Interview exclusive de Renaud Feil - CEO et co-fondateur de Synacktiv
SDBR News : Avec Nicolas Collignon, vous avez créé en 2012 la société Synacktiv*. Qu’est-ce qui vous a amené à tenter cette aventure entrepreneuriale ?
Renaud Feil : Nous étions à l’époque auditeurs en sécurité informatique : il s’agissait de tester et de valider la sécurité de systèmes informatiques, simples ou plus complexes. Nous nous sommes rencontrés dans un cabinet spécialisé, HSC (Hervé Schauer Consultants) et nous nous passionnions pour les tests d’intrusion, des simulations d’attaques informatiques pour le compte de clients qui nous demandaient de valider leurs systèmes. Après un détour professionnel de plus de deux ans en Australie, j’ai retrouvé à Paris Nicolas qui souhaitait lancer une société dédiée aux aspects techniques de la cybersécurité offensive : mettre le savoir-faire des attaquants à disposition des bonnes personnes pour se protéger et tester la sécurité des systèmes informatiques. Nous avons donc démarré par des activités de tests d’intrusion, où des clients du secteur privé nous commandaient des audits. Progressivement, nous avons été sollicités pour faire des audits sur des systèmes embarqués et des technologies mobiles. Au fur et à mesure des recrutements et des demandes clients toujours plus techniques, Synacktiv est devenu un acteur majeur sur la cybersécurité offensive, et en particulier sur la sécurité des téléphones mobiles.
SDBR News : Qui vous sollicitait sur la sécurité des mobiles ?
Renaud Feil : Nous avons eu progressivement des projets avec les forces de l’ordre, comme la Gendarmerie Nationale. L’objectif était de les aider à trouver les moyens de contourner la sécurité de certains téléphones mobiles sécurisés, notamment au cours des enquêtes judiciaires. Nous avons démarré avec un projet européen, CERBERUS, qui est maintenant clôturé. Ensuite il y a eu ExFiles, qui visait encore une fois à renforcer les capacités d'investigation numérique des services d'enquête judiciaires, en contournant le chiffrement des appareils mobiles sécurisés dans le cadre d’enquêtes pénales. Ce projet ExFiles vient de prendre fin, et maintenant nous travaillons sur un 3ème projet européen qui se nomme OVERCLOCK** (Operational Vanguard: using Encryption Research for Criminal LOCKdown). Ce projet réunit six participants à cette étude : le “Netherlands Forensic Institute”, la « Bundeskriminalamt » et la « Zentrale Stelle Für Informationstechnik Im Sicherheitsbereich » allemands, le « Politidirektoratet » norvégien et deux acteurs français, le ministère de l’Intérieur et la société Synacktiv.
SDBR News : Quelle est la différence entre ExFiles et OVERCLOCK ?
Renaud Feil : Les problématiques restent les mêmes. CERBERUS était dans un petit noyau de confiance : services de police européens et quelques prestataires privés de confiance. ExFiles a eu une volonté d’élargissement à plusieurs pays européens et à de nombreuses entités privées. OVERCLOCK représente la nouvelle génération de capacités d’investigation numérique, avec un retour à un noyau plus dur : Synacktiv est la seule société privée à faire partie de ce programme. Le niveau de difficulté des recherches a par ailleurs bien augmenté, au fur et à mesure que les technologies mobiles se renforcent et que les éditeurs investissent massivement pour protéger toujours plus les données des téléphones mobiles, une bonne chose pour les citoyens… mais aussi pour les criminels.
SDBR News : Quel est concrètement l’apport de Synacktiv à ces projets d’investigation numérique ?
Renaud Feil : Synacktiv fournit de la recherche de très haut niveau pour déverrouiller les téléphones mobiles dont le propriétaire légitime a « oublié » le code PIN quand il est convoqué devant la justice. Les constructeurs de téléphones (Apple, Android) ont fourni beaucoup d’efforts pour sécuriser fortement leurs produits et il devient très compliqué de les débloquer sans le code PIN. Or, en cas d’arrestation ou de saisie, il est nécessaire de pouvoir déverrouiller ces téléphones pour y récupérer toutes les preuves nécessaires à l’enquête. Face aux concurrents - israélien, américain ou suédois - il est important de pouvoir garder en France et en Europe une capacité dans ce type d’investigation. C’est dans ce cadre que nous avons reçu en 2022 des subventions de la BPI sur un projet que nous appelons « Taranix », qui est la création d’une solution de déverrouillage des téléphones mobiles. L’objectif est de garder du savoir-faire en France et une offre complémentaire en Europe sur ces technologies. Le risque serait de ne plus avoir la possibilité un jour de déverrouiller ces téléphones.
SDBR News : Nous parlons d’Apple et d’Android. Quid des autres téléphones?
Renaud Feil : Des pays comme la Chine développent leur propre écosystème. Nous faisons de la recherche sur tous les téléphones dérivés d’Android, que chaque constructeur s’est appropriés. Aujourd’hui, en France comme à l’étranger, le consensus des éditeurs est « pas de backdoor » et la loi ne les y obligent pas, à charge pour les autorités de créer leurs propres outils d’accès pour ne pas perdre des possibilités d’accès aux preuves dans un monde de plus en plus numérique.
SDBR News : Synacktiv a-t-elle d’autres activités ?
Renaud Feil : Oui, nous avons l’activité tests d’intrusion et audits, ou nous travaillons avec le secteur privé sur de l’expertise et des simulations d’attaques. Il y a aussi une équipe de développement, pour intervenir en renfort technique sur les projets à forts enjeux, comme par exemple, sur une sonde de détection d’intrusion, ou pour débloquer une problématique de communication chiffrée sur des produits complexes ; ou encore sur de l’offuscation d’un code source, avant qu’il soit intégré au produit d’un partenaire qui n’est pas totalement de confiance, etc. Nous avons aussi une équipe de « réponse à incidents » qui intervient dans des entreprises de taille intermédiaire en cas d’attaque informatique, pour comprendre et bloquer les attaques. Et puis l’équipe Taranix que nous avons déjà évoquée.
SDBR News : Combien de collaborateurs travaillent chez Synacktiv ?
Renaud Feil : Nous sommes aujourd’hui 170 personnes, la plupart des effectifs sont à Paris, et nous avons aussi des bureaux à Rennes, Toulouse, Lyon et Lille. Il y a douze ans nous étions trois… notre développement s’est toujours fait de façon assez linéaire, au fil des années. C’est une activité d’expertise qui doit repérer des talents et savoir les garder. L’intelligence artificielle est encore loin de pouvoir remplacer les chercheurs en sécurité informatique et, dans le meilleur des cas, elle facilite et automatise certaines tâches. S’il y a de l’informatique dans un produit, nous devons être capables de traiter ses problèmes et ses vulnérabilités, véhicule, terminal de paiement, satellite, IoT, domotique, etc. Nous sommes dans un métier où la compétence humaine est difficile à remplacer par le nombre : en matière de « cyber-combattants », le nombre ne fait pas tout. Nous sommes sur des sujets où quelques personnes compétentes peuvent débloquer des situations que 100 jeunes diplômés, connaissant peu la technologie ciblée, n’arriveront pas à comprendre. Nous sommes sur des niches d’expertise où, encore aujourd’hui, peu de profils investissent le temps et la sueur nécessaires pour développer des compétences fortes.
SDBR News : Quel est la stratégie de développement de Synacktiv ?
Renaud Feil : L’objectif est de continuer à développer nos relations en Europe avec des partenaires de confiance, car les investissements nécessaires pour rester au top sur la partie « forensic mobile » par exemple, ne peuvent plus être supportés par un seul pays. La France ne pouvant pas payer toute la R&D nécessaire pour rester à flot sur les technologies modernes, de plus en plus sécurisées, il faudra identifier les partenaires de confiance en Europe avec qui pouvoir travailler.
L’autre objectif est d’investir encore, pour ne pas être dépassés par des systèmes de mieux en mieux sécurisés et de plus en plus divers, et par la concurrence internationale sur ces sujets.
Crédits photos: Synacktiv