Publiziert am: 08.02.2019

Simple sans être vulnérable

ma pme – Philippe Kapfer a lancé NextDay.Vision pour simplifier les épineuses questions de sécurité. On lui sait gré de penser aux utilisateurs «lambda» que nous sommes. Pour l’instant, son premier produit en est au stade «Beta».

Il y a quelques jours, quelqu’un a frappé à la porte de notre rédaction. C’était le responsable informatique, qui s’est empressé de distribuer à chacun une feuille de papier en haut de laquelle figurait notre nom. Et plus bas, à notre grand étonnement, une série de signes, de lettres et de chiffres faisant vaguement penser à une formule cabalistique. «C’est tout simplement, un mot de passe», a-t-il lâché d’un air désinvolte.

Il nous a fallu quelques essais avant de réussir à introduire ces petits symboles. Mais après, fallait-il avaler le morceau de papier ou le brûler, le ranger au fond d’un tiroir ou le passer à la broyeuse? C’est sans succès que nous avons plaidé pour une solution plus simple. «Les pirates rôdent, le danger frappe avant tout les PME, le maillon le plus faible de la chaîne. Et la Suisse figure tout en haut de la liste des cibles privilégiées», nous assurent de distingués spécialistes en nœud papillon.

Complexe n’implique pas efficace

C’est précisément pour répondre à ce type de préoccupations que Philippe Kapfer tente sa chance depuis la Place des Sciences de Courroux, dans le Jura. Son projet – un enfant raisonnable de douze ans la comprendrait: «Mon idée, c’est d’amener de la sécurité simplifiée, explique-t-il. La principale difficulté de la cybersécurité, c’est que tout le monde en parle, mais que cela reste très complexe. Comme si cette complexité était une preuve de son efficacité!»

Un ressort psychologique efficace, la peur du bleu face à l’expert. Mais si tout était plus simple, serait-ce moins efficace? «Vous avez certainement aujourd’hui déjà de nombreux mots de passe et, dans les années à venir, vous en aurez de plus en plus et ils seront de plus en plus complexes, sourit Philippe Kapfer. Nous cherchons des modèles plus simples, comme de valider un mot de passe par un téléphone. Et nous franchissons un pas de plus, qui consiste à intégrer cette simplicité dans les applications actuelles.»

Le pirate sans don d’ubiquité

Un mot de passe complexe pour retrouver tous les mots de passe, est-ce suffisant? «C’est un classique, mais cela reste insuffisant. Si l’on cherche à vous pirater en enregistrant les touches de votre clavier, ce mot de passe pourra être facilement récupéré, ajoute-t-il. En fait, on simplifierait le travail des pirates qui n’auraient plus qu’un mot à chercher pour avoir accès à tous les autres. C’est comme si l’on voulait protéger un trousseau de clé en utilisant une clé.» Le serpent se mord la queue, mais il apprend.

«La principale difficulté de la cybersécurité, c’est que tout le monde en parle, mais que cela reste très complexe!»

Pour faire un pas vers la sécurité, il faut déjà passer à deux authentifications différentes, détaille Philippe Kafper. Par exemple, un mot de passe et un téléphone. Que le mode opératoire du criminel ne soit pas le même pour les deux étapes de validation? «Oui, que le pirate ne puisse pas être aux deux endroits en même temps. Ou plus difficilement.»

«Le défi n’est pas tellement dans la technologie, dans les cryptages, dans la gestion de l’identité. Pour tout ces aspects, les outils existent et fonctionnent relativement bien.»

Les exemples de complexité inutile foisonnent, affirme cet expert qui donne des cours à la HEG de Genève dans le domaine de la gestion des vulnérabilités. Il a aussi publié un gros pavé de 511 pages sur la vision du pirate(*).

Ainsi, la boîte aux lettres est un organe fragile et vulnérable. «Pour sécuriser ses e-mails, on peut les crypter en utilisant des certificats. Mais il faut alors que les protagonistes échangent leurs certificats pour lire le message et y répondent. C’est déjà compliqué de l’expliquer et cela le devient plus encore lorsqu’il faut le mettre en œuvre. La priorité, c’est de simplifier les échanges sans perdre de la sécurité.» Apporter de la simplicité dans la sécurité, tel est donc le défi principal de la PME de Philippe Kapfer (lire l’interview ci-contre).

François Othenin-Girard

www.nextday.vision

(*) «Internal Hacking et contre-mesures en environnement Windows: Piratage interne, mesures de protection, développement d’outils» (Editions ENI, 2013, réédité 2017).

Philippe kapfer, CEO de Nextday.Vision à Courroux (JU)

«Je suis à la recherche de partenaires technologiques et financiers»

Où en est votre produit?

La version actuelle est une version dite «Beta», soit quelques étapes après le prototype. Il tourne aujourd’hui chez des clients qui ont signé pour tester l’application et son environnement. Le produit est donc utilisé sur les téléphones portables et un site web.

La société existe-t-elle déjà?

Oui, NextDay.Vision est une Sàrl que j’ai créée il y a une année. Je suis actuelle­ment en phase de recherche de partenaires technologiques et financiers.

Comment votre produit est-il lui-même sécurisé?

Nous avons mené bien des tests de fonctionnalités à l’interne, puis des tests de sécurité à l’interne et à l’externe. Un deuxième audit sera effectué par une société de sécurité externe pour garantir aux utilisateurs une sécurité optimale.

À quand l’entrée sur le marché?

L’application sera disponible en mars ou avril, ce qui permettra l’intégration de ces fonctionnalités dans les applications existantes. Que ce soit la sécurité, mais aussi la digitalisation, le fait que l’on puisse avoir une signature depuis le téléphone. Signer avec le doigt permet d’éviter de devoir imprimer le document, signer à la main, de devoir rescanner le document – alors que le document est numérique et le résultat que l’on veut obtenir est lui aussi numérique.

Comment trouvez-vous vos clients?

Essentiellement via mon réseau. Les gens sont intéressés, mais nombreux sont ceux qui souhaitent attendre une version finalisée qui tienne compte des derniers développements. Les clients sont des entreprises de 50 à 100 personnes environ, car elles travaillent le plus souvent avec des développeurs ou utilisent des solutions externes.

Comment est-ce que cela marche?

Le produit comprend deux parties, un moteur API (Interface de programmation, n.d.l.r.), une interface qui permette d’ajouter des fonctionnalités. Ce que nous apportons, c’est une brique qui permet de se simplifier la vie sur la question des mots de passe. C’est un peu comme une option dans une voiture. La deuxième partie est un logiciel de sécurité qui utilise ce moteur et permet de protéger les fichiers en utilisant le téléphone.

Quelle est l’expérience vécue par le destinateur final?

Si je vous envoie un fichier protégé, soit vous installez l’application sur votre téléphone, soit vous recevez un sms avec un code au moment où vous ouvrez le fichier. Ce mot de passe permet d’ouvrir les fichiers sans Word ou Adobe, car il y a un éditeur intégré. Ce dernier va lire les fichiers depuis la mémoire, sans extraire les fichiers protégés. Vous recevez container avec un fichier, un contrat à remplir. Vous renvoyez le même container, éventuellement avec une copie d’un document complémentaire. La sécurité reste très élevée, car le tout est ouvert en mémoire seulement.

Interview: François Othenin-Girard