Serge Vaudenay

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Serge Vaudenay, né le à Saint-Maur-des-Fossés, est un cryptologue français, directeur de la section des systèmes de communication au sein de l'École polytechnique fédérale de Lausanne.

Biographie[modifier | modifier le code]

Serge Vaudenay est un ancien élève du professeur Robillard (lycée Champlain de Chennevières-sur-Marne) et de l'École normale supérieure de la rue d'Ulm (promotion 1989) et agrégé de mathématiques. Il a commencé sa thèse en 1991, sous la direction de Jacques Stern, et sur le thème de la sécurité des primitives cryptographiques (dans un contexte symétrique). Il obtient son doctorat en informatique à l'Université Paris 7 en 1995. Chercheur au CNRS jusqu'en 1999, année où il obtient son habilitation à diriger des recherches, il devient le directeur du Laboratoire de sécurité et de cryptographique (LASEC) à l'École polytechnique fédérale de Lausanne.

Auteur de nombreux articles de cryptanalyse et concepteur d'algorithmes de chiffrement dont FOX, il est plus connu pour son attaque sur le standard TLS/SSL qui a obligé les concepteurs du standard TLS à effectuer une mise à jour critique. Il a également découvert des faiblesses dans plusieurs algorithmes comme Blowfish et E0, le chiffrement utilisé par le protocole Bluetooth.

Swisscovid[modifier | modifier le code]

En juin 2020, avec Martin Vuagnoux il publie une analyse critique de l'application de recherche de contacts SwissCovid et des cas de cyberattaques[1]. Les auteurs relèvent notamment le fait qu'elle repose fortement sur le système de notification d'exposition de Google et Apple qui est intégré aux systèmes d'exploitation Android et iOS, et dont le code source n'est pas publié[2]. Selon eux, cela remettrait en question le caractère open source de l'application, et ils notent que le collectif dp3t dont font partie les concepteurs de l'application a demandé à Google et Apple de publier leur code. Ils s'intéressent également aux failles de sécurité de l'application, relevant notamment qu'une tierce personne pourrait tracer les déplacements d'un téléphone utilisant l'application au moyen de senseurs bluetooth disséminés sur son chemin, par exemple dans un bâtiment[3]. Une autre attaque possible consisterait à copier des identifiants émis par des téléphones de personnes susceptibles d'être malades (par exemple dans un hôpital), et de reproduire ces identifiants pour recevoir une notification d'exposition à la Covid-19 et bénéficier illégitimement d'une quarantaine (congé payé, examen repoussé, etc.). Enfin, les auteurs critiquent la description officielle de l'application et de ses fonctionnalités ainsi que l'adéquation de ses bases légales avec son fonctionnement effectif[4].

Références[modifier | modifier le code]

  1. Gabriel de Weck, Radio télévision suisse, « Risque de cyberattaques sur l'application de traçage Swisscovid », (consulté le 17 juin 2020).
  2. Yannick Chavanne, « Quelles vulnérabilités a révélées l'analyse de Swisscovid? », sur www.ictjournal.ch,
  3. « Quelles vulnérabilités a révélées l'analyse de Swisscovid? », sur www.ictjournal.ch,
  4. (en) Serge Vaudenay et Martin Vuagnoux, « Analysis of SwissCovid », EPFL,‎ , p. 30 (lire en ligne [PDF], consulté le 12 juin 2020).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]