Mars 2021Numéro 8

LA GAZETTE DU GDRSécurité Informatique - GDR2046

Édito du directeurOrganiser des événements en visioconférence devient une pratique bien rôdéeet le GDR devrait, grâce à cela, être en mesure d’organiser la majorité de sesévénements en 2021. Nous ne désespérons d’ailleurs pas de pouvoir en organiseren présentiel, notamment l’école d’été du GDR qui est attendue à Toulousedu 19 au 23 juillet, organisée par Vincent Nicomette (INSA Toulouse/LAAS),ainsi que les Journées Nationales que nous espérons en mode hybride, et quiseront organisées du 30 juin au 2 juillet, par Caroline Fontaine (CNRS/LMF), àDauphine si la situation le permet.Mentionnons que le GDR a déjà organisé deux événements en 2021, en distancielbien sûr, à savoir la journée thématique « Menaces de sécurité sur l’apprentis-sage profond » organisée en janvier par Teddy Furon (Inria Rennes) et l’écoled’hiver du GDR organisée en février par Sébastien Bardin (CEA List) et Stépha-nie Delaune (CNRS/IRISA). Ces deux événements ont rencontré un franc succèsavec un nombre de participants bien au-dessus des attentes. Rappelons à cetteoccasion que le GDR Sécurité Informatique possède trois Groupes de Travail quisont communs avec les GDR IM, ISIS et SOC2, et que nous organisons beaucoupd’événements conjointement avec ces GDR, ce qui fut le cas par exemple avecla journée sur l’apprentissage profond (commune avec le GDR ISIS).Parmi les autres actions, le GDR souhaite lancer une initiative pour concevoirune plaquette pour promouvoir les thèses en sécurité auprès des étudiants demasters et d’écoles d’ingénieurs. Vous recevrez plus d’information à ce sujetdurant le printemps. Il est d’autant plus important de motiver nos étudiants àprolonger leurs études avec une thèse que notre communauté devrait bénéficierde nombreux financements de thèses à travers le « Programme et ÉquipementsPrioritaires de Recherche » (PEPR) en Cybersécurité. Ce programme, doté de65 millions d’euros, s’inscrit dans la stratégie d’accélération Cybersécurité ré-cemment annoncée par le Président de la République. Le PEPR ne se substitueaucunement aux financements classiques déjà existants, il les complète.En attendant, je vous souhaite une bonne lecture de ce numéro de la Gazette,dans lequel vous retrouverez Phong Nguyen (Inria/DIENS) qui nous parle deson ERC en lien avec les réseaux euclidiens, Marine Minier (Université de Lor-raine/LORIA) qui nous présente les activités en sécurité du LORIA, AurélienGuerson (IMT Télécom SudParis) qui nous parle de BBB, et enfin Solène Mo-reau (CNRS/IRISA) et Lesly-Ann Daniel (CEA List) qui nous font un retour surl’école d’hiver du GDR.Bonne lecture !

Gildas Avoine,Directeur du GDR Sécurité Informatique

Rubriques

ÉVÉNEMENTS 1

LE COIN PROSPECTIF 2

ZOOM SUR L’ÉCOLED’HIVER DU GDR 3

EN DIRECT DES LABOS 5

BONNES PRATIQUESPOUR LA VISIO 6

JOBS 8

Événements

(Repris en partie du forum du GDR)

Journée thématique du GT SSLR 2021 sur la sécuritédes réseaux en ligne, France, 11 mai 2021, soumissions avantle 11 avril 2021

C&ESAR 2021 Rennes, France, 26-28 novembre 2021, sou-missions avant le 28 mai 2021

International Workshop on Smart Contract Analysis enligne, 12-16 juillet, soumissions avant le 14 mai 2021

International Symposium on Research in Attacks Intru-sions and Defenses (RAID) San Sebastian, Espagne, 6-8octobre, soumissions avant le 26 mars 2021

Conférence on runtime verification Los Angeles (en ligne),État-Unis, 11-14 octobre, soumissions avant le 13 mai 2021

1

Mars 2021 Numéro 8

Le coin prospectifPhong Nguyen

La gazette interviewe Phong Nguyen, directeurde recherche à Inria dans l’équipe Cascade du dé-partement d’informatique de l’ENS à Paris (UMR8548). Phong est lauréat de la bourse avancée del’ERC PARQ (Lattices in a Parallel and QuantumWorld), et ses domaines d’expertise sont la cryp-tanalyse et les réseaux euclidiens. La gazette acherché à en savoir plus sur ce beau projet de re-cherche.

Bonjour Phong, félicitations pour cette bourseavancée de l’ERC. Avant de parler plus en détailsde ce projet, peux-tu présenter rapidement tes ac-tivités ?

Au niveau recherche, je m’intéresse surtout à lacryptanalyse à clef publique, c’est-à-dire aux meilleuresattaques contre les cryptosystèmes à clef publique. J’aibeaucoup étudié l’algorithmique des réseaux euclidiens,qui sert à évaluer la sécurité des cryptosystèmes à basede réseau, mais qui est aussi utilisée dans des attaquescontre le RSA (par exemple la fameuse attaque ROCAcontre les cartes Infineon) ou des attaques à canauxauxilliaires contre les signatures à base de logarithmediscret.

Je m’intéresse aussi aux collaborations internatio-nales : par le passé, j’ai dirigé des laboratoires interna-tionaux, le LIAMA en Chine et le JFLI au Japon.

Quelle est la problématique de cette bourse ERC ?

Ce projet consiste à étudier les meilleurs algorithmesquantiques ou parallèles pour résoudre les problèmes dif-ficiles des réseaux euclidiens, afin de pouvoir évaluer lasécurité concrète des cryptosystèmes à base de réseau,et éventuellement de proposer des paramètres sûrs.

Quand j’étais doctorant, il y a vingt-cinq ans, c’étaitla première génération des cryptosystèmes à base deréseau : c’était très excitant, mais plutôt ésotérique,on était encore très loin d’imaginer un déploiement. Àcette époque, quand un nouveau cryptosystème appa-raissait, il avait peu de chances de survivre. Aujourd’hui,les choses ont radicalement changé : en quelque sorte, lacryptographie à base de réseau est presque partout. Cinqdes sept finalistes de la normalisation du NIST pour lacryptographie post-quantique utilisent des réseaux eu-clidiens. Et la norme de chiffrement homomorphe encours de développement repose essentiellement sur lesréseaux euclidiens. Par exemple, le mois dernier, Micro-soft a annoncé le déploiement d’une solution pour dé-tecter si un mot de passe de leur navigateur Edge étaitcompromis, en utilisant le chiffrement homomorphe àbase de réseau.

Phong Nguyen.

Comment vois-tu l’évolution des ordinateurs quan-tiques dans notre vie quotidienne pour les décen-nies à venir ?

Je ne suis peut-être pas la meilleure personne pourrépondre à cette question, mais ce que je trouve fasci-nant dans la vague quantique actuelle, c’est qu’on sentqu’il va se passer quelque chose, et en même temps,personne ne sait vraiment quoi précisément : tout peutarriver ! On nous annonce beaucoup de choses, mais ilest tout à fait possible qu’au final, l’impact soit complè-tement différent. Mais si on savait exactement ce quenous réserverait l’avenir, la recherche serait beaucoupmoins amusante.

Au-delà des éventuelles applications pratiques, l’or-dinateur quantique nous fait réfléchir à des questionsfondamentales, ce qu’est un algorithme et ce qu’estl’information. Même si la vague quantique s’effrondre,on aura appris beaucoup de choses, peut-être même denouveaux algorithmes classiques.

« La cryptographie à base de réseau estpresque partout »

Quelles propriétés doit-on regarder lorsque l’oncherche à cryptanalyser des algorithmes reposantsur les réseaux euclidiens ?

Ce qui est intéressant en cryptanalyse, c’est de re-garder les choses sous différents points de vue et d’intro-duire ou d’utiliser de nouvelles techniques. Au départ,un réseau euclidien est un objet plutôt élémentaire enmathématiques (l’ensemble des points à coordonnéesentières, selon un repère en général non orthonormé),mais qui se trouve à l’intersection de plusieurs domaines,ce qui ouvre beaucoup de possibilités. Les premiers al-gorithmes de réduction de réseau sont très simples :ils n’utilisent que l’algèbre bilinéaire. Mais peu à peu,des techniques plus sophistiquées sont apparues : l’ana-lyse harmonique avec la distribution gaussienne, la géo-métrie convexe, la théorie des réseaux aléatoires, et unnouveau formalisme issu de la géométrie algébrique. Ré-cemment, il y a même eu un article d’un médaillé Fields(Akshay Venkatesh) sur les bases LLL-réduites !

2

Mars 2021 Numéro 8

Comment sélectionne-t-on les clefs en cryptogra-phie à base de réseaux ?

C’est l’une des grandes questions. De manière gé-nérale, la sélection des paramètres en cryptographie àclef publique n’a jamais été une science exacte : il estdifficile d’évaluer précisément la puissance de calcul né-cessaire pour casser tel ou tel algorithme, et il est encoreplus difficile de prédire l’avenir. L’histoire nous invite àl’humilité : il suffit de voir ce qui s’est passé pour le pro-blème du logarithme discret dans les corps finis de petitecaractéristique, ou les fonctions de hachage. La situa-tion de la cryptographie à base de réseau est complexecar il y a beaucoup plus de paramètres que dans RSA.Ainsi, il est devenu courant d’utiliser des scripts pourgénérer des paramètres sûrs, mais se pose la questionde la confiance que l’on peut avoir en ces scripts.

Quels conseils peux-tu donner aux chercheurs quiveulent postuler à l’ERC ?

De ne pas hésiter, et de ne pas s’auto-censurer, d’au-tant que la cryptographie est bien représentée à l’ERC :il faut en profiter pendant que c’est encore le cas. Com-paré à d’autres financements, je n’ai pas l’impressionque la préparation soit plus lourde, et le jeu en vaut lachandelle : c’est très utile de ne pas avoir à courir aprèsdes financements pendant au moins cinq ans.

Merci Phong pour toutes ces réponses très intéres-santes, nous sommes impatients de découvrir celles

qui seront apportées par PARQ !

Article rédigé par Phong Nguyen (INRIA, DI-ENS), Annelie Heuser, Patrick Bas, Contact :Phong.Nguyen@ens.fr

Brèves- Gildas Avoine a présenté le GdR dans une in-terview de NoLimitSecu, le podcast dédié à lasécurité https://www.nolimitsecu.fr, épi-sode #301.

- Le 4e programme d’investissements d’avenir(PIA4) fera la part belle à la cybersécuritéavec un budget annoncé de 65 millions d’euroshttps://www.cnrs.fr/en/node/5502

- Cette année, le prix des bonnes pratiquespour l’éducation (2021 Best Practices inEducation Award), décerné par l’organisation"Informatics Europe", est dédié à la cybersécu-rité. Date limite de candidature : 1 juin 2021,voir https://www.informatics-europe.org/awards/education-award/call-for-submissions-21.html.

Zoom sur l’écoled’hiver du GdRSolène Moreau et Lesly-Ann Daniel

Cette année, en raison du contexte sanitaire,l’école d’été « Cyber in Saclay » du GDR Sécu-rité Informatique (qui aurait dû avoir lieu en juillet2020 au château du CNRS à Gif-sur-Yvette) s’esttransformée en école d’hiver virtuelle, du 8 au 12février 2021, organisée par Sébastien Bardin (CEAList) et Stéphanie Delaune (CNRS/IRISA). Deuxdoctorantes, Solène Moreau (IRISA) et Lesly-AnnDaniel (CEA List), nous présentent un petit retourd’expérience.

La thématique de cette édition était « les méthodesformelles pour la sécurité » et le programme concoctépar l’équipe organisatrice couvrait de nombreux sujets :vulnérabilités logicielles, interprétation abstraite, vérifi-cation de protocoles, analyse différentielle, preuve d’im-plémentations cryptographiques, analyse de malware,attaques en faute, analyse de code source.

Les matinées étaient dédiées aux présentations etles après-midis aux séances pratiques, où nous avons eu

l’occasion d’utiliser de nombreux outils comme Tama-rin, EasyCrypt, Frama-C.

Les exposés des sponsors nous ont permis de décou-vrir des applications possibles des méthodes formellesdans un contexte industriel. La première, par PatriciaMouy de l’ANSSI, nous a éclairé sur l’application desméthodes formelles dans le cadre de la certification cri-tères communs. La seconde, par Jules Villard de Fa-cebook, nous a présenté l’analyseur statique Infer deFacebook, et son utilisation pour rapporter automati-quement aux développeuses et développeurs les bugsintroduits par leurs modifications récentes.

L’école s’est déroulé dans l’environnement virtuelgather.town, un campus virtuel dans lequel nous pou-vions nous déplacer, et même personnaliser notre ava-tar. Nous pouvions discuter avec les personnes à proxi-mité, par chat ou en vocal, l’idée étant de faciliter lesinteractions spontanées. Cet environnement virtuel s’estrévélé particulièrement intéressant pour les sessions detravaux pratiques où nous pouvions nous réunir pourtravailler en petit groupe. Durant certaines séances deTP, les personnes n’ayant pas réussi à installer les outilsont ainsi pu travailler en collaborant avec les personnesles ayant installés et partageant leur écran.

Cette année, le « social event » était lui aussi vir-tuel, sous la forme d’un « escape game » ! Chaque

3

Mars 2021 Numéro 8

équipe devait résoudre un ensemble d’énigmes en untemps imparti, la communication et la coopérationétant cruciales car nous n’avions pas tous et toutes lesmêmes éléments sur nos écrans pour nous permettre derésoudre les énigmes. C’était vraiment sympa et amu-sant ! Voici en guise de conclusion quelques retoursspontanés :

- « À Cyber in Salcay, on avait un mini jeu pourse déplacer de salle en salle et parler aux gens, c’étaitmarrant et ça m’a rappelé mes années de collège surHabbo Hotel. » Une étudiante nostalgique.

- « Jean-Yves Marion nous avait promis une présen-tation relaxante sur l’analyse de malwares. Je me suisdonc assis confortablement devant mon écran en siro-tant mon café et j’ai appris plein de trucs au passage ! »Un étudiant relaxé.

- « Il était vraiment cool ce talk de Jules Villard

sur l’outil Infer de Facebook ! Il y avait des chats etdes mèmes, que demander de plus ! » Une étudianteconvaincue.

- « J’ai beaucoup aimé le TP sur Frama-C, l’ou-til m’a aidé à trouver automatiquement des bugs que jen’aurais sans doute pas trouvé seul !» Un nouvel adeptede Frama-C.

- « On est arrivés seconds à l’escape game mais lapremière équipe a brute-forcé une partie du code, alorsque nous on a tout résolu ! » Un joueur consciencieux.

- « J’ai beaucoup apprécié Cyber In Saclay, ça faitdu bien de sortir la tête de son travail habituel pour dé-couvrir de nouveaux sujets. Merci aux organisateurs ! »Une étudiante satisfaite.

Merci Solène et Lesly-Ann pour votre retour 1, celafait plaisir de voir que même en distanciel, uneécole peut être si profitable !

Le château du CNRS à Gif-sur-Yvette.

Retour sur RESSI 2020L’édition 2020 des Rendez-vous de la Recherche et de l’Enseignement en Sécurité des Systèmes d’Infor-

mation (RESSI 2020) s’est tenue en visioconférence du 16 au 18 décembre 2020.Comme pour les éditions précédentes, le programme de la conférence était varié : présentations invitées,

rejeux, partages d’expériences autour de l’enseignement, sessions thèses et présentation de projets de recherchecollaboratifs. Au plus fort de l’événement, le salon plénier comptait environ 80 personnes. Les échanges ontété riches, en séance plénière comme dans les salons « posters » pour les projets et les thèses.

En attendant la prochaine édition de RESSI, et si vous n’avez pas pu assister à l’édition 2020, le programmeet les ressources associées (supports, vidéos) sont disponibles en ligne (https://ressi2020.ebfe.fr).

1. La gazette est d’ailleurs preneuse d’autres initiatives de ce type !

4

Mars 2021 Numéro 8

En direct des labosMarine Minier

Après l’ouest et l’IRISA, cap vers l’est pour al-ler visiter le LORIA, le Laboratoire lorrain de Re-cherche en Informatique et ses Applications (UMR7503). Ce laboratoire de 29 équipes représenteun total de plus de 400 personnes. Comme sonfrère breton, ce laboratoire héberge un Laboratoirede Haute Sécurité (LHS). C’est dans ce contexteque nous interviewons Marine Minier, professeur àl’Université de Lorraine et membre du LHS.

Bonjour Marine, quels sont les axes scientifiques duLORIA et plus précisément vos objectifs en matièrede sécurité informatique ?

En matière de recherche en cybersécurité, le spectredu LORIA est très large : il va des domaines les plusthéoriques de la sécurité comme les preuves de proto-coles ou la cryptographie à des domaines très appli-quées comme l’analyse de Malware ou l’analyse d’at-taques réseaux. Ainsi le cœur de la sécurité au LORIAest décliné en 5 équipes : PESTO (preuves de proto-coles), CARAMBA (cryptographie), CARBONE (ana-lyse de Malware) et RESIST (supervision réseau). Maisdes équipes comme MOSEL-VERIDIS, COAST ou SIM-BIOT ont également un pied dedans. Ainsi, le LORIA,c’est plus de 45 chercheurs ou enseignants-chercheursqui travaillent sur le thème de la sécurité !

« Un laboratoire P4 pour héberger lesvirus informatiques »

De plus, le LORIA a une grande chance, il hébergeun des deux LHS de France, l’autre étant à Rennes. Cedispositif unique en son genre permet de stocker desmalwares, d’analyser des flux réseaux gigantesques, deregarder le « bruit de fond » d’Internet en matière d’at-taques. C’est une sorte de télescope géant de la sécuritédans un laboratoire P4 pour héberger les virus informa-tiques. Forcément, avec une telle puissance de feu, leschercheurs ont des choses à se mettre sous la dent enmatière d’observation et de tests de la cybersécuritédans le monde réel !

Mais le LHS n’est pas la seule plateforme dédiée àla cybersécurité au LORIA, on peut citer par exemple laplateforme SCADA-IoT qui comprend des composantsmatériels typiques, tels que divers types de contrôleurslogiques programmables (PLC) utilisés dans les sys-tèmes de contrôle industriels ou des dispositifs IoT surétagère (contrôleurs de chauffage et d’éclairage, passe-relles domestiques, prises intelligentes, etc.). Ainsi, lebut de cette plateforme est de tester la résilience deprotocoles dédiés à des attaques.

Comment le LORIA est-il intégré à son écosystèmelocal ?

Au niveau local, le LORIA fait partie du projet « Lor-raine Université d’Excellence » DigiTrust centré autourde la confiance du citoyen dans le monde numérique.Cette initiative fédère la recherche locale en matière decybersécurité en lien avec les partenaires économiqueset institutionnels de la région.

Au niveau national, le LORIA fait partie d’un grandnombre de projets ANR (le LORIA est en moyenne par-tenaire d’une dizaine de projets ANR acceptés chaqueannée). Steve Kremer, directeur de recherche Inria dansl’équipe PESTO, est également titulaire de la Chaire IAde l’ANR. Le but de ce projet est la conception d’al-gorithmes et d’outils efficaces, basés sur des techniquesde raisonnement automatique, pour vérifier l’absence defailles dans des protocoles cryptographiques.

Au niveau international, en plus de collaborationsdédiées, le LORIA est partenaire de trois projets Euro-péens : AI@EDGE (2020-2024, a secure and reusableArtificial Intelligence platform for Edge computing inbeyond 5G Networks) ; CONCORDIA (2019-2023, 55partenaires, Cyber security cOmpeteNCe fOr ResearchanD InnovAtion) et SPARTA (2019-2022, 45 parte-naires, Strategic programs for advanced research andtechnology in Europe, cybersecurity competence net-work).

Et depuis janvier 2020, le LORIA a créé en partena-riat avec le CISPA à Saarbruck en Allemagne un centrevirtuel de recherche en cybersécurité.

Bref, les chercheurs du LORIA ne manquent pasd’opportunités de collaborations que ce soit au niveaulocal, national ou international.

Marine Minier.

Quels sont les programmes de formations qui sontadossés à vos recherches ?

Depuis cette année, sur le site de l’IUT Nancy-Brabois, une licence pro en cybersécurité a ouvert. Digi-Trust est partenaire de cette licence pro. Sur le campusuniversitaire de la faculté des sciences, c’est le M2 SI-RAV (Sécurité Informatique, Réseaux et ArchitecturesVirtuelles) qui permet aux étudiants de se former à lacybersécurité. La majorité des cours sont d’ailleurs dis-pensés par des chercheurs du LORIA. De plus, les deuxécoles d’ingénieurs Télécom Nancy et les Mines Nancy

5

Mars 2021 Numéro 8

proposent une formation spécifique en cybersécurité etun Mastère spécialisé en cybersécurité.

Enfin, l’armée a récemment mis en place « la réservecitoyenne de cyberdéfense ». Il s’agit d’une branche dela réserve citoyenne dédiée à la cybersécurité des sys-tèmes critiques. Ces bénévoles sont formés par des cher-cheurs du LORIA à l’aide de la plateforme de cybersécu-rité cyber-range. Cette plateforme est également utiliséeà Télécom Nancy.

Pouvez-vous rapidement nous présenter des avan-cées que vous avez faites dans un domaine donné ?

Cette année c’est la factorisation de grands entiersqui est à l’honneur car des chercheurs de l’équipe CA-

RAMBA ont réussi le tour de force de factoriser RSA-240 et RSA-250 et ce en quelques milliers d’annéescœur.

De plus cette année avec la mise en place d’un té-létravail très prononcé, la plate-forme de vote électro-nique Belenios, conçue dans les équipes PESTO et CA-RAMBA, a connu une explosion de son utilisation.

Effectivement, il s’agit de deux belles illustrationsde votre savoir faire. Merci Marine, bonne conti-nuation et à bientôt !

Article rédigé par Marine Minier (LORIA) et PatrickBas, Contact : marine.minier@loria.fr

Le LORIA.

Bonnes pratiques pourla visioAurélien Guerson (Télécom SudParis)

Dans ce contexte de pandémie où les échangess’effectuent malheureusement de plus en plus endistanciel, la Gazette a choisi d’interviewer Au-rélien Gueron, le responsable de la sécurité dessystèmes d’informations (RSSI) à Télécom SudPa-ris. Aurélien nous fait partager dans cet interviewson aventure liée à la mise en œuvre de solutionsde visio-conférence à grande échelle, ce processusayant commencé par la force des choses il y a main-tenant un an. Aurélien se qualifie lui même commeun touche-à-tout autodidacte, fidèle aux solutionsopen-source, et qui n’a pas peur de toucher aucode.

Bonjour Aurélien, tu as mis en place une plate-forme BigBlueButton (BBB pour les intimes) pourpermettre aux enseignants de l’école de donnerleurs cours à distance. Quels sont selon toi lesavantages de cette solution, notamment par rap-port à d’autres plate-formes ?

En préambule, voilà comment tout commence. J’ap-prends l’existence de BBB pour la première fois en

réunion de service. Il était question, de mémoire, detrouver des outils se rattachant à Moodle. Tout de suitemon esprit de curiosité me pousse à installer une ins-tance sur une machine de DEV. Je pense que cela n’estpas courant d’avoir un RSSI, qui gère les systèmes, lesréseaux, la téléphonie, le développement, et j’en passe.Ayant toutes ces casquettes, il était beaucoup plus facilepour moi d’être proactif.

J’ai vite compris que BBB n’allait pas êtresimple à prendre en main (voir https://docs.bigbluebutton.org/2.2/architecture.html).Mais bon, si cet outil devait voir le jour, il fallait creu-ser. Très vite je me rends compte que BBB est unecoquille vide sans un frontend. La plate-forme Moodledevait normalement faire le boulot, mais dans le cadrede mes tests, je n’allais pas monter un Moodle. Le RSSIque je suis pense tout de suite à l’adhérence d’un teloutil avec le premier confinement qui est instauré (vsZoom, Skype, Teams, Discord... ). Je joue très vitela carte d’un service proposé non pas à l’échelle duCampus, mais à celui de l’IMT. J’enfile donc ma cas-quette de webdesigner pour customiser BBB. Je finispar proposer la solution. Je me rapproche très vite duData Protection Officer (DPO) de l’IMT pour validertous les aspects RGPD (sur sol français, dans nos murs,accès restreints, protection des données personnelles,consentement, modération des contenus...). La solutionprend presque tout de suite lors des premiers amphi du

6

Mars 2021 Numéro 8

personnel. La question du dimensionnement est trèsimportant. On fait un premier amphi à 230 personnes,et ça tient !

Les avantages en quelques mots : facilité de miseen œuvre d’une solution open-source, malgré le nombrenon négligeable de technos derrière. La documentation,pour peu qu’on se donne la peine de lire et de cher-cher un peu, est très bien faite. La solution peut êtretotalement cloisonnée dans un réseau privé.

Bon maintenant, pourquoi pas Youtube ? Discord ?Zoom? Teams ? Pour contrer Youtube, un flux live surBBB a très vite vu le jour. Donc pas besoin d’aller voirailleurs. Pour Discord ? Est-ce vraiment fait pour ensei-gner ? Pour Zoom? (malgré l’achat massif de licencespar certaines entités, on ne m’enlèvera pas de la têtetous les contenus inappropriés qui ont circulé pendantdes réunions assez sensibles, le manque de sécurité del’outil, le partage des clés de chiffrement avec la Chine,le passage obligé des flux par les US... et j’en passe).Pour Teams ? Pas de bras, pas de chocolat : pas declient approprié, pas de « rendu » correct. Pour fairesimple, étant RSSI, il ne restait pas beaucoup de choixhormis un BBB en interne.

Du point de vue de la sécurité quelles mesures as-tu mises en œuvre pour améliorer la sécurité de laplateforme BBB?

J’ai très vite compris qu’il fallait s’abonner à toutce qui touchait à BBB sur github. Je tombe ainsi trèsrapidement sur des binaires permettant de faire tomberBBB... Je fais donc en sorte de me protéger en sensi-bilisant les utilisateurs de la plateforme (du moins aussibien que je pouvais), de protéger si possible les salons,d’éviter de laisser traîner les urls des salons sur Inter-net... La sécurité c’est 50 % de social et 50 % de tech-nique. Encore une fois, on ne peut pas tout bloquer.Après quelques erreurs et quelques salons sans micro,j’ai réussi à maîtriser les flux entrants en sortants.

J’en ai profité pour publier mon code pour l’inté-gration de Shibboleth dans Greenlight. J’ai égalementappris à utiliser BBB sans Docker, 50 % des issuesBBB sont liés aux conteneurs Docker, cherchez l’er-reur... Coté RGPD, il a fallu assez rapidement maîtriserles caméras et le son : le consentement était donc LAsolution. Encore une fois, je me suis chargé d’exprimerle besoin côté devs BBB. En quelques jours, c’était inté-gré de manière un peu forcé de ma part (sans annonce),mais au final, avec le recul, je sais que j’ai fait le bonchoix ! Très vite j’ai dû également me protéger des noschers amis les moteurs de recherche qui commençaientgentiment à indexer certaines salles... Encore une fois,un peu de veille et quelques heures plus tard, la solution

anti-référencement était en place. Aujourd’hui certainsaspects liés à la sécurité de BBB sont encore en coursde développement.

Aurais-tu un conseil pour les personnes qui souhai-teraient mettre en œuvre une plateforme similairedans leur établissement ?

Il faut se poser les bonnes questions surtout : Pourqui ? Quelle population ? Quels moyens d’authentifi-cation à disposition ? Combien ? Quand ? Avec quelsmoyens ? Humains tout d’abord, mais aussi machines.On ne peut décemment pas assurer la sécurité de toutesles instances que des E/C ont souhaité mettre en placedans leur coin. Penser à mettre très rapidement les di-recteurs d’établissements ou à défaut le DPO pour faireadhérer à la solution. Prévoir deux semaines de prise enmain complètes, un mois étant encore mieux.

Enfin, quels sont les points qui selon toi pourraientêtre améliorés dans BigBlueButton ou plus géné-ralement sur les solutions de visio-conférences ?

J’ai revu un peu ma position sur ce point. Doit-on parler de visio-conférence avec seulement des camé-ras, ou bien de web-conférence, qui s’apparente plus àun rassemblement de personnes souhaitant suivre uneconférence ? Le point noir de BBB c’est sa capacité àencaisser la charge. J’ai bon espoir de monter à 500+personnes dans un même salon au vu des modifica-tions effectuées ces dernières semaines dans le code ;prévoir tout de même, je pense, une machine physiqueen dur et pas un container pour ce type d’évènement.Le MENESR a décidé d’investir dans BBB pour une so-lution nationale. Je pense donc avoir fait le bon choixd’approfondir cette solution. Une certification ANSSIen vue ? Pour avoir essayé jitsi-meet qui semble plusadaptée pour une visio en petit comité, BBB reste au-jourd’hui une solution « abordable ». Si on combineZimbra, Moodle, rocket.chat, nextcloud, esup portail etBBB ; le tout avec une fédération d’identité en frontal,on se retrouve avec une solution open-source où toutesles API s’imbriquent les unes aux autres et on disposealors d’une infra pouvant débouter un Microsoft Teams,mais ce n’est qu’une piste de réflexion !

Merci Aurélien pour ce précieux retour d’expé-rience ! (vous pouvez retrouver la totalité de l’in-terview d’Aurélien, résumée pour répondre auxcontraintes de la Gazette, via le lien https: //gdr-securite. irisa. fr/ wp-content/ uploads/InterviewAurelienGuersonTSP. pdf ).Article rédigé par Aurélien Guerson, Olivier Levillain etPatrick Bas, Contact : aurelien.guerson@imtbs-tsp.eu

7

Mars 2021 Numéro 8

La plateforme BBB utilisée lors de la dernière édition de la conférence RESSI.

JobsIl y a de nombreux postes en sécuritéinformatique qui sont actuellement ouverts dansla communauté académique française. À toutesfins utiles, figure ci-dessous une liste d’annoncesparues sur le forum du GDR. Le terme« sécurité » n’apparaît pas systématiquementdans les titres, mais il est contenu dans les fichesde postes de toutes les annonces listées.

3 Stages, Laboratoire L3i (La Rochelle)Sujet 1 : Mise en oeuvre et évaluation expérimentaled’un système de gestion des ressources de calcul enbordure (Edge Computing) des réseaux 5G/6GContact : Yacine Ghamri-Doudane,yacine.ghamri@univ-lr.frSujet 2 : Mise en oeuvre et validation d’un systèmed’évaluation de mécanismes BlockchainContact : Mourad Rabah,mourad.rabah@univ-lr.fr, et YacineGhamri-Doudane, yacine.ghamri@univ-lr.frSujet 3 : Fouille de processus appliquée aux LearningAnalyticsContact : Ronan Champagnat,ronan.champagnat@univ-lr.fr

Professeur, Télécom SudParis (Evry)Sujet : information system securityContact : Maryline Laurent,Maryline.Laurent@telecom-sudparis.eu, et BadiiJouaber, Badii.Jouaber@telecom-sudparis.eu, etOlivier Levillain,Olivier.Levillain@telecom-sudparis.eu

Stage, Télécom SudParis (Evry)Sujet : Attaques proches du matériel : mise en défautd’un système de tolérance aux intrusionsContact : Jonathan Certes, jonathan.certes@irit.fr

Ingénieur de recherche, CEA (Grenoble)

Sujet : logiciel embarqué, cybersécurité, méthodesformelles.Contact : Damien Couroussé,damien.courousse@cea.fr

Thèse de doctorat, IETR (Rennes)Sujet : Analysis and optimisation of fault injection bypulsed laser in MOSFET components and operationalsafety studies Contact : Laurent Pichon,lpichon@univ-rennes1.fr, et Philippe Babilotte,philippe.babilotte@univ-rennes1.fr

Thèse de doctorat, IRISA (Rennes)Sujet : TANSIVTx : Time-Accurate NetworkSimulation Interconnecting VMs with HardwareVirtualization towards stealth analysis Contact :Martin Quinson, martin. quinson.fr, et LouisRilling, louis.rilling@irisa.fr

Thèse de doctorat, IETR (Rennes)Sujet : Study of side-channel vulnerabilities indeeplearning FPGA implementations of computer visionContact : Maria Méndez Real,maria.mendez@univ-nantes.fr

Équipe éditorialeDirecteurs éditoriaux :

• Patrick Bas, CRIStAL, CNRS• Annelie Heuser, IRISA, CNRS

Responsables de la production :• Solène Bernard, CRIStAL, CNRS• Céline Chevalier, CRED, Univ. Paris 2

Directeur de publication :• Gildas Avoine, IRISA, INSA Rennes

8