[LUM#17] Ninjalab, la cryptanalyse étoilée

C’est une guerre sans merci où le bien et le mal s’affrontent à grand coup d’algorithmes cryptés pour le contrôle des secrets les mieux gardés. Depuis 2017, Victor Lomné et Thomas Roche ont choisi de mettre leurs forces au service des entreprises et de la recherche en créant la start-up NinjaLab. Leur arme : la cryptanalyse.

Du japonais -nin- pour furtif et -ja- pour spécialiste, le ninja évoque immanquablement une silhouette agile et discrète missionnée pour se glisser dans n’importe quelle forteresse en se jouant des systèmes de sécurité. Transformez cette forteresse en une muraille d’algorithmes dressée pour protéger vos secrets et ces combattants deviennent… des cryptanalystes ! « La cryptologie est la science des secrets, confie Victor Lomné, co-fondateur de NinjaLab et spécialiste de micro-électronique. Dans cette science vous avez des cryptographes qui inventent des algorithmes destinés à protéger ces secrets et des cryptanalystes dont l’objectif est de casser ces algorithmes. »

La meilleure défense…

Ces algorithmes vous les trouverez partout à commencer dans vos poches : cartes bancaires, passeports, smartphones… Ils sont ce qu’on appelle des systèmes embarqués. Leur faiblesse ? La vulnérabilité au vol. « Il est facile de subtiliser ces objets pour les soumettre à des techniques d’attaque, il est donc impératif qu’ils soient extrêmement bien sécurisés », explique Thomas Roche, mathématicien informaticien et deuxième sensei du duo NinjaLab. Et puisque la meilleure défense reste l’attaque, les concepteurs de produits font appel à… des cryptanalystes pour tester leurs systèmes de sécurité. « Notre spécialité à nous c’est d’inventer de nouvelles attaques. C’est notre domaine d’innovation » annonce Victor Lomné. « Les concepteurs viennent chercher chez nous une expertise qu’ils ne trouveront par ailleurs » poursuit Thomas Roche.

Gagner la liberté

Héritier d’un écosystème français inventeur de la carte à puce, c’est dans le département « Sécurité matérielle » de la prestigieuse ANSSI, l’agence nationale de la sécurité des systèmes d’information, que le duo fait connaissance. Après quelques années au service de l’État, Victor Lomné repart au Laboratoire d’informatique, de robotique et de microélectronique de l’Université de Montpellier (Lirmm)* où il a réalisé sa thèse, tandis que le second craque pour la marque à la pomme. « Puis en 2017 il y a eu un alignement des planètes. Thomas s’installait à Montpellier au moment où je voulais tenter l’aventure entrepreneuriale pour gagner la liberté qui m’avait manqué à l’ANSSI » raconte Victor Lomné. NinjaLab voit le jour et s’installe sur le campus Saint-Priest. « On se sent plus proche d’un atelier d’artisan que d’une start-up, alors l’environnement du Lirmm nous convient bien » s’amuse Thomas Roche.

Ninjas blancs

Une vie de geek entrepreneurs ponctuée « de traversées du désert et de moments d’adrénaline, lorsqu’enfin on trouve la faille ». Et quand les clients leur en laissent le temps, c’est avec plaisir que les deux ninjas revêtent le costume des white hat hackers, ces hackers éthiques qui sondent les faiblesses des nouveaux produits mis sur le marché, non pour nuire, mais pour avertir utilisateurs et concepteurs. « On appelle cela du responsible disclosure, précise Victor Lomné, c’est notre activité de recherche, quand on fait cela notre objectif c’est aussi de publier. »

En 2021 c’est à Google que NinjaLab décochait son étoile la plus acérée en trouvant une vulnérabilité dans la clé de sécurité Titan (A side journey to Titan). Une belle vitrine pour l’entreprise qui a vu son carnet de commande exploser et en a profité pour recruter une thésarde mais sans perdre de vue l’essentiel. « Grossir davantage impliquerait plus de verticalité, plus d’administratif, souligne Thomas Roche. Tant que la formule fonctionne et qu’on s’amuse : on reste comme ça ! » Sagesse de ninja…

Retrouvez les podcasts de l’UM désormais disponibles sur votre plateforme favorite (Spotify, Deezer, Apple podcasts, Amazon Music…).


*Lirmm (UM, CNRS, INRIA, UPVD, UPVM)