Ingénieur et doctorat
Après une formation d’ingénieur à l’INSA puis à l’ENSIMAG, et une expérience industrielle en développement de systèmes d’exploitation et embarqués, j’ai exercé comme enseignant associé au Conservatoire National des Arts et Métiers et préparé un DEA de Systèmes Informatiques à l’Université de Paris 6 en 1990. Une bourse MRT et un poste de moniteur m’ont ensuite fourni les moyens d’obtenir un Doctorat en Informatique de l’Université Paris 6 en 1993. Mon travail de thèse porte sur les systèmes d’exploitation répartis. Il s'est déroulé dans l'équipe de recherche en système d'exploitation de Claude Kaiser au sein du laboratoire Cedric. La thèse facilite la construction des protocoles ordonnés nécessaires à la construction sûre et sécurisée de ces systèmes. J’ai notamment travaillé sur des extensions de Chorus et mes résultats de thèse ont été utilisés par Alcatel Alsthom Recherche pour concevoir de façon simple un système réparti tolérant les fautes.
Maître de conférences et habilitation à diriger les recherches
J’ai obtenu à la fin de ma thèse un poste de Maître de Conférences dans la filière informatique de l’ENSEIRB à Bordeaux en 1993. Dans ce cadre, j'ai assuré la responsabilité pédagogique de l’option Réseaux et Systèmes Répartis que j’ai orientée vers la sécurité. En tant que Maître de Conférences, j'ai développé une nouvelle activité de recherche avec une part de valorisation très importante dont l’obtention d’un projet européen offrant 1,7 millions d'euros pour le développement de mes activités. J’ai ainsi obtenu une habilitation à diriger les recherches à Bordeaux en 2001 et la qualification aux fonctions de Professeur des Universités.
Professeur des Universités
-
Enseignement
J’ai été recruté en 2002 comme Professeur en Informatique (section 27 du Conseil National des Universités) à l’ENSI de Bourges afin de mettre en place une nouvelle filière d'ingénieurs axée sur la sécurité informatique. J'ai assuré un travail de création d'une nouvelle filière en étant le seul enseignant en 27ième section. J’ai fait passé les effectifs de moins d’une vingtaine d’étudiants à près de cinquante. J’ai participé à deux reprises au renouvellement du titre par la Commission du Titre d’Ingénieurs.
-
Recherche
En plus de ces responsabilités pédagogiques, j'ai créé de toute pièce une nouvelle thématique et une équipe de recherche en sécurité au sein de mon laboratoire d'accueil le LIFO. Mes résultats en recherche en tant que Professeur des Universités sont multiples :
-
Méta-politique de sécurité
La thématique a commencé par la création d’un partenariat avec le CEA, qui a financé en 2002 la thèse de Mathieu Blanc sur la protection dans les systèmes d’exploitation pour les clusters partagés. Nous avons proposé une approche de méta-politique qui facile l'utilisation de politiques de contrôle d'accès obligatoire à large échelle.
-
PIGA
Sur la base des travaux avec le CEA j'ai proposé un thème de recherche pour détecter les violations dans les politiques de contrôle d'accès obligatoire et éventuellement permettre de les prévenir. L'approche PIGA statique a d'abord été développée dans la thèse Jérémy Briffaut. Elle reprend une idée publiée en 2003 dans
"Policy Analysis for Security-Enhanced Linux" par MITRE afin d'énumérer hors ligne (c'est à dire statiquement) les flux (indirects) permis par une politique SELinux. La thèse reprend cette idée et propose un langage et une notion de flux indirects basée sur une définiton de dépendance causale au sein d'un système d'exploitation. J'ai largement contribué à formaliser l'approche pour qu'elle s'applique à un système d'exploitation.
Les limitations constatées m'ont permis de poursuivre avec la thèse de Jonathan Rouzaud-Cornabas. L'idée étant de s'attaquer au côté statique de SELinux et de PIGA. Cette thèse est la première contribution pour s'affranchir de SELinux et énumérer dynamiquement les activités du système d'exploitation qui sont illicites. Si elle s'affranchit des politiques SELinux, elle ne résout cependant pas le problème du calcul de politiques selon le contexte d'une application ou de l'ensemble du système. La solution reste d'un niveau combinatoire élevé qui limite son utilisation en pratique. Cependant, elle a servi de source d'inspiration pour éviter ensuite les écueils des approches statique (SELinux/PIGA statique) ou complètement dynamique (PIGA dynamique).
-
Défi sécurité
Le système d'exploitation PIGA-OS basé sur Linux a été développé dans le cadre du défi sécurité de l’ANR et du projet SPACLik, dont j’ai assuré la responsabilité administrative et scientifique. Nous avons gagné les trois manches de ce défi, dont le jury était présidé par l’Agence Nationale de la Sécurité des Systèmes d'Informations (ANSSI). Nous avons été opposé à deux concurrents qui ne sont pas des spécialistes de systèmes d'exploitation, d’un part une équipe mixte EADS/Supélec Rennes et d’autre part une équipe mixte LRI/LIP6. Les premières failles constatées dans PIGA-OS étaient rédhibitoires et liées au caractère statique de SELinux et PIGA. Il a fallu produire rapidement une solution ad-hoc cablée en dur dans les applications pour donner un aspect plus dynamique à la sécurité. Via PIGA-SYSTRANS, il est possible de contrôler à gros grain différents domaines d’usages (web, mail, e-commerce, impôts, réseaux-sociaux, etc …). Cependant, la solution n'est pas finalisée et peu scientifique. Elle ne peut pas être utilisable en pratique en raison des défauts inhérents à SELinux et PIGA. Il fallait donc poursuivre la recherche dans les domaines du contrôle dynamique de la sécurité.
-
Laboratoire commun CEA
Dans le cadre d’un laboratoire commun avec le CEA, la thèse de Damien Gros étudie les performances d'une approche statique telle que PIGA. Au final, les conclusions sont négatives tant les surcoûts sont élevés et l'efficacité de la protection restreinte toujours en raison du côté statique conduisant à une analyse d'un grand nombre de faux positifs. Cependant, cette thèse présente un réel résultat scientifique puisqu'elle évalue de façon précise les surcoûts et l'inadéquation en terme de protection. La thèse étudie aussi les méthodes de contrôle d'accès pour Windows. Une approche similaire à SELinux est proposée. Cette méthode présente le même handicap que SELinux bien qu'elle soit plus simple à administrer. Elle a été expérimentée pour les bacs à sable système. Actuellement, ce type de bac à sable peut être réalisé sur Windows avec .NET 4.0 qui est une méthode plus agile et programmable donc acceptant le calcul dynamique de politiques.
-
Protection des serveurs d'application
Pour des environnements de production réelle, tels que des applications web générées dynamiquement, nous avons adopté une approche opposée à PIGA-OS. Elle reprend l'idée d'une approche dynamique étudiée dans la thèse de Jonathan Rouzaud-Cornabas. Cependant, nous attaquons le problème ouvert du calcul dynamique des politiques obligatoires. La thèse de Maxime Fonda, développée au sein d'une coopération avec Qual'Net, permet de calculer dynamiquement les politiques obligatoires nécessaires à un processus métier lui même défini dynamiquement. C'est la première activité de recherche entièrement finalisée mais aussi la première solution qui évite d'analyser du bruit comme dans l'approche SELinux/PIGA. L'outil Intraqual de Qualnet intègre ce moteur de calcul et un moniteur garantit les politiques générées. La solution supporte des dizaines de milliers d'utilisateurs. Elle couvre un grand ensemble de domaines métiers (santé, banque, assurance, ...). Son efficacité est testable contrairement aux solutions précédantes. Les outils de test sont intégrés à l'environnement de développement Intraqual. L'approche ne nécessite aucun effort d'administration ou de développement.
-
Java et Android
Via une coopération avec Alcatel Lucent Bell Labs, la thèse de Benjamin Venelle étudie la protection des machines virtuelles Java. Cette thèse va cependant beaucoup plus loin. Elle repart de l'idée originale défendue dans la thèse de Maxime Fonda mais la généralise. Elle présente un cadre conceptuel pour supporter le calcul dynamique de politiques en évitant d'analyser du bruit c'est à dire des faux positifs et en limitant les faux négatifs. L'approche s'applique à différents langages et mécanismes de systèmes répartis. L'idée est celle d'un automate d'états, issu des applications, qui peut en avançant calculer dynamiquement les règles nécessaires. On passe d'une explosion combinatoire comme dans SELinux/PIGA à des politiques très réduites et efficaces. Le système n'autorise que les intéractions nécessaires dans l'état considéré et empêche toutes les autres. A l'opposé d'une solution du type SEJava simple, la thèse montre l'efficacité de l'approche en terme de protection des applications Java mais aussi son faible surcoût. Elle a été testé avec succès sur une année de vulnérabilités de la machine virtuelle Java.
-
Cloud
Nous avons tout d'abord développé, avec Emilie Lefebvre et Zaina Afoulki, une solution permettant de sécuriser en profondeur les systèmes d'exploitation virtualisés. Via le projet européen Seed4c, les thèses d'Aline Bousquet et d'Arnaud Lefray conduisent à une approche développée conjointement avec l'INRIA Rhône Alpes.
La méthode s'applique sans nécessiter ni protection obligatoire ni le moniteur PIGA. A l'inverse, elle permet de configurer pour un cadre applicatif dédié les composants de sécurité standard (authentification, contrôle d'accès, firewall). La limitation est cependant là aussi la capacité à calculer dynamiquement ces politiques. J'ai présenté durant l'atelier SEC2 en 2015 des alternatives à ces travaux qui sont plus réalistes. Elles reprennent les idées développées durant les thèses de Maxime Fonda et Benjamin Venelle en montrant l'efficacité pour le Cloud.
-
Santé et éthique scientifique
Je suis à l'origine du Réseau Thématique de Recherches sur le risque informatique et le handicap. Ce réseau est un cadre pluridisciplinaire entre médecins spécialisés dans la prise en charge du handicap moteur (médecin spécialiste en médecine physique et de réadaptation) et cognitif (médecin psychiatre, neurologue), paramédicaux, philosophes, etc... Il ne s'agit pas d'un réseau entre informaticiens mais bien au contraire un croisement de points de vue. Ce thème m'a permis d'étudier en profondeur l'éthique médicale, le soin, la prise en charge du handicap via des outils informatiques et plus largement l'éthique et l'intégrité scientifique. Un certain nombre de résultats sont présentés via le site web handicap, éthique et intégrité scientifique.
Mon travail comme Professeur des Universités correspond à la création et la direction d'une nouvelle thèmatique de recherche. Celle-ci repose sur mon domaine de compétences à savoir les systèmes d'exploitation et les systèmes répartis. J’ai ainsi créé ex-nihilo une activitée pionnière sur la protection des systèmes d'exploitation et l’ai structurée en recrutant tous les permanents et en affectant les missions de recherche. J’ai mis en place les coopérations industrielles, notamment avec le CEA, Oberthur Card Systems (thèse de Xavier Kauffmann), Qual’Net et Alcatel Bell Labs. J’ai ainsi fourni les moyens à tous les permanents d’avoir des encadrements (Berthomé/Nicolas Grenèche, Berthomé/Pierre Clairet) ou des co-encadrements de thèses (Lalande/Kauffmann, Clémente/Rouzaud-Cornabas, Briffaut/Gros, Briffaut/Bousquet).
Plus récemment, j'ai mis en place des travaux sur la prise en charge du handicap, le soin, l'éthique médicale et l'intégrité scientifique. Ils sont associés au constat, que j'ai fait durant ces nombreuses années de direction et d'encadrement de la recherche, concernant les problèmes d'intégrité dans le domaine de la recherche. Ces problèmes d'éthique ont une importance première non seulement vis à vis du thème médical mais plus globalement vis à vis du financement de la recherche, de l'activité de publication et de diffusion des résultats.
Mes considérations sur les manquements à l'intégrité scientifique et plus largement à l'éthique dans le milieu de la recherche, ne sont pas isolées. On les retrouve dans le rapport Corvol, le livre sur la fraude scientifique de Chevassus-au-Louis ainsi que les nombreuses affaires médiatisées (Mediator, Monsento Papers). L'informatique n'est malheureusement pas exempte de ces problèmes, loin s'en faut. La société a maintenant des exigences nouvelles en matière de démarche scientifique. Si le plagiat est la forme de fraude scientifique la moins nocive pour la société, les conflits d'intérêts et volontés exacerbées des chercheurs de montrer qu'ils sont les meilleurs poussent à de nombreuses falcifications des résultats, biais, mensonges et manques d'honneteté scientifique plus ou moins conscients. J'ai constaté à de nombreuses reprises ces manquements à l'éthique parmi "nos concurrents scientifiques" mais aussi dans les différents laboratoires auquels j'ai appartenu et malheureusement même au sein de l'équipe que j'ai créée !!
Au delà du développement d'une thématique pionnière, une de mes principales satisfactions est d'avoir continué de travailler et de coopérer activement avec tous les docteurs que j’ai dirigés. J'ai notamment contribué à une démarche scientifique digne de ce nom. Mais le désir des chercheurs, de montrer à tout prix que ce qu'ils font marche, a aussi été parfois le plus fort. Ce constat est malheureusement valable aussi chez les gens que j'ai formé à la recherche.
Je suis très impliqué actuellement dans les réflexions liées à la recherche biomédicale, à l'informatisation et à l'intégrité scientifique. Ce dernier point me semble un préalable nécessaire à toute activité de recherche qu'elle soit scientifique ou non. Les démarches éthiques sont encore faiblement considérées par la communauté scientifique en dehors peut être du domaine médical et des sciences dites pures comme les mathématiques. Cependant, la personnalité des individus joue à plein. Il est en effet très difficile de corriger des manques d'éducation et d'éthique individuelle.