Interview de Ninon Eyrolles ("Obfuscation, connaissez votre ennemi") RMLL : Bonjour Ninon, tout d’abord merci de venir aux RMLL pour ta présentation sur l’obfuscation. Pourrais tu te présenter tout d’abord en quelques mots ? Ninon Eyrolles : J’ai terminé mes études à Bordeaux en Master de Cryptologie et Sécurité Informatique l’année dernière, et je suis à Quarkslab depuis. Actuellement, j’entame une thèse sur l’obfuscation en partenariat avec l’Université de Versailles. RMLL : Peux tu nous dire ce qui t’a amené à travailler dans le domaine de la sécurité informatique ? Ce domaine est-il une passion d’enfance, une découverte plus tardive ? La dimension mathématique présente dans ton cursus (Master crypto) est elle prépondérante dans ton orientation ou l’informatique était l’élément central qui a guidé tes choix tout au long de ton cursus dans le supérieur ? N.E. : Au départ, je voulais faire des mathématiques. Au fur et à mesure de mes études, je me suis rendue compte que les aspects qui m’intéressaient dans les mathématiques étaient ceux liés à la crypto, j’ai donc continué dans cette branche. C’est là que j’ai commencé à avoir un aperçu de la sécurité informatique, et j’ai trouvé ça vraiment intéressant. Ce que j’apprécie dans la sécurité informatique, c’est la variété des compétences possibles. Il y en a pour tous les goûts : on peut mélanger la pratique et la théorie, les mathématiques et l’informatique... Il y a toujours des choses à apprendre, et c’est ce qui m’a plu. RMLL : Tu travailles depuis l’an passé chez Quarkslab. En début de carrière comme tu l’es, quels étaient tes critères pour choisir ta première expérience (grand groupe, petite structure, recherche, opérationnel ...) ? N.E. : Lors de ma recherche de stage, je n’avais pas vraiment d’autre critère que de trouver un sujet intéressant. Ce qui était intéressant chez Quarkslab, c’est que le profil recherché était plutôt mathématique, et le sujet de stage assez ambitieux. Ainsi j’ai pu apprendre beaucoup de choses sur la sécurité informatique tout en mettant mes études à profit. De plus, Quarkslab semblait offrir une bonne première expérience par son statut d’entreprise assez jeune, et donc en pleine évolution. RMLL : Quels sont tes principaux domaines d’intérêts dans la sécurité informatique ? Quels sont les sujets vers lesquels tu aimerais t’orienter sur les 5 prochaines années ? N.E. : Pour l’instant j’ai surtout touché à deux domaines : la comparaison de binaires pendant mon stage, et maintenant l’obfuscation avec la thèse. L’obfuscation est un sujet vraiment passionnant, il y a beaucoup d’aspects très divers (et parfois très mathématiques ;)) et c’est un domaine où les besoins sont croissants. On y retrouve aussi l’aspect attaque / défense inhérent à la sécurité informatique, ce qui permet d’étudier les techniques de reverse et d’analyse de programmes en parallèle. Rien qu’avec ces deux aspects, il y a de quoi s’occuper pendant un bout de temps sur l’obfuscation. Dans un futur plus ou moins proche, j’aimerais aussi prendre le temps de découvrir un peu plus les aspects pratiques de la crypto, puisque dans mes études j’ai vu beaucoup de théorie mais pas toujours beaucoup de pratique... RMLL : Côté Logiciel Libre, quels sont les outils Libres que tu utilises le plus souvent ? Ton OS de prédilection ? As tu des projets sur lesquels tu contribues régulièrement ? N.E. : Mon OS de prédilection est GNU/Linux, et j’utilise évidemment pas mal de logiciels libres au quotidien : firefox, thunderbird, emacs, vlc... Et évidemment Python, puisque c’est ce dont je parlerai aux RMLL ! En revanche, n’étant pas une développeuse dans l’âme, je ne participe à aucun projet pour le moment ; mais l’idée me plairait bien. RMLL : As tu un avis sur la sécurité des Logiciels Libres vs celle des logiciels privateurs ? Sur l’importance d’avoir des outils Libres pour faire de la sécurité ? N.E. : Je pense qu’on a affaire ici à deux approches très différentes pour chercher des vulnérabilités. Au niveau des logiciels libres, on part sur de l’analyse de code source : la sécurité repose donc sur le fait que certaines personnes lisent et auditent le code source. Le problème qui en découle est que l’on part parfois du principe qu’un logiciel libre est sécurisé car quelqu’un a forcément lu le code. Or ce n’est pas toujours vrai (on a eu assez d’exemples récemment...), et il faut toujours se poser la question de savoir qui a pu relire le code du logiciel qu’on utilise. Pour ce qui est des logiciels privateurs, l’approche est évidemment tout autre : il faut faire en quelque sorte "confiance" aux auteurs du logiciel sur le point de la sécurité. Le bon côté est que c’est un peu la raison d’être du reverse :) RMLL : La sécurité, comme l’informatique en général, est un domaine encore assez masculin. Penses tu qu’elle est une voie d’avenir pour les jeunes femmes qui hésitent à se lancer dans ce cursus ? Que pourrais tu leur dire pour les convaincre (ou pas !) de se lancer ? Un programme comme l’OPW ( https://wiki.gnome.org/OutreachProgramForWomen ) dont voici le feedback de Sarah Sharp (présente aux RMLL 2010) en tant que mentor ( http://sarah.thesharps.us/2013/05/23/%EF%BB%BF%EF%BB%BFopw-update/ ) te semble-t-il être une bonne idée pour permettre une plus grande implication des femmes dans le développement des projets libres ou pas du tout ? N.E. : Il est clair que la sécurité informatique est une voie d’avenir, je ne vois pas pourquoi les femmes n’y auraient pas un rôle à jouer. Un milieu majoritairement masculin n’est pas un facteur bloquant ; personnellement cela ne me pose aucun problème au quotidien. D’ailleurs, c’est amusant qu’on ne demande jamais aux hommes ce qu’ils pensent de la question ;) Pour ce qui est des initiatives visant à favoriser l’implication des femmes dans l’informatique, je pense que les intentions sont louables, mais que le problème se situe bien plus en amont. RMLL : Un dernier point : qu’attends tu de ta présentation aux RMLL et de ta venue en général aux RMLL ? N. E. : J’espère que ma présentation suscitera des idées et des remarques, c’est toujours intéressant d’avoir des nouveaux regards sur un sujet. De manière générale, j’espère avoir des discussions intéressantes et apprendre des tas de choses ! RMLL : Merci beaucoup Ninon et rendez vous le Mardi 8 Juillet à 14h Interview réalisée par email en Juin 2014 par Christophe Brocas, co-responsable du thème Sécurité. Traduction en anglais par Philippe Teuwen, co-responsable du thème Sécurité, et Ninon Eyrolles.