L’EFRITS a une position particulière en cybersécurité : nous estimons que la sécurité ne devrait pas se reposer uniquement sur des développeurs et développeuses s’appuyant sur la bonne application d’une bibliothèque. Il faut que nos étudiants et étudiantes comprennent ce qu’il y a derrière — que ce soit pour pouvoir un jour améliorer, remplacer… ou même simplement varier.

On enseigne donc le chiffrement dès la première année. Pas noyant les étudiants sous AES ou RSA — pas tout de suite — mais en leur faisant d’abord fabriquer eux-mêmes leurs outils. Pendant le deuxième trimestre, ils réalisent deux projets et une épreuve technique tourné strictement autour du chiffrement. Et si le code produit ne respecte pas les standards de l’industrie du jour, c’est parce que l’objectif est ailleurs.

Cybersécurité : Trois activités pour mettre le pied à l’étrier

Colle : En binôme, pendant quatre heures, ils doivent inventer un algorithme de digestion. Sans cours préalable. L’objectif n’est pas de produire un bon algorithme immédiatement, mais de confronter l’intuition à la réalité : collisions, structure interne, réversibilité. Ils bricolent, testent, comparent, et surtout, découvrent par eux-mêmes ce qui tient et tout ce qui casse.

Premier projet : Mise en œuvre de chiffrements classiques (César, Vigenère, XOR, etc.), avec réflexion sur le rôle de la clé, l’importance de son imprévisibilité, le danger de la redondance. Simple et fondamental.

Deuxième projet : Générer un masque de chiffrement à partir d’une fractale. Ici, on introduit des idées de diffusion, de non-répétition, et de transformation de données selon une logique plus organique. L’objectif n’est pas de créer un algorithme inviolable, mais d’introduire concrètement les questions de diffusion, de période, de non-répétition. Penser en termes de flux pseudo-aléatoire, c’est déjà apprendre à modéliser une résistance minimale face à l’analyse. Si nous commençons avec Mandelbrot, nous encourageons les élèves à en expérimenter et imaginer d’autres.

Ce que l’on vise : casser la monotonie des systèmes industriels

Pourquoi ?

Parce qu’énormément de systèmes chiffrent de la même manière. L’uniformité rend les systèmes plus vulnérables aux attaques de grande échelle. Une bibliothèque compromise, une chaîne d’intégration sabotée — et tout tombe d’un coup. Pas besoin que le concept soit imparfait : une défaillance de l’implémentation suffit et qu’à l’horizon se profile, via l’informatique quantique, un moyen de casser les clefs actuellement utilisée.

Il suffit d’un point d’entrée : une dépendance vulnérable, une chaîne d’intégration compromise. Le cas de XZ l’a montré récemment. On parle d’un composant bas niveau saboté en amont par un contributeur patient. S’il n’avait pas été repéré à temps, il aurait suffi à faire tomber des milliers de serveurs.

Une réponse possible que nous percevons est une forme précise de robustesse. Pas au sens “crypto mathématiquement sûre”, mais au sens biologique : variée, imprévisible, inutilement coûteuse à attaquer. Ce qu’on cherche, c’est rendre une exploitation automatique à grande échelle plus difficile.

Le chiffrement exotique comme tactique défensive secondaire

Dans cette optique, nous introduisons une logique de défense additionnelle : celle de la singularité. Si un système est déjà chiffré par un tunnel comme SSH ou TLS, rien n’interdit d’y ajouter une couche inhabituelle, même modeste.

Un schéma simple n’est pas là pour résister à l’analyse humaine. Mais il ralentira ou empêchera les attaques automatiques industrialisées. Il introduit de l’imprévisibilité, et c’est parfois tout ce qu’il faut pour ne pas faire partie des 100 000 premières cibles.

Ce n’est pas un blindage mais une sorte de brouillage local qui change la forme des données dans un espace déjà protégé. Et ça suffit, parfois, à créer un seuil de dissuasion.

Une logique de défense systémique : cryptodiversité

Nous pourrions appeler cela cryptodiversité : la capacité d’un écosystème à ne pas tout faire reposer sur les mêmes points de vulnérabilité.

Il ne s’agit pas de “faire n’importe quoi”, mais d’introduire des singularités défensives pensées, contenues et adaptées au contexte et dans un cadre déjà protégé (un tunnel SSH par exemple). Des singularités qui obligent un attaquant à sortir des outils standards, à perdre l’effet de levier industriel, à faire un travail manuel qui sera nécessairement lent et coûteux.

C’est aussi une manière de désacraliser la sécurité : montrer qu’elle n’est pas une question de “utilisez ce module et tout ira bien”, mais une question de comprendre ce qu’on veut empêcher, et à qui on veut résister.

Cryptodiversité = robustesse

En biologie, un écosystème résiste aux infections aussi parce qu’il est divers. En cybersécurité, c’est l’inverse : on crée des systèmes industriels homogènes, pour des raisons de maintenance, de compatibilité, de scalabilité. Et c’est cette homogénéité qui devient leur faiblesse.

Enseigner et encourager le chiffrement exotique – sans mettre de coté les techniques les plus efficace du jour est l’une des manières de faire de notre cursus. C’est une stratégie pédagogique et défensive :

Pédagogique, parce que nos élèves comprennent vraiment ce qu’est un algorithme de chiffrement.

Stratégique, parce que dans un monde de menaces industrialisées, l’imprévisibilité vaudra peut-être mieux à l’avenir qu’un standard appliqué partout.

Ca ne remplace pas les couches de sécurité existante, mais ça empêche potentiellement d’être une cible rentable.

Rejoindre l’EFRITS
https://efrits.fr/contact/