Itsaka Rakotonirina, un chercheur de confiance

Date:
Mis à jour le 23/11/2023
Doctorant à Inria Nancy Grand-Est, Itsaka Rakotonirina évalue les protocoles cryptographiques qui protègent le Wi-Fi, la 4G, le paiement en ligne ou les données du passeport biométrique. L’objectif, c’est de les rendre plus sûrs afin de préserver la confiance des utilisateurs. Et le jeune chercheur obtient des résultats probants. En deux ans de thèse, il a décroché un Paper Award dans une conférence internationale, une bourse de Google et un stage de trois mois chez Microsoft

Comment garantir qu’une technologie de communication soit sans faille ? Comment prévoir tous les scénarios d’attaque ? Comment prendre en compte les interactions entre des milliers d’utilisateurs et les vulnérabilités qui en découlent ? Qu’entend-on exactement par "sécurité" : l’anonymat des utilisateurs, leur authentification, la confidentialité de leurs échanges, la non-traçabilité des données stockées ?

Des enjeux pour le smartphone , la carte bancaire, les achats en ligne…

I. Rakotonirina
Coll. part.

Quand on aborde ce domaine de la sécurité des protocoles, les questions se bousculent et peuvent donner le vertige. Pour Itsaka Rakotonirina en revanche, c’est plutôt un motif d’enthousiasme : « J’ai découvert ce champ de recherche lors d’un stage à Inria Nancy - Grand Est, pendant mon master d’informatique fondamentale. Il m’a captivé car il est extrêmement complexe. Il faut des années pour réaliser des avancées. Mais elles ont un retentissement sur l’utilisation du smartphone, de la carte bancaire, des sites d’achat en ligne etc. »

À Nancy, le jeune doctorant a rejoint l’équipe PESTO qui a déjà bien défriché ces questions. Les chercheurs segmentent leurs travaux sur différentes propriétés de sécurité (anonymat, secret du vote électronique…) qu’ils évaluent l’une après l’autre. Ils ne s’égarent pas dans des scénarios avec des milliers d’utilisateurs simultanés, souvent trop difficiles à résoudre par le calcul, et choisissent de restreindre volontairement leur nombre. « Avec trois participants pour du vote électronique ou cinq pour du passeport biométrique, on couvre déjà la plupart des attaques connues. Et elles sont parfois très sophistiquées. »

Vérifier des propriétés plutôt que tester une infinité de scénarios

Enfin, les chercheurs ne s’épuisent pas à tester sans fin des scénarios. Ils vérifient que les protocoles cryptographiques garantissent telle ou telle propriété intrinsèquement, "par construction", à l’aide d’une démonstration mathématique.

La thèse d’Itsaka Rakotonirina porte sur la conception et la programmation d’un générateur automatique de ces preuves. « Je pars du comportement souhaité du protocole ; par exemple, la non-traçabilité est garantie s’il est impossible de distinguer le protocole exécuté par deux agents A et B du protocole exécuté deux fois par A ou B. Puis je traduis ce comportement dans un langage mathématique. Je peux alors le donner à l’outil que nous avons programmé afin que l’analyse du protocole s’exécute dans un délai minimum. »

Un outil de vérification complet et rapide

 Cette approche peut s’appliquer à toutes les propriétés de sécurité, à l’inverse de beaucoup d’outils de vérification spécialisés dans l’une ou l’autre. Inria Nancy - Grand Est la met en œuvre depuis 2014 dans DEEPSEC *, un outil complet et rapide. « Et nous l’améliorons régulièrement, ajoute Itsaka. Tout récemment, nous sommes parvenus à vérifier la confidentialité d’un protocole de vote électronique en quelques secondes, là où il fallait douze heures jusqu’ici. »

Les recherches du jeune doctorant ont vite été remarquées. Au printemps 2018, le papier qu’il a cosigné avec ses deux encadrants à la conférence internationale IEEE Symposium on Security and Privacy a reçu un Distinguished Paper Award . Début 2019, Microsoft Research lui a proposé de venir travailler cet été sur son site britannique (voir encadré).

Repéré et distingué par Google

Peu après, il était désigné lauréat 2019 de l’une des bourses PhD Fellowship attribuées par Google , dans la catégorie Privacy and Security . Cette distinction va lui permettre de financer des déplacements dans les conférences internationales de son choix et de visiter le siège de l’entreprise à Mountain View, en Californie. « Une telle distinction, ça compte sur un CV de jeune chercheur ! Google reconnaît la qualité de mes travaux et m’entrouvre ses portes, sans me demander de contrepartie. J’en prends note, même si je vise plutôt une carrière de recherche académique. »

Et on le comprend. Les travaux sur les protocoles cryptographiques sont régulièrement animés par la mise à jour de nouvelles failles ou par des attaques inédites. En parallèle, les objets connectés se multiplient et s’imposent dans notre quotidien. « L’objectif de mon travail, c’est de renforcer la confiance des utilisateurs ; faire en sorte que grâce à nos outils de vérification, les protocoles cryptographiques présentent les meilleures garanties de sécurité possibles. »

*DEciding Equivalence Properties for SECurity protocols

Un été chez Microsoft

Itsaka Rakotonirina a passé un été 2019 studieux au centre Microsoft Research de Cambridge (Grande-Bretagne) qui l’a accueilli pour trois mois. Il était chargé de concevoir un nouveau protocole de communication et de le fournir avec des preuves de sécurité. Le fait de guider ainsi la production en fonction de critères de sécurité aboutit à des systèmes beaucoup plus résistants, même si cela demande au départ des efforts de développement nettement plus importants.

En savoir plus