Graham Steel, chercheur à l’Inria, aurait pu être un hacker professionnel. Mais, en créant la société Cryptosense, il est tombé du côté lumineux de la force. Avec son outil Cryptosense Analyzer, la société est  capable de chercher et de débusquer avec méthode les failles de sécurité d’un système de cryptographie de données. ...

A l’origine du projet de Cryptosense, on trouve le programme de recherche Prosecco développé au sein de l’Inria et dédié à la mise au point de techniques d’analyse de la sûreté des logiciels de cryptographie. Plus précisément, Prosecco dédie ses travaux à l’analyse formelle de sécurité, c’est-à-dire à la vérification, via des modèles mathématiques non ambigus, de la robustesse des systèmes de cryptographie. « Il s’agit d'étudier méthodiquement l’ensemble des commandes d’un système de cryptographie et de trouver les combinaisons qui peuvent constituer une faille de sécurité », résume Graham Steel, le président de Cryptosense.

Grâce à une technologie d'ingénierie inverse, l'outil Cryptosense Analyzer extrait un modèle des systèmes de cryptographie à tester, notamment ceux basés sur des clés PKCS (Public Key Cryptographic Standards).

Ce travail est réalisé par une double voie, tout d'abord par des algorithmes d’ingénierie inverse des HSM (Hardware Security Module) testés, puis par une mise en oeuvre de méthodes formelles de vérification des modèles issus de cette ingénierie inverse (en partie brevetée), avec recherche de combinaisons potentiellement dangereuses en termes de sécurité. « Dans certains cas, notre outil peut même détecter des failles non connues, ce qui permet de mieux accompagner l’utilisateur durant les phases de configuration de son système de cryptographie, et ainsi le rendre plus sûr », précise Graham Steel.

Une aventure qui a démarré en 2010

L’aventure a débuté en 2010 lorsque Graham Steel, lors d’une conférence scientifique sur le sujet, a été contacté par un avionneur qui souhaitait, à la simple écoute de l'exposé, acheter le logiciel présenté ! « A l’époque, c’était un prototype, mais le premier contrat a été signé à ce moment-là et a été suivi, quelques mois plus tard, par un contrat avec une banque anglaise », raconte le jeune CEO de Cryptosense. La suite logique a donc été la création de la société en septembre 2013 par Graham Steel, accompagné de Riccardo Focardi, professeur à l’université de Venise et expert en méthodes formelles, et de Romain Bardou, ingénieur et architecte en chef de la solution qui a participé à son développement.

Graham Steel, chercheur issu d'un laboratoire de l'Inria, est le fondateur et le CEO de Cryptosense

La société désormais créée, l’outil logiciel est industrialisé et s’adresse à toutes les entreprises qui se soucient de la sécurité de leurs systèmes informatiques menacés de plus en plus fréquemment par des tentatives de piratage et d’espionnage industriel. Qu’il s’agisse de réseaux de distributeurs de billets dans les banques ou de systèmes de sauvegarde de données chiffrées, au sein des hôpitaux par exemple. Car, même si ces entreprises ont recours à des systèmes de cryptographie (qui vont de la protection des messages électroniques au cryptage des données sur un réseau), ce sont justement ces interfaces de sécurité qui font aujourd’hui l’objet d’attaques répétées. L’idée avec Cryptosense Analyzer est donc de vérifier la solidité des codes de cryptographie utilisés de manière rationnelle, méthodique et rapide, plutôt que de faire appel à des hackers professionnels pour tester la robustesse du système de cryptographie !

Hébergé au sein de l’incubateur Agoranov (installé boulevard Raspail à Paris), Cryptosense a bénéficié d’un financement du ministère de l’enseignement supérieur et de la recherche à hauteur de 250 000 euros, qui va permettre de recruter les premiers postes d’ingénieurs. Par la suite, la société souhaite trouver un investissement de même niveau pour développer la partie commerciale sur le marché européen. Car l’ambition de Cryptosense est forte. Dans les trois ans, la jeune société compte passer à un effectif de 20 personnes.