Interview de Ninon Eyrolles ("Obfuscation, connaissez votre ennemi")

RMLL : Bonjour Ninon, tout d’abord merci de venir aux RMLL pour ta
présentation sur l’obfuscation. Pourrais tu te présenter tout
d’abord en quelques mots ?

Ninon Eyrolles : J’ai terminé mes études à Bordeaux en Master de
Cryptologie et Sécurité Informatique l’année dernière, et je suis à
Quarkslab depuis. Actuellement, j’entame une thèse sur l’obfuscation
en partenariat avec l’Université de Versailles.

RMLL : Peux tu nous dire ce qui t’a amené à travailler dans le domaine
de la sécurité informatique ? Ce domaine est-il une passion d’enfance,
une découverte plus tardive ? La dimension mathématique présente dans
ton cursus (Master crypto) est elle prépondérante dans ton orientation ou
l’informatique était l’élément central qui a guidé tes choix tout au
long de ton cursus dans le supérieur ?

N.E. : Au départ, je voulais faire des mathématiques. Au fur et à
mesure de mes études, je me suis rendue compte que les aspects qui
m’intéressaient dans les mathématiques étaient ceux liés à la crypto,
j’ai donc continué dans cette branche. C’est là que j’ai commencé à
avoir un aperçu de la sécurité informatique, et j’ai trouvé ça
vraiment intéressant. Ce que j’apprécie dans la sécurité informatique,
c’est la variété des compétences possibles. Il y en a pour tous les
goûts : on peut mélanger la pratique et la théorie, les mathématiques
et l’informatique... Il y a toujours des choses à apprendre, et c’est
ce qui m’a plu.

RMLL : Tu travailles depuis l’an passé chez Quarkslab. En début de
carrière comme tu l’es, quels étaient tes critères pour choisir ta
première expérience (grand groupe, petite structure, recherche,
opérationnel ...) ?

N.E. : Lors de ma recherche de stage, je n’avais pas vraiment d’autre
critère que de trouver un sujet intéressant. Ce qui était intéressant
chez Quarkslab, c’est que le profil recherché était plutôt
mathématique, et le sujet de stage assez ambitieux. Ainsi j’ai pu
apprendre beaucoup de choses sur la sécurité informatique tout en
mettant mes études à profit. De plus, Quarkslab semblait offrir une
bonne première expérience par son statut d’entreprise assez jeune, et
donc en pleine évolution.

RMLL : Quels sont tes principaux domaines d’intérêts dans la sécurité
informatique ? Quels sont les sujets vers lesquels tu aimerais
t’orienter sur les 5 prochaines années ?

N.E. : Pour l’instant j’ai surtout touché à deux domaines : la
comparaison de binaires pendant mon stage, et maintenant l’obfuscation
avec la thèse. L’obfuscation est un sujet vraiment passionnant, il y a
beaucoup d’aspects très divers (et parfois très mathématiques ;)) et
c’est un domaine où les besoins sont croissants. On y retrouve aussi
l’aspect attaque / défense inhérent à la sécurité informatique, ce qui
permet d’étudier les techniques de reverse et d’analyse de programmes
en parallèle. Rien qu’avec ces deux aspects, il y a de quoi s’occuper
pendant un bout de temps sur l’obfuscation. Dans un futur plus ou
moins proche, j’aimerais aussi prendre le temps de découvrir un peu
plus les aspects pratiques de la crypto, puisque dans mes études j’ai
vu beaucoup de théorie mais pas toujours beaucoup de pratique...

RMLL : Côté Logiciel Libre, quels sont les outils Libres que tu
utilises le plus souvent ? Ton OS de prédilection ? As tu des projets
sur lesquels tu contribues régulièrement ?

N.E. : Mon OS de prédilection est GNU/Linux, et j’utilise évidemment
pas mal de logiciels libres au quotidien : firefox, thunderbird,
emacs, vlc... Et évidemment Python, puisque c’est ce dont je parlerai
aux RMLL ! En revanche, n’étant pas une développeuse dans l’âme, je ne
participe à aucun projet pour le moment ; mais l’idée me plairait
bien.

RMLL : As tu un avis sur la sécurité des Logiciels Libres vs celle des
logiciels privateurs ? Sur l’importance d’avoir des outils Libres pour
faire de la sécurité ?

N.E. : Je pense qu’on a affaire ici à deux approches très différentes
pour chercher des vulnérabilités. Au niveau des logiciels libres, on
part sur de l’analyse de code source : la sécurité repose donc sur le
fait que certaines personnes lisent et auditent le code source. Le
problème qui en découle est que l’on part parfois du principe qu’un
logiciel libre est sécurisé car quelqu’un a forcément lu le code. Or
ce n’est pas toujours vrai (on a eu assez d’exemples récemment...), et
il faut toujours se poser la question de savoir qui a pu relire le
code du logiciel qu’on utilise. Pour ce qui est des logiciels
privateurs, l’approche est évidemment tout autre : il faut faire en
quelque sorte "confiance" aux auteurs du logiciel sur le point de la
sécurité. Le bon côté est que c’est un peu la raison d’être du reverse
 :)

RMLL : La sécurité, comme l’informatique en général, est un domaine
encore assez masculin. Penses tu qu’elle est une voie d’avenir pour
les jeunes femmes qui hésitent à se lancer dans ce cursus ? Que
pourrais tu leur dire pour les convaincre (ou pas !) de se lancer ? Un
programme comme l’OPW ( https://wiki.gnome.org/OutreachProgramForWomen ) dont voici le feedback de Sarah Sharp (présente aux RMLL 2010) en tant que
mentor ( http://sarah.thesharps.us/2013/05/23/%EF%BB%BF%EF%BB%BFopw-update/ ) te semble-t-il être une bonne idée pour permettre une plus grande
implication des femmes dans le développement des projets libres ou pas
du tout ?

N.E. : Il est clair que la sécurité informatique est une voie
d’avenir, je ne vois pas pourquoi les femmes n’y auraient pas un rôle
à jouer. Un milieu majoritairement masculin n’est pas un facteur
bloquant ; personnellement cela ne me pose aucun problème au
quotidien. D’ailleurs, c’est amusant qu’on ne demande jamais aux
hommes ce qu’ils pensent de la question ;) Pour ce qui est des
initiatives visant à favoriser l’implication des femmes dans
l’informatique, je pense que les intentions sont louables, mais que
le problème se situe bien plus en amont.

RMLL : Un dernier point : qu’attends tu de ta présentation aux RMLL et
de ta venue en général aux RMLL ?

N. E. : J’espère que ma présentation suscitera des idées et des
remarques, c’est toujours intéressant d’avoir des nouveaux regards sur
un sujet. De manière générale, j’espère avoir des discussions
intéressantes et apprendre des tas de choses !

RMLL : Merci beaucoup Ninon et rendez vous le Mardi 8 Juillet à 14h

Interview réalisée par email en Juin 2014 par Christophe Brocas, co-responsable du thème Sécurité. Traduction en anglais par Philippe Teuwen, co-responsable du thème Sécurité, et Ninon Eyrolles.

Voir en ligne : Conférence de Ninon Eyrolles @ 2014 RMLL : "Obfuscation, know your ennemy"

amarok apache archlinux arduino bitcoin blender creativecommons cernohl debian chamilo drupal elphel eZ Publish fedoraproject firefox gentoo gimp gnome gnu freebsd freeguppy gnuhealth haiku imagemagick inkscape jabber jenkins joomla kde knoppix lea-linux libreoffice linux mageia mandriva moodle mozilla openarena openbsd Open Street Map opensuse perl php pidgin plone postgresql python ruby rudder scribus spip thunderbird tomcat tryton typo3 ubuntu vlc wikipedia wordpress xfce xonotic