La carrière de Karthikeyan Bhargavan s’appuie sur un parcours international et des recherches aux retombées mondiales. Parti des bancs universitaires en Inde, le directeur de recherche Inria spécialisé dans la sécurité des échanges de données sur Internet a ensuite passé sa thèse à l’université de Pennsylvanie aux États-Unis. Il obtient son premier poste de chercheur auprès de Microsoft à Cambridge (Royaume-Uni), avant d’aspirer à la recherche académique en rejoignant Inria de Paris en 2009. La richesse de son parcours résonne avec la diversité des thématiques qu’il aborde. En effet, sa maîtrise des langages de programmation se combine à ses connaissances des protocoles internet et à la cryptographie.
Dès 2012, le chercheur crée et dirige l’équipe Prosecco (Programming Securely with Cryptography) consacrée à l’étude de mécanismes cryptographiques sécurisant les communications sur Internet. Un savoir-faire qui intéresse notamment l’industrie. En effet, Karthikeyan Bhargavan travaille fréquemment sur des protocoles internet développés par des industriels afin d’assurer la sécurité de leurs systèmes avant leur mise en service.
C’est très motivant d’appliquer les résultats de ses recherches à des logiciels commerciaux ou open source et de montrer qu’ils s’appliquent à des choses concrètes ; par exemple la détection de faille Logjam qui fait le pont entre la théorie et des attaques informatiques.
Cette relation avec les industriels est d’ailleurs enrichie par des objectifs communs et des échanges réguliers au sein des groupes de travail de l’IETF1, l’organisme qui définit les standards d’Internet.
Une expertise aux retombées mondiales
L’objectif de l’équipe Prosecco est de rendre le Web plus sûr. Pour y parvenir, il ne suffit pas de détecter et corriger en permanence des bugs car cela revient à appliquer un pansement sans jamais traiter la plaie.
Au contraire, l’équipe d’une dizaine de personnes se concentre sur des solutions pérennes. Elle développe de nouveaux langages de programmation comme F* et des outils de vérification de sécurité (CryptoVerif) de systèmes existants afin d’identifier et corriger les faiblesses autrement exploitables par un logiciel malveillant. Ces travaux, financés par une bourse ERC, sont menés dans le cadre du projet Crysp (Collaborative cryptographic security proofs for programs)2.
Leurs premiers résultats sont d’importance : les outils de l’équipe-projet détectent des failles de sécurité conséquentes dans le protocole cryptographique utilisé par tous les navigateurs web (Chrome, Firefox, etc.). En effet, lorsque l’on navigue sur Internet pour consulter notre banque ou nos mails par exemple, un petit cadenas se trouve à côté de la barre d’adresse. Derrière ce cadenas, se cache ce que l’on appelle la sécurité de la couche de transport ou TLS (Transport Layer Security). Ce protocole informatique assure la présence d’une chaîne sécurisée entre le navigateur web et le site consulté. « Sauf que nous nous sommes rendu compte que la version TLS 1.2 utilisait des mécanismes de cryptographie datant des années 1980-1990, donc inadaptés aux systèmes d’aujourd’hui », précise le chercheur. L’analyse de ce protocole par l’équipe convainc l’IETF de créer un nouveau système plus performant et plus sûr pour remplacer l’ancien.
Pour ce faire, les chercheurs et chercheuses de Prosecco, associés à de nombreux collaborateurs et collaboratrices internationaux, construisent le protocole TLS 1.3 déployé depuis 2018. Les équipes développent un ensemble d’outils et de techniques aboutissant à un système de sécurité sans faille, vérifié mathématiquement. Le nouveau protocole apporte sécurité et rapidité. Alors que l’accès à une boîte mail demandait deux connexions aux serveurs du service de messagerie, il se fait désormais en une.
Dans mon domaine de recherche, il est rare de pouvoir observer la façon dont notre travail impacte la société. Avec TLS 1.3, nous avons une incidence immédiate sur le Web et ses milliards d’utilisateurs.
constate Karthikeyan Bhargavan avec plaisir. Plus globalement, il espère que ces travaux inspireront d’autres groupes de l’IETF à travailler conjointement avec des acteurs de la recherche académique et ainsi développer une nouvelle méthodologie pour l’analyse et la vérification des nombreux protocoles existants.
Une reconnaissance de prestige
Si les utilisateurs ne remarqueront probablement pas la différence lors de leur prochaine connexion, ce travail de l’ombre n’a cependant pas échappé à la Commission européenne. Ces recherches viennent de remporter l’Horizon Impact Award, un nouveau prix consacré aux projets financés par l'Union européenne et qui ont un impact social conséquent en Europe et au-delà. Une reconnaissance qui s’ajoute aux précédents soutiens financiers du Conseil européen de la recherche (ERC) - reçus par Karthikeyan Bhargavan en 2010 et 2015 - et qui témoigne de l’importance des travaux menés au sein d’Inria.
De nouveaux projets ambitieux
La cryptographie et la cybersécurité sont sources de nombreux challenges sur lesquels Karthikeyan Bhargavan s’est déjà engagé. « La prochaine étape est d’apporter de nouveaux protocoles de sécurité pour les messageries de type WhatsApp. Nous travaillons sur un système qui ferait que, même si un pirate accédait aux serveurs du système de messagerie, il ne pourrait pas voir le contenu des messages par exemple », précise-t-il. Autre ambition : alors que le monde s’oriente vers des logiciels basés de plus en plus sur l’intelligence artificielle (outils d’aide à la décision, biométrie, etc.), le chercheur veut étendre les outils de cryptographie à ces nouveaux systèmes encore peu protégés. Deux thèmes sur lesquels il invite notamment les jeunes chercheurs et chercheuses à se lancer.
1 Internet Engineering Task Force
2 Suivi plus tard par le projet Circus