement des bases techniques comme les algorithmes ou la création de logiciels. L’année suivante, l’apprentissage est complété par des approches et méthodes de projets. Puis la troisième et dernière année est consacrée à l’ouverture internationale et à la spécialisation dans des domaines tels que la cybersécurité. 
« Notre pédagogie est conçue pour permettre aux étudiants de concevoir et conduire des projets de A à Z. Préparer les futurs ingénieurs à faire face à une situation de crise réaliste fait partie de cet objectif. En appréhendant la complexité des problématiques vécues dans l’entreprise où l’informatique est aujourd’hui au centre de l’organisation, nos futurs experts se préparent à la réalité du terrain », explique Antoine Boutet, professeur et responsable de l’option cybersécurité du département IF.

Remettre l’humain au cœur du système
En dépit d’une image souvent réduite auprès du grand public à un clavier et des lignes de code, le métier d’ingénieur informatique continue de séduire étudiants et entreprises. Preuve en est, le département IF est l’un des plus prisés par les étudiants de l’INSA Lyon et l’intégration dans le monde socio-économique des nouveaux diplômés est souvent rapide.
« Les compétences exigées par les entreprises ne sont pas que techniques. Il ne s’agit pas seulement de savoir programmer ou faire de l’intégration informatique. Il faut aussi savoir gérer un projet pour être un bon ingénieur. Les IF ne sont pas que des geeks ! Je suis conscient que l’ouverture humaine est nécessaire à mon futur métier car je travaille sur des machines dans un monde ultra-connecté, mais je travaille surtout avec des personnes », conclut Julien.