«Je souhaite travailler sur le prochain défi de sécurité!»

«Saviez-vous que Google Chrome et son écosystème représentaient environ 100 millions de lignes de code, interroge Mathias Payer, responsable du Laboratoire HexHive de la Faculté informatique et communications de l’EPFL, dont la recherche porte sur l’amélioration de la sécurité des logiciels et des systèmes.

«Si vous imprimez ce code source, vous obtiendrez une pile de feuilles A4 d’une hauteur de 400 mètres. Environ 50 à 80 mètres de cette pile complexe sont modifiés chaque année. Imaginez que vous devez rechercher un bug sur une ligne de code sur une seule feuille de papier de cette pile imposante. C’est une tâche insensée!»

Mathias Payer prend cet exemple pour expliquer pourquoi la sécurité demeure aussi importante que jamais. Il y a quelques dizaines d’années, des attaques de faible envergure étaient menées par des amateurs dans leur sous-sol. Selon lui, les attaques relèvent désormais d’une industrie mieux organisée. Il faut donc constamment mettre au point des technologies pour protéger nos systèmes contre les attaques ciblées et à grande échelle menées par des adversaires de plus en plus sophistiqués.

Au début de sa carrière, Mathias Payer travaillait sur les atténuations, c’est-à-dire des contrôles d’intégrité supplémentaires pour détecter l’exploitation active des vulnérabilités qui sont ajoutées pendant la compilation de code. Il décrit ces atténuations comme le paiement d’une police d’assurance.

«Vous déboursez une petite somme d’argent pour une police. En général, votre système est à peu près protégé, mais c’est toujours un compromis entre la somme que vous êtes prêt à payer et le risque auquel vous vous exposez. Certaines des atténuations sur lesquelles j’ai travaillé sont désormais des normes communes et largement déployées dans l’industrie. C’était un sujet sympa, mais nous avons laissé aux Google, Apple et Microsoft du monde entier le soin de les déployer dans leurs logiciels.», explique-t-il.

Son laboratoire travaille maintenant sur des techniques permettant d’aider les développeuses et développeurs à trouver le plus de bugs possible dans leur code avant la livraison du programme à une cliente ou un client. Ces outils testeront automatiquement le code pour rechercher et réparer les vulnérabilités dans les systèmes ultracomplexes d’aujourd’hui. Cette recherche a été un succès et, comme pour les atténuations, Mathias Payer s’attend à ce que les résultats soient repris par l’industrie pour donner de nouveaux moyens aux développeuses et développeurs.

Pour l’avenir, il se réjouit de la recherche sur la compartimentation, qui, selon lui, sera la méthode utilisée par les développeuses et développeurs pour trouver et protéger les systèmes contre les bugs dans dix ans.

«Prenez Google Chrome, avec ses 100 millions de lignes de code. La question qu’on se pose maintenant c’est de savoir comment nous pouvons fractionner ce grand écosystème complexe en plus petits éléments. De la même manière que les constructions en Lego, le code complexe n’est pas seulement constitué de lignes de code mais aussi de nombreux éléments. Plutôt que de sécuriser l’ensemble du code, ce qui est impossible, nous protégerions ces éléments individuels et veillerions à ce que, en cas de bug dans un élément, les autres éléments ne soient pas compromis. Je pense que c’est un sujet de recherche très intéressant», explique Mathias Payer.

Il est également extrêmement fier de la grande communauté de hackers de l’EPFL et de son équipe Capture the Flag, polygl0ts. Ses membres organisent l’un des plus récents concours de la compétition mondiale Capture the Flag, LakeCTF, au cours duquel les équipes font de l’ingénierie inverse, décryptent et piratent des systèmes informatiques pour capturer des drapeaux (de petits jetons de données qui prouvent qu’une équipe a résolu un défi) et remporter des points. Cela permet aux étudiantes et étudiants d’apprendre tous les aspects de la cybersécurité et d’acquérir des compétences pratiques immédiatement exploitables dans le monde réel.

«Nous avons une équipe extraordinaire composée d’étudiantes et d’étudiants de premier cycle et de master, ainsi que de doctorantes et doctorants qui participent à des événements comme les Jeux olympiques des hackers au DEFCON à Las Vegas et qui travaillent ensemble sur ces défis amusants. Je suis extrêmement fier que cette équipe représente l’EPFL. Je suis impatient d’aborder les dix prochaines années de recherche passionnante et de défis en matière de cybersécurité.»

Mathias Payer rejoint onze autres professeurs de la faculté IC qui ont été nommés membres de l’ACM.