David Naccache
Naissance | |
---|---|
Nationalité |
Française |
Formation |
Université Paris XIII, Université Paris II, Télécom Paris, Université Paris VI, Université Paris IV, IHEDN, ICP. |
Activités |
A travaillé pour |
Université Paris-Panthéon-Assas Ingenico Group Jones Day Samsung Electronics VISA Ministère de la Justice Pepper Hamilton (en) Kramer Levin Naftalis & Frankel (en) Taylor Wessing (en) Worldline Mayer Brown (en) Banque de France Université Jiao Tong de Pékin Royal Holloway Vantiva Académie militaire de la Gendarmerie nationale École normale supérieure Université Paris 1 Panthéon-Sorbonne Philips University College de Londres Gemalto European Telecommunications Standards Institute Université de Xidian (en) Commissariat à l'énergie atomique et aux énergies alternatives |
---|---|
Membre de | |
Directeur de thèse |
Gerard Denis Cohen (en) |
Distinction |
David Naccache, né le , est un cryptologue français, actuellement professeur des universités, chercheur à l'École normale supérieure où il dirige l'équipe de Sécurité de l'information.
Biographie
[modifier | modifier le code]En 1990, il obtient un diplôme d’ingénieur IMAC[Quoi ?] de l’université Paris 2 et un DEA d’informatique théorique à l’université Paris 6[1]. En 1995, Il soutient une thèse de doctorat à Télécom ParisTech intitulée « Zero Knowledge Protocols and Digital Signatures, Attacks Defence and Algorithmic Tools »[2], dirigée par Gérard Denis Cohen (en).
Remarqué à la fin des années 1980 par John McCormack de « Hack Watch News » pour ses contributions originales sur le Bulletin board system « télévision à péage » de CompuServe, Naccache commence sa carrière industrielle en 1990 chez Technicolor SA en concevant avec Eric Diehl des attaques et des défenses du système de contrôle d'accès VideoCrypt[réf. nécessaire]. En 1992 il contribue chez Philips à la conception et à la protection des premières cartes GSM[réf. nécessaire]. Puis il est engagé comme cadre chez Gemplus[3], dirigeant la Division de la recherche et innovation, qu'il dote de 80 chercheurs[3]. Le savoir-faire de Gemplus intéresse les services américains[4],[5]. Il termine sa carrière à Gemplus comme vice-président senior chargé de la Recherche et de l'Innovation[6],[7].
En 2004, il soutient son habilitation à diriger des recherches intitulée « Sécurité, Cryptographie : Théorie et Pratique »[8] à l'Université Paris 7, sous la direction de Jacques Stern[9]. Il rejoint en 2005 l'université Paris 2[9] en tant que professeur[3],[10] (Centre de recherche en économie et droit (CRED) où il crée et dirige un Master en Expertise judiciaire en informatique). Il rejoint également à l'École normale supérieure l'équipe de recherche en cryptographie, dont il devient le directeur[3]. Entre 2008 et 2011, il est membre du Conseil scientifique des technologies pour l’information et les télécommunications du Commissariat à l’énergie atomique[11],[source secondaire nécessaire]. Depuis 2009, il siège en tant que « personnalité qualifiée » à l'Observatoire de la sécurité des cartes de paiement[12],[13].
David Naccache est membre du conseil scientifique de l'Institut de recherche technologique (IRT) Nanoelec[14],[source secondaire nécessaire]. Il est également professeur invité du Information Security Group du Royal Holloway[15],[source secondaire nécessaire].
Il est membre senior de l'Institut universitaire de France en 2014, puis en 2020[16],[source secondaire nécessaire].
Accusations de fraude
[modifier | modifier le code]En 2021, deux épidémiologues dénoncent David Naccache auprès de la direction de l'École normale supérieure. Ils l'accusent d'avoir produit en pour les Laboratoires Genevrier et en contrepartie d'une forte rémunération (plus de 250 000 €) un rapport frauduleux en défense d’un médicament déremboursé, le Chondrosulf[17].
Travaux
[modifier | modifier le code]Les travaux de Naccache portent majoritairement sur la cryptographie à clé publique (notamment les signatures numériques basées sur RSA), la sécurité informatique, et l'expertise judiciaire. À ce titre il intervient pour la cour de cassation[18], la cour pénale internationale[19], la cour d'appel de Paris[20] et les tribunaux du Grand-Duché du Luxembourg[21][source secondaire nécessaire]. Il totalise 80 expertises judiciaires[3]. Par ailleurs, il est l'auteur de plus de 250 publications scientifiques[réf. nécessaire], et il a produit de nombreux brevets — il affirme avoir déposé 170 familles de brevets — portant notamment sur le chiffrement de la télévision payante, la protection des cartes à puce, et l’identification biométrique[3].
Naccache et von Solms décrivent en 1992 le premier rançongiciel utilisant l'argent anonyme[22] dans lequel une publication physique remplace le registre d'une blockchain. La même année Naccache et Frémanteau inventent un mécanisme permettant l'identification physique de cartes[23] préfigurant la naissance du concept de Fonctions physiquement inclonables (en) (PUFs). Naccache est à l'origine d'une conjecture publiée en 1994 sous le pseudonyme Deh Cac Can. Cette conjecture, surnommée "la malédiction de Boo Barkee", stipule qu'un cryptosystème de chiffrement à clés publiques dont la sécurité repose sur le calcul de bases de Gröbner ne peut exister[24][source secondaire nécessaire].
En 1997, Naccache, cosigne un algorithme de chiffrement symétrique nommé Xmx (en) tirant avantage de la présence de coprocesseurs arithmétiques initialement destinés à la cryptographie asymétrique[source secondaire nécessaire]. Avec Jacques Stern, Naccache découvre entre 1997 et 1998[réf. nécessaire] deux nouveaux cryptosystèmes[3] : l'un basé sur une variante du problème du sac à dos, appelé sac à dos de Naccache-Stern ; l'autre reposant sur la résiduosité supérieure et doté de propriétés homomorphes, et appelé cryptosystème (homomorphe) de Naccache-Stern[réf. nécessaire].
En 1998 Naccache décrit et brevette[25] l'idée sous-jacente au concept de vecteur d'initialisation synthétique, base de la norme Internet RFC 5297[26].[source secondaire nécessaire]
En 1999 Naccache cosigne une attaque contre les normes de signature ISO 9796-1 et ISO 9796-2[3],[27]. Cette attaque pratique amène ISO à révoquer ces deux standards[réf. nécessaire]. En 2000, Naccache publie une attaque sur la norme de chiffrement PKCS#1 v.1.5[28] qui, là aussi, résulte en l'obsolescence de cette norme[réf. nécessaire]. La même année Naccache démontre que la sécurité des signatures de Gennaro-Halevi-Rabin face aux contrefaçons existentielles se réduit dans le modèle standard au problème RSA fort[29][source secondaire nécessaire]. En 2001 David Naccache et Helena Handschuh conçoivent Shacal-2, un algorithme de chiffrement par blocs basé sur les fonctions de hachage cryptographique de type SHA.[source secondaire nécessaire]
En 2003, Shacal-2 fut sélectionné par le projet Nessie comme l'algorithme recommandé pour le chiffrement symétrique par bloc de 256 bits. En 2004, avec Claire Whelan, il montre comment des techniques de traitement d'images révèlent l'information censurée d'un document américain émis par la CIA (Bin Ladin Determined To Strike in US, daté du 5 août 2001)[30].
En 2004 Naccache publie le RFC 4226[31] qui devient une norme Internet pour l'authentification par des mots de passe à usage unique[réf. nécessaire]. Cette norme, promue par le consortium industriel OATH a été déployée dans des centaines de millions de systèmes[source secondaire nécessaire].
En 2014 Naccache propose un algorithme de chiffrement authentifié nommé OMD tirant avantage de l'existence de coprocesseurs de hachage présents sur les microprocesseurs Intel[32][source secondaire nécessaire]. Naccache est à l'origine[Pas dans la source] de deux Common Vulnerabilities and Exposures (CVE-2020-11735, CVE-2020-10932 et CVE-2020-12062) et d'une vulnérabilité critique reconnue par le Microsoft Security Response Center (MSRC) en mars 2016[33].
En 2017, Naccache et ses étudiants s'intéressent à la détection d'opérations fictives (en) sur les places de marché. Les algorithmes résultant de cette recherche sont actuellement déployés dans plusieurs systèmes de détection de fraude financière[34][source secondaire nécessaire].
En 2019 Naccache découvre une famille de signatures numériques d'un type nouveau[35] ne découlant ni de l'heuristique de Fiat-Shamir ni de l'inversion d'une permutation à trappe. À la demande des autorités sanitaires, durant la pandémie de Covid-19, Naccache mobilise son équipe et met au point un algorithme permettant de multiplier par 4 le nombre de patients testés[36][source secondaire nécessaire].
En 2020, Naccache et ses étudiants démontrent l'existence d'une stratégie gagnante en 43 tours au jeu du Ultimate tic-tac-toe (en)[37]. Naccache et ses étudiants ont également énoncé une conjecture selon laquelle toute suite de Collatz où la parité est remplacée par la partie fractionnaire[pas clair] converge vers un cycle de nombres réels de taille 29 à parties entières déterminées[38][source secondaire nécessaire].
En 2020 les travaux de Naccache ont conduit à une vulnérabilité critique dans la librairie libgcrypt[39] utilisée dans de nombreuses applications commerciales sur plusieurs processeurs, parmi lesquels Alpha, AMD64, HP PA-RISC, i386, i586, m68k, mips3, PowerPC, et SPARC[réf. nécessaire].
Les outils développés par Naccache et ses doctorants ont notamment permis des attaques physiques à des fins d'interception et d'expertise judiciaire. Ces techniques sont maintenant utilisées par différents services étatiques dans des interceptions et attaques complexes de divers téléphones (iPhone, BlackBerry, etc.)[40].
Naccache est membre des comités éditoriaux du journal Cryptologia[41], du Journal of Cryptographic Engineering et du Journal of Mathematical Cryptology.
Références
[modifier | modifier le code]- « David Naccache, Professeur à l'ENS Paris, membre du DI-ENS », sur ins2i.cnrs.fr (consulté le )
- (en) « David Naccache - The Mathematics Genealogy Project », sur genealogy.math.ndsu.nodak.edu (consulté le )
- « David Naccache arme les industriels », L'Usine Nouvelle, (lire en ligne, consulté le )
- « arme (L') de l'intelligence économique (n.2864) », sur La Documentation française,
- « Europe/USA : La guerre économique secrète »
- Junko Yoshida, « Paris Hilton victime d'un piratage, mais comment ? », sur EE Times, (consulté le )
- « FRANCE : Triple formation - 28/10/2005 », sur Intelligence Online, (consulté le )
- (en) David Naccache, « Security, Cryptography: Theory and Practice », Habilitation à diriger des recherches, Université Paris 7 - Denis Diderot, (lire en ligne, consulté le )
- Laurance N'Kaoua, « Jacques Stern ou l'art de décoder », sur Les Echos, (consulté le )
- Décret du 12 décembre 2005 portant nomination, titularisation et affectation (enseignements supérieurs) (lire en ligne)
- « Rencontre Cybersécurité », sur Assemblée nationale,
- Arrêté du 29 juin 2009 portant nomination de membres de l'Observatoire de la sécurité des cartes de paiement (lire en ligne)
- Arrêté du 16 juin 2017 portant nomination à l'Observatoire de la sécurité des moyens de paiement (lire en ligne)
- « Scientific & Technical highlights », sur Nanoelec,
- (en) « Staff directory | Royal Holloway, University of London », sur www.ma.rhul.ac.uk (consulté le )
- Institut universitaire de France, [lire en ligne].
- « Les expertises suspectes d’un professeur de l’Ecole normale supérieure autour d’un médicament controversé », Le Monde.fr, (lire en ligne, consulté le )
- Cour de cassation, « Liste des experts agréés par la cour de cassation »,
- Cour Pénale Internationale, « Liste des experts devant la CPI au 12 novembre 2014 »,
- Cour d'appel de Paris, « Liste des experts judiciaires »,
- Ministère de la justice du Grand-Duché du Luxembourg, « Listes des experts, traducteurs et interprètes assermentés »
- Sebastiaan von Solms et David Naccache, « On Blind 'Signatures and Perfect Crimes », sur Pdfs.sematicscholar.org, (consulté le )
- David Naccache and Patrice Frémanteau, Unforgeable identification device, identification device reader and method of identification, August 1992.[1]
- Boo Barkee, Deh Cac Can, Julia Ecks, Theo Moriarty, R. F. Ree: Why You Cannot Even Hope to use Gröbner Bases in Public Key Cryptography: An Open Letter to a Scientist Who Failed and a Challenge to Those Who Have Not Yet Failed. J. Symb. Comput. 18(6): 497-501 (1994)
- David M’Raïhi, David Naccache, David Pointcheval et Serge Vaudenay, « Computational Alternatives to Random Number Generators »,
- (en) Request for comments no 5297
- Jean-Sébastien Coron, David Naccache et Julien Stern, « On The Security of RSA Padding »,
- Jean-Sébastien Coron, Marc Joye, David Naccache et Pascal Paillier, « New attacks on PKCS#1 v1.5 encryption »,
- (en) David Naccache, David Pointcheval et Jacques Stern, « Twin signatures: an alternative to the hash-and-sign paradigm », CCS '01 Proceedings of the 8th ACM conference on Computer and Communications Security, ACM, , p. 20–27 (ISBN 1581133855, DOI 10.1145/501983.501987, lire en ligne, consulté le )
- (en) John Markoff, « Illuminating Blacked-Out Words - The New York Times », (version du sur Internet Archive)
- (en) Request for comments no 4226
- Simon Cogliani, Diana-Ştefania Maimuț, David Naccache, Rodrigo Portella do Canto, Reza Reyhanitabar, Serge Vaudenay et Damian Vizár, « Offset Merkle-Damgård (OMD) version 1.0 A CAESAR Proposal »,
- (en) « Security Researcher Acknowledgments for Microsoft Online Services »
- (en) Rémi Géraud et David Naccache, « Twisting Lattice and Graph Techniques to Compress Transactional Ledgers », IACR Cryptol. ePrint Arch. 751 (2017), (lire en ligne)
- (en) Eric Brier, Houda Ferradi, Marc Joye et David Naccache, « New Number-Theoretic Cryptographic Primitives », IACR Cryptol. ePrint Arch. 484 (2019), (lire en ligne)
- (en) Marc Beunardeau, Éric Brier, Noémie Cartier, Aisling Connolly, Nathanaël Courant, Rémi Géraud-Stewart, David Naccache et Ofer Yifrach-Stav, « Optimal Covid-19 Pool Testing with a priori Information », arXiv, (lire en ligne)
- (en) Guillaume Bertholon, Rémi Géraud-Stewart, Axel Kugelmann, Théo Lenoir et David Naccache, « At Most 43 Moves, At Least 29: Optimal Strategies and Bounds for Ultimate Tic-Tac-Toe », arXiv, (lire en ligne)
- (en) Éric Brier, émi Géraud-Stewart et David Naccache, « A Fractional 3n 1 Conjecture », arXiv, (lire en ligne)
- (en) Alejandro Cabrera Aldaya, Cesar Pereida García et aBilly Bob Brumley, « From A to Z: Projective coordinates leakage in the wild », IACR Cryptol. ePrint Arch. 432 (2020), (lire en ligne)
- « L'EAFS décerne un prix à l'un des docteurs de l'IRCGN »,
- (en) « Editorial board, Cryptologia », sur www.tandfonline.com (consulté le )
Liens externes
[modifier | modifier le code]
- Ressources relatives à la recherche :