Serge Vaudenay

Serge Vaudenay, né le à Saint-Maur-des-Fossés, est un cryptologue français, directeur de la section des systèmes de communication au sein de l'École polytechnique fédérale de Lausanne[1].

Biographie

Serge Vaudenay est un ancien élève du professeur Robillard (lycée Champlain de Chennevières-sur-Marne) et de l'École normale supérieure de la rue d'Ulm (promotion 1989) et agrégé de mathématiques. Il a commencé sa thèse en 1991, sous la direction de Jacques Stern, et sur le thème de la sécurité des primitives cryptographiques (dans un contexte symétrique). Il obtient son doctorat en informatique à l'Université Paris 7 en 1995. Chercheur au CNRS jusqu'en 1999, année où il obtient son habilitation à diriger des recherches, il devient le directeur du Laboratoire de sécurité et de cryptographique (LASEC) à l'École polytechnique fédérale de Lausanne.

Auteur de nombreux articles de cryptanalyse et concepteur d'algorithmes de chiffrement dont FOX, il est plus connu pour son attaque sur le standard TLS/SSL qui a obligé les concepteurs du standard TLS à effectuer une mise à jour critique. Il a également découvert des faiblesses dans plusieurs algorithmes comme Blowfish et E0, le chiffrement utilisé par le protocole Bluetooth.

En décembre 2010, il publie, aux éditions Presses polytechniques et universitaires romandes, un ouvrage, intitulé: La Fracture Cryptographique[2].

Swisscovid

En , avec Martin Vuagnoux il publie une analyse critique de l'application de recherche de contacts SwissCovid et des cas de cyberattaques[3]. Les auteurs relèvent notamment le fait qu'elle repose fortement sur le système de notification d'exposition de Google et Apple qui est intégré aux systèmes d'exploitation Android et iOS, et dont le code source n'est pas publié[4]. Selon eux, cela remettrait en question le caractère open source de l'application, et ils notent que le collectif dp3t dont font partie les concepteurs de l'application a demandé à Google et Apple de publier leur code. Ils s'intéressent également aux failles de sécurité de l'application, relevant notamment qu'une tierce personne pourrait tracer les déplacements d'un téléphone utilisant l'application au moyen de senseurs bluetooth disséminés sur son chemin, par exemple dans un bâtiment[5]. Une autre attaque possible consisterait à copier des identifiants émis par des téléphones de personnes susceptibles d'être malades (par exemple dans un hôpital), et de reproduire ces identifiants pour recevoir une notification d'exposition à la Covid-19 et bénéficier illégitimement d'une quarantaine (congé payé, examen repoussé, etc.). Enfin, les auteurs critiquent la description officielle de l'application et de ses fonctionnalités ainsi que l'adéquation de ses bases légales avec son fonctionnement effectif[6].

Références
  1. « Changements au sommet - EPFL », sur actu.epfl.ch (consulté le )
  2. Serge Vaudenay, « La facture Cryptographique », sur www.epflpress.org, .
  3. Gabriel de Weck, Radio télévision suisse, « Risque de cyberattaques sur l'application de traçage Swisscovid », (consulté le ).
  4. Yannick Chavanne, « Quelles vulnérabilités a révélées l'analyse de Swisscovid? », sur www.ictjournal.ch,
  5. « Quelles vulnérabilités a révélées l'analyse de Swisscovid? », sur www.ictjournal.ch,
  6. (en) Serge Vaudenay et Martin Vuagnoux, « Analysis of SwissCovid », EPFL, , p. 30 (lire en ligne [PDF], consulté le ).

Voir aussi

Articles connexes

Liens externes
  • Portail de la cryptologie
  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.