Professeur en sécurité informatique à l’Université de Namur, Florentin Rochet a fait de la cryptographie appliquée et des communications sécurisées son domaine d’expertise. Entre progression galopante de l’intelligence artificielle et solutions open source, il partage son analyse de la situation actuelle et livre ses perspectives pour l’avenir.
La cybersécurité, ou sécurité informatique, cherche à étudier les limites de l’informatique. Concrètement, lorsque l’on crée des systèmes informatiques ou des logiciels, on se rend compte à l’utilisation qu’ils présentent certaines limites qui peuvent être exploitées. On va donc chercher à en comprendre les causes fondamentales afin de rendre les prochaines générations de systèmes plus robustes et sécurisés. Le contexte très compétitif du marché actuel entre en conflit avec cette logique, car les grandes entreprises veulent développer leurs logiciels le plus vite possible et se démarquer de leurs concurrents, avec de très grands risques en matière de sécurité.
Le risque majeur est l’utilisation croissante de l’intelligence artificielle (IA) par les développeurs pour produire du code. Ce code produit par IA peut sembler à première vue de très bonne facture, mais ce n’est pas du tout le cas. On trouve énormément de vulnérabilités dans ce type de codes, qui sont très loin du niveau que peut atteindre un programmeur expérimenté. À titre de comparaison, la crise des subprimes qui a touché les États-Unis en 2007-2008 reposait sur la vente massive de prêts hypothécaires à risque et leur transformation en montages financiers complexes. Ce mécanisme a entraîné une défiance généralisée envers le système bancaire jusqu’à provoquer la crise financière mondiale que l’on a connue. C’est un peu le même principe qui se produit avec l’IA : l’abondance de codes générés par IA pourrait envahir les logiciels créés par les entreprises, avec le risque d’une incertitude croissante sur leur fiabilité. Les conséquences de cette situation sont difficiles à prédire, mais il y aura certainement un besoin marqué d’experts dans le futur pour auditer les logiciels. Or, ces personnes se font plutôt rares. Les jeunes informaticiens, et c’est compréhensible, baignent eux-mêmes dans l’IA. Malheureusement, des recherches récemment publiées tendent à montrer un impact négatif sur l’apprentissage. On peut faire l’hypothèse qu’elle impactera également les prochaines générations d’experts en réduisant leur nombre. Le monde académique et la formation ont donc un grand rôle à jouer pour être à la hauteur de la situation qui s’annonce.
L’émergence d’un narratif galvaudé autour du terme de « cybersécurité » peut aussi s’avérer dangereux. Sous couvert d’améliorer la sécurité de la population, les courants politiques actuels – notamment aux États-Unis, mais aussi en Europe – brandissent la cybersécurité comme étendard pour, en fait, faire de la surveillance de masse des citoyens. Cela s’inscrit dans le contexte d’érosion de la démocratie et des libertés fondamentales. La véritable sécurité informatique est celle qui protège l’ensemble des membres de la société sans discriminer : État, police, journalistes, entreprises, citoyens, défense, etc.
La forte dépendance de l’informatique à des solutions étrangères devrait également nous inquiéter. Notre société repose principalement sur une économie de services, qui dépendent eux-mêmes de solutions informatiques étrangères. Que se passe-t-il alors si on perd le contrôle de ces outils ?
Ce qui est curieux dans le cas de l’attaque du SPW, c’est le point d’entrée par lequel les attaquants sont passés. On sait généralement que les cybercriminels exploitent des vulnérabilités déjà connues pour entrer dans le système informatique. Or, les vulnérabilités dont se sont servis les cybercriminels dans cette attaque sont étudiées dans les cours de base de sécurité informatique à l’université. Ce cas pourrait être révélateur de la difficulté à faire évoluer un ensemble de logiciels au sein d’une institution et à maintenir de l’expertise interne. En effet, les appels à la consultance extérieure sont de plus en plus systématiques, ce qui pourrait être contre-productif pour le développement même de cette expertise interne si le transfert de connaissances n’a pas lieu. Évidemment, il s’agit d’une réalité complexe en termes financiers et humains pour les institutions, qu’il ne faut pas nier.
La recherche peut aider à fournir des choix supplémentaires et des alternatives plus sécurisées. Par exemple, des logiciels libres (Open Source), qui assurent une plus grande robustesse, mais qui impliquent, en contrepartie, une certaine maîtrise. Ces outils pèsent malheureusement moins lourd face à des solutions plus commerciales. Du côté de la formation, le défi consiste à éduquer les futurs informaticiens à ces enjeux pour les rendre capables de gérer et maintenir des logiciels Open Source. Avec l’automatisation de l’informatique, et c’est compréhensible, on constate un intérêt plus faible pour ce type de solutions davantage « do it yourself ».
Avec mon groupe de recherche, le Privacy and Security Lab, nous travaillons sur les communications anonymes et les communications sécurisées en général, avec une expertise en technologies de protection de la vie privée. Nous étudions notamment des technologies de communication qui permettent d’anonymiser les communications sur Internet. Ces outils, qui nous semblent plus transparents, à l’instar de Tor par exemple, sont toutefois moins performants et rapides, ce qui freine l’adhésion du grand public. Notre objectif est de rendre ces technologies accessibles à l’ensemble de la population en améliorant leur efficacité. Pour ce type de recherche, et l’émergence de nouveaux prototypes, nous visons à collaborer avec la Faculté de droit pour leur expertise en matière de protection de la vie privée. Nous travaillons également à une meilleure intégration et efficacité des protocoles de transport chiffrés dans les librairies de transport réseau, ce qui débouche concrètement sur, par exemple, des VPNs plus performants.
Florentin Rochet est ingénieur informatique, docteur en cryptographie appliquée (UCLouvain) et professeur adjoint à l'Université de Namur en sécurité informatique, cryptographie et confidentialité depuis 2022. Depuis son arrivée à l’UNamur, il développe le groupe de recherche Privacy and Security Lab (PS Lab), dont l’objectif est de mener des recherches dans le domaine des technologies de protection de la vie privée et des communications sécurisées.
Cet article est tiré de la rubrique "L'expert" du magazine Omalius #40 (Avril 2026).
