Spin-off du CEA, la société française TrustInSoft aide les développeurs à écrire leur code de façon sûre en recourant à la théorie mathématique des méthodes formelles pour repérer les failles.
« A la base, nous travaillons pour des clients comme Airbus, Orano [nouveau nom d’Areva depuis janvier 2018, NDLR] ou le Commissariat à l’énergie atomique et aux énergies alternatives (CEA). Nous aidons ainsi les développeurs à écrire leur code de façon sûre », explique Fabrice Derepas, l’un des trois scientifiques du CEA, avec Pascal Cuoq et Benjamin Monate, à avoir industrialisé FramaC, une plateforme Open Source de R&D toujours maintenue par le CEA. Cette technologie s’appuie sur la théorie mathématique des méthodes formelles. Laquelle apporte la preuve mathématique que le code n’a plus de bug. »
S’affranchir de la hantise des failles « Zero Day »
Le procédé consiste tout d’abord à injecter le code dans cette fameuse plateforme. « Notre logiciel prend le code à étudier. Il l’analyse et détecte les erreurs. Ensuite, au développeur de les corriger. Par itérations, il pourra alors éliminer toutes les lignes rouges. C’est-à-dire les erreurs que la plateforme fait ressortir, reprend Fabrice Derepas, président de TrustInSoft. Créée en 2013, cette Spin-off du CEA emploie 20 personnes et réalise un chiffre d’affaires d’un million d’euros. Nos couvertures de test vont bien au-delà de ce que les développeurs sont en mesure d’utiliser. Et nous testons un nombre énorme d’états. »
Accroître la sécurité des logiciels
En clair, TrustInSoft accompagne les entreprises à accroître la qualité et la sécurité de leurs logiciels. Même pour les logiciels historiques des entreprises (Legacy Systems). A cet égard, la société compte l’Institut de radioprotection et de sûreté nucléaire (IRSN) parmi ses clients afin de valider les logiciels utilisés dans l’industrie nucléaire.
Démonstration chez Google
Et la société parisienne de pousser quelques coups de frime bien mérités : « Je viens de faire une démonstration devant 180 développeurs de chez Google à Moutain View en Californie », poursuit Fabrice Derepas qui n’en est pas à son coup d’essai. Pour preuve, TrustInSoft a mis en évidence les faiblesses de Mbed TLS, la brique de cryptographie d’OpenVPN. Ce célèbre réseau privé virtuel Open Source est utilisé, entre autres, par le gouvernement néerlandais pour protéger ses échanges électroniques. « Nous avons prévenu l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue néerlandais. Puis le National Institute of Standards and Technology (NIST) américain a fait un rapport à la maison blanche. Lequel indique que nous sommes capables de garantir le code d’un logiciel. »
Une levée de fonds de 5 millions d’euros
De quoi convaincre le NIST, Thales, Sony ou ARM d’acheter la solution. La start-up ne s’arrête pas en si bon chemin : « Au cours du second trimestre, nous allons lancer une offre gratuite sur Github, la plateforme sur laquelle 26 millions de développeurs publient leurs codes en Open Source », précise Fabrice Derepas qui vient de lever 5 millions auprès d’ACE et d’Idinvest – déjà présent avec 2 millions d’euros au premier tour de table à la création de la start-up.
Erick Haehnsen
Commentez