Cyber : repérer chaque faille

« Je ne voulais pas faire d’études longues », Clémentine Maurice l’annonce d’entrée de jeu. Pourtant à 28 ans, avec une thèse derrière elle, elle est chargée de recherche CNRS, au sein de l’équipe Emsec(1) de l’Irisa(2) à Rennes. Le déclic se produit lors d’une journée portes ouvertes de l’Insa(3) à Rennes. Séduite, elle intègre l’école et effectue son stage de fin d’études à Technicolor. L’entreprise rennaise lui propose une thèse sur la sécurité du cloud, cet outil qui permet de stocker ses données en ligne. De 2012 à 2015, elle rassemble le peu de documentation existante sur ce point précis de sa thèse : les attaques sur la micro-architecture du cloud. « Il y a du matériel informatique dont on ne connaît pas exactement le fonctionnement. C’est un terrain assez méconnu finalement et de nombreuses avancées sont possibles. »

Dans la peau de l’ennemi

Enfant, ses jeux de construction n’étaient pas en bois mais en lignes de code. « Mon père était informaticien, j’ai grandi parmi les ordinateurs à la maison, raconte-elle. Ce qui me passionne c’est qu’assez facilement, avec des lignes de code, on peut créer quelque chose et voir immédiatement le résultat. » Elle mène de la même manière ses recherches : à tâtons, jusqu’à trouver la faille. Et le remède. Mais avant cela, elle doit changer de peau et se mettre dans celle de l’ennemi, qui cherche à récupérer des données confidentielles. Sa spécialité : repérer les failles du matériel physique pour en détourner l’usage.

Lorsque l’on tape le code d’entrée d’un immeuble sur un digicode, chaque touche peut émettre un son différent. En retenant la mélodie, il est possible de retrouver le code. En regardant l’usure de chaque touche également. Il en est de même sur un ordinateur. À chaque ordre donné, le processeur, physiquement présent dans les serveurs, réagit différemment pour répondre aux instructions. Ces différences donnent des indications sur les opérations effectuées... pour une oreille qui saura les déchiffrer. Ce sont ces variations que Clémentine Maurice uniformise, afin de ne laisser échapper aucune information. Comme elle pourrait le faire en attribuant la même sonorité à toutes les touches d’un digicode.

Appareils mobiles

Pour approfondir sa thèse, elle part une année en Autriche. Après ce postdoctorat à l’étranger, elle revient à Rennes coiffée de la casquette CNRS et intègre l’Irisa. Désormais, elle élargit son terrain de jeu aux appareils mobiles. « Les travaux existants révèlent des problèmes qui ont été trouvés manuellement.

Je cherche à automatiser cette découverte de vulnérabilité, mais également les mesures de sécurité, pour rendre les systèmes informatiques plus sûrs. » L’enjeu est de taille. Tous les utilisateurs d’appareils informatiques pourraient bénéficier de ces recherches.