Rechercher

Judicaël est pentester et chercheur en informatique

Judicaël Courant a rejoint l’équipe Ethical Hacking d’Orange Cyberdefense depuis un an. Il consacre la moitié de son temps à la recherche.

D’où vient ta passion pour l’informatique ?

J’ai commencé à m’y intéresser au collège, au début des années 1980. J’avais un certain goût pour tout ce qui était technique, puis je suis tombé sur un ouvrage qui parlait des ordinateurs et de leur programmation. J’ai passé pas mal de temps chez des amis qui avaient des ordinateurs, ce qui m’a permis de commencer à programmer en langage BASIC. En 1986, à Noël, ma famille a acheté notre premier ordinateur : un TO7/70. Enfin, au début de ma prépa, mes parents m’ont offert un PC. La facture, imprimante comprise, avoisinait les 20 000 francs, ce qui représenterait 4600 euros aujourd’hui. J’ai programmé dessus en Pascal mais aussi un peu en C et C++. Après ma prépa, j’ai intégré l’École Normale Supérieure. À l’époque, je voulais faire de la recherche en mathématiques. Je ne voyais l’informatique que comme une technologie, certes passionnante, mais pas forcément très profonde. Heureusement, j’ai eu la chance d’avoir des enseignants passionnés et j’ai découvert qu’il s’agissait d’une science : non seulement on pouvait comprendre comment fonctionnaient les ordinateurs en suivant une démarche fondée sur la raison mais en plus l’informatique était beaucoup plus que cela, avait ses enjeux propres et n’était pas juste une discipline utilitaire pour d’autres. Cela m’a conduit finalement à passer d’une maîtrise de mathématiques à un DEA d’informatique.

En informatique, tu es allé jusqu’au doctorat. Pourquoi avoir poussé aussi loin ?

Je voulais faire de la recherche et pour cela, il fallait commencer par une thèse (qui donne le diplôme de doctorat).

Qu’est-ce qui t’a motivé à passer l’agrégation de mathématiques ?

Mes parents sont tous deux enseignants de mathématiques. J’ai évidemment été stimulé par les conversations qu’ils pouvaient avoir entre eux ainsi que par les différents livres de mathématiques sur lesquels je mettais la main. Une fois ma maîtrise obtenue, il était assez naturel que je passe l’agrégation de mathématiques, et j’ai profité de ma première année de thèse pour le faire.

Tu as commencé ta carrière en tant que maître de conférence. Que retiens-tu de cette expérience ?

Le travail d’enseignant-chercheur commence dès les années de thèse : c’est là qu’on commence non seulement à faire de la recherche mais aussi à enseigner. Cela a été une découverte. De l’enseignement, je connaissais davantage les mauvais côtés : mes parents pestant sur les erreurs de leurs élèves en corrigeant leurs copies le soir ou le week-end par exemple. J’ai découvert le plaisir et la richesse du rapport humain, notamment dans les moments difficiles, quand les étudiants ont besoin d’être encouragés et soutenus parce qu’ils sont en difficulté scolaire ou personnelle. J’ai aussi adoré les voir progresser et connaître la satisfaction de leur communiquer ce qui me passionne.

Tu as consacré une partie de tes recherches à la cryptographie. Qu’est-ce qui t’attire le plus dans ce domaine ?

L’idée de pouvoir échanger des messages secrets avec un ami, que seuls nous deux pouvons comprendre est évidemment quelque chose qui fait rêver dès l’enfance. Et je crois que ce sont ces rêves d’enfant qui m’ont attiré vers ce domaine aussi riche qu’exigeant ; j’ai commencé en étant persuadé que je connaissais déjà plein de choses en cryptographie… et j’en suis sorti avec la conviction que je ne savais pas grand-chose ! Un chercheur en cryptographie doit avoir au minimum de bonnes notions d’algèbre, de probabilités en mathématiques, ainsi qu’une bonne compréhension de la notion de classe de complexité en informatique.

Qu’est-ce que tu aimes dans la recherche ?

La recherche a un côté ludique et addictif. On se prend au jeu. Je pense que finalement, c’est assez proche de la philosophie d’un.e pentester : un.e expert.e qui effectue un test d’intrusion se donne un défi (rentrer dans un système, récupérer le maximum d’informations) mais ne sait pas, a priori, quelle est la démarche qui va fonctionner. L’objectif va s’affiner et évoluer an cours de la mission. C’est pareil en recherche : on se donne un objectif général et on essaie de voir comment le réaliser. Parfois, ce qu’on avait envisagé porte ses fruits… c’en est presque ennuyant. Parfois, il y a des obstacles inconnus qui mettent un peu de piment… voire sont totalement décourageants ! On se dit alors qu’on verra plus tard si quelque chose se débloque et on essaie d’explorer une autre piste en attendant. Parfois celles qu’on explore semblent toutes fermées, jusqu’à ce que tout d’un coup… eurêka ! On trouve le bon angle d’attaque et on l’exploite. Et évidemment, dans ce cas la satisfaction ressentie est à la hauteur de la difficulté !

Pendant plus de dix ans, tu as enseigné à des étudiants de classes préparatoires. Peux-tu nous raconter cette expérience ?

J’ai enseigné à des étudiant.e.s de classes prépas, en mathématiques et en informatique, d’une part à des étudiant.e.s de prépas bios (prépa BCPST) et d’autre part à des étudiant.e.s de « math sup ». Pour moi, le point fort de cette expérience, c’est le plaisir d’enseigner. C’est par exemple une étudiante de BCPST qui, après avoir réussi ses concours m’écrit : « Grâce à vous, j’ai découvert cette année que les mathématiques n’étaient pas qu’une matière utilitaire ». C’est un étudiant, qui, malgré tout son sérieux, n’arrivait pas à suivre le rythme et que nous avions invité à se réorienter en IUT et qui nous écrit six mois plus tard qu’il est premier de sa promo. Pour ce qui est des moins : les programmes de prépa évoluent peu d’une année sur l’autre. J’aime la nouveauté, j’ai donc nourri l’envie de changer au bout de quelques années. Par ailleurs, en informatique, le programme et les horaires n’étaient à mon avis pas assez ambitieux par rapport aux enjeux de l’informatique d’aujourd’hui (mais cela devrait s’améliorer un peu avec la réforme de 2021).

Aujourd’hui, tu es expert R&D chez Orange Cyberdefense. Quelles sont tes missions ?

Je travaille d’une part sur les missions classiques des hackers éthiques, principalement des tests d’intrusion externes, des audits de code, des audits d’architecture applicative et je donne des formations. Par ailleurs, un peu plus de la moitié de mon temps est consacré à la R&D.

Comment organises-tu ton temps entre tes missions et tes activités de recherche ?

Cela se fait en bonne intelligence avec mon manager en fonction des missions. Quand je ne suis pas en mission, je profite du temps que j’ai pour faire de la recherche. Généralement, une mission prend une semaine ou plus, en continu. Le temps de R&D est donc logiquement aussi de l’ordre d’une ou quelques semaines successives.

Travailles-tu en équipe ?

Même si c’est un peu compliqué avec la situation sanitaire, je travaille en équipe avec mes collègues pentesters, de façon formelle (lorsqu’on est plusieurs sur une même mission), ou de façon informelle : lors d’une mission où l’on est seul, on peut demander des tuyaux à ses collègues. Quand je dis « on demande », c’est surtout moi qui demande, vu que je ne suis que depuis un an chez Orange Cyberdefense, il me reste encore beaucoup à découvrir. Pour ce qui est de la partie recherche, mon travail est plus solitaire au quotidien mais j’ai des échanges avec les membres de mon équipe à Lyon qui travaillent sur des problématiques de type R&D, tout comme avec les membres d’autres équipes Ethical Hacking en France… et j’espère bientôt à l’international.

Aujourd’hui, qu’est-ce que tu aimes le plus dans ton travail ?

J’aime découvrir de nouvelles choses (chaque jour ou presque), la bonne entente et les échanges avec les collègues et la sensation d’apporter ma pierre à l’édifice pour un monde plus sûr.

En dehors de tes activités professionnelles, tu fais partie de deux associations. Notamment l’Association Lyonnaise pour le Développement de l’Informatique Libre. Qu’est-ce que l’informatique libre ?

C’est l’informatique qui promeut des logiciels libres, c’est-à-dire des logiciels qui apportent quatre droits essentiels : faire ce qu’on veut avec le programme, étudier comment il est fait (en particulier en accédant à son code source) et l’adapter à ses besoins, redistribuer des copies du programme, l’améliorer et distribuer ses améliorations pour en faire bénéficier le plus grand monde.

Quel peut être l’impact de l’informatique libre sur la cybersécurité ?

En cybersécurité, une bonne architecture de sécurité doit être suffisamment solide pour résister à un attaquant, même s’il connaît tous les mécanismes techniques qui sont mis en œuvre. Autrement dit, la sécurité doit reposer sur le secret des mots de passe et des clés cryptographiques utilisées et non pas sur le secret de la conception ou de l’implémentation du système. C’est un principe fondamental de cryptographie, identifié dès le XIXe, qui porte désormais le nom de celui qui l’a énoncé : le principe de Kerckoffs.

Les logiciels libres sont particulièrement intéressants en ce sens puisque ce sont des logiciels dont le code source est accessible. Cela ne garantit évidemment pas qu’ils sont sécurisés mais permet de vérifier s’ils le sont. A contrario, certaines entreprises sont bloquées par un de leur prestataire, qui refuse de les laisser auditer le code de logiciels qui sont pourtant critiques pour leur activité.

Quels conseils donnerais-tu à quelqu’un qui souhaiterait faire le même métier que toi ?

La première chose, c’est d’être curieux.se et passionné.e ! Ensuite, je conseille à toutes celles et ceux qui veulent travailler en informatique d’acquérir des bases solides en mathématiques et en informatique théorique : même si ni l’un ni l’autre ne sont indispensables, une formation théorique donne des outils extrêmement puissants pour comprendre rapidement un nouveau domaine et surtout pour aborder les problèmes de demain. Et dans tous les cas, lire, lire beaucoup pour découvrir quelles questions les autres se posent et comment ils y répondent !

Si vous souhaitez en savoir plus sur le métier de pentester, c’est ici.
Pour rejoindre nos équipes Ethical Hacking et/ou spécialisées en R&D, consultez nos offres d’emploi 
en cliquant sur ce lien.