O documento discute animais venenosos e peçonhentos no Brasil, incluindo aranhas, escorpiões e serpentes. É destacado que animais peçonhentos inoculam veneno através de dentes, ferrões ou aguilhões, enquanto animais venenosos não possuem mecanismo de inoculação. As principais espécies peçonhentas descritas são aranhas, escorpiões e serpentes como jararacas, cascavéis e corais.
O documento resume o currículo de um professor de pós-graduação com experiência em ensino, pesquisa e atuação na área de exercício físico e saúde. O currículo inclui formação acadêmica, publicações, palestras e atuação como personal trainer especializado em oncologia.
O documento discute os lipídios, substâncias caracterizadas por baixa solubilidade em água e alta solubilidade em solventes orgânicos. Apresenta suas principais classes, incluindo triacilgliceróis, fosfolipídios, esteróides e ácidos graxos. Destaca funções como reserva energética, componente de membranas celulares e produção hormonal. Explica conceitos-chave como a diferença entre gorduras e óleos e os efeitos do processo de hidrogenação.
O documento fornece instruções sobre coleta de sangue para exames, incluindo legislação, fase pré-analítica, fatores que podem alterar exames, coleta venosa, coleta capilar, anticoagulantes, complicações e transporte de amostras.
O documento discute animais venenosos e peçonhentos no Brasil, incluindo aranhas, escorpiões e serpentes. É destacado que animais peçonhentos inoculam veneno através de dentes, ferrões ou aguilhões, enquanto animais venenosos não possuem mecanismo de inoculação. As principais espécies peçonhentas descritas são aranhas, escorpiões e serpentes como jararacas, cascavéis e corais.
O documento resume o currículo de um professor de pós-graduação com experiência em ensino, pesquisa e atuação na área de exercício físico e saúde. O currículo inclui formação acadêmica, publicações, palestras e atuação como personal trainer especializado em oncologia.
O documento discute os lipídios, substâncias caracterizadas por baixa solubilidade em água e alta solubilidade em solventes orgânicos. Apresenta suas principais classes, incluindo triacilgliceróis, fosfolipídios, esteróides e ácidos graxos. Destaca funções como reserva energética, componente de membranas celulares e produção hormonal. Explica conceitos-chave como a diferença entre gorduras e óleos e os efeitos do processo de hidrogenação.
O documento fornece instruções sobre coleta de sangue para exames, incluindo legislação, fase pré-analítica, fatores que podem alterar exames, coleta venosa, coleta capilar, anticoagulantes, complicações e transporte de amostras.
Este documento resume las normas de tránsito de Colombia establecidas en el Código Nacional de Tránsito. Explica que el código regula la circulación de peatones, vehículos y más en todo el territorio nacional. Destaca la importancia de que los conductores conozcan y cumplan las señales de tránsito y normas para mejorar la seguridad vial. Además, enfatiza la necesidad de que todos los usuarios de la vía asuman una actitud positiva y cumplan las reglas para prevenir accidentes.
Comment concevoir de manière simple et efficace des logiciels ou des systèmes complexes ?
Cette présentation donne la vision d'Obeo de la création d'ateliers sur mesure de modélisation.
Cette vision s'appuie sur le savoir faire des architectes qui créent des langages métiers (DSL) et des représentations visuelles (points de vue) qui vont permettre aux différents utilisateurs de travailler dans des outils adaptés à leur quotidien.
Este documento analiza los altos costos de la energía eléctrica y el gas natural que afectan a la industria colombiana y su competitividad. Presenta comparativos de precios de la electricidad en Colombia y otros países, mostrando que en Colombia son de los más altos. También expone algunas alternativas para reducir costos, como exenciones en pagos y mejorar la disponibilidad a través de un área de distribución unificada. Finalmente, propone soluciones como subsidios industriales y aprender de experiencias como la de Brasil para mejorar
El documento discute los ciclos económicos de largo plazo conocidos como olas de desarrollo tecnológico. Estos ciclos surgen a partir de grandes cambios tecnológicos que impulsan nuevos paradigmas económicos y se repiten aproximadamente cada 30-40 años, pasando por fases de instalación y despliegue del nuevo paradigma. El documento también presenta una tabla que resume las cinco olas de desarrollo tecnológico que han ocurrido desde la revolución industrial hasta la actualidad.
El documento describe la importancia de controlar el uso y asignación de privilegios en sistemas de información. Señala que se deben identificar los privilegios requeridos, asignarlos según las necesidades del usuario de forma caso a caso, mantener un registro de los privilegios asignados, y no otorgar privilegios hasta completar el proceso de autorización. También recomienda revisar periódicamente los derechos de acceso de los usuarios y los privilegios asignados a cuentas especiales.
Este documento describe un programa de formación comercial y coaching empresarial que consta de 6 puntos. Incluye un estudio de los productos, coaching a la fuerza de ventas, desarrollo de la teoría de venta relacional y de impulso, aplicación práctica de casos y coaching empresarial final e informe de recomendaciones. Se ofrecen 3 opciones de programa y se describen los criterios y experiencia de los profesores.
El documento presenta el Colegio Nuestra Señora de la Anunciación, incluyendo su escudo, lema y sierva de Dios fundadora. Describe las instalaciones del colegio como aulas de clase, salas de informática, emisora, salas audiovisuales, salón múltiple, parque infantil con piscina y actividades extracurriculares como orquesta, banda marcial y semana de la ciencia.
Business Intelligence permite transformar datos en información y conocimiento para optimizar la toma de decisiones empresariales. Proporciona ventajas competitivas al ofrecer información privilegiada para resolver problemas de negocio. Una solución BI completa permite observar, comprender, predecir y decidir el camino a seguir. Las empresas invierten en BI para centralizar datos, descubrir información no evidente, optimizar sistemas y mejorar la competitividad.
Este documento describe la historia y tipos de minas terrestres. Comenzó su uso en el siglo XVI para volar muros de fortalezas y desde entonces se han utilizado en muchos conflictos, especialmente las minas antipersonales diseñadas para herir pero no matar. Las minas causan miles de víctimas cada año y son difíciles y costosas de detectar y retirar.
Este documento resume las normas de tránsito de Colombia establecidas en el Código Nacional de Tránsito. Explica que el código regula la circulación de peatones, vehículos y más en todo el territorio nacional. Destaca la importancia de que los conductores conozcan y cumplan las señales de tránsito y normas para mejorar la seguridad vial. Además, enfatiza la necesidad de que todos los usuarios de la vía asuman una actitud positiva y cumplan las reglas para prevenir accidentes.
Comment concevoir de manière simple et efficace des logiciels ou des systèmes complexes ?
Cette présentation donne la vision d'Obeo de la création d'ateliers sur mesure de modélisation.
Cette vision s'appuie sur le savoir faire des architectes qui créent des langages métiers (DSL) et des représentations visuelles (points de vue) qui vont permettre aux différents utilisateurs de travailler dans des outils adaptés à leur quotidien.
Este documento analiza los altos costos de la energía eléctrica y el gas natural que afectan a la industria colombiana y su competitividad. Presenta comparativos de precios de la electricidad en Colombia y otros países, mostrando que en Colombia son de los más altos. También expone algunas alternativas para reducir costos, como exenciones en pagos y mejorar la disponibilidad a través de un área de distribución unificada. Finalmente, propone soluciones como subsidios industriales y aprender de experiencias como la de Brasil para mejorar
El documento discute los ciclos económicos de largo plazo conocidos como olas de desarrollo tecnológico. Estos ciclos surgen a partir de grandes cambios tecnológicos que impulsan nuevos paradigmas económicos y se repiten aproximadamente cada 30-40 años, pasando por fases de instalación y despliegue del nuevo paradigma. El documento también presenta una tabla que resume las cinco olas de desarrollo tecnológico que han ocurrido desde la revolución industrial hasta la actualidad.
El documento describe la importancia de controlar el uso y asignación de privilegios en sistemas de información. Señala que se deben identificar los privilegios requeridos, asignarlos según las necesidades del usuario de forma caso a caso, mantener un registro de los privilegios asignados, y no otorgar privilegios hasta completar el proceso de autorización. También recomienda revisar periódicamente los derechos de acceso de los usuarios y los privilegios asignados a cuentas especiales.
Este documento describe un programa de formación comercial y coaching empresarial que consta de 6 puntos. Incluye un estudio de los productos, coaching a la fuerza de ventas, desarrollo de la teoría de venta relacional y de impulso, aplicación práctica de casos y coaching empresarial final e informe de recomendaciones. Se ofrecen 3 opciones de programa y se describen los criterios y experiencia de los profesores.
El documento presenta el Colegio Nuestra Señora de la Anunciación, incluyendo su escudo, lema y sierva de Dios fundadora. Describe las instalaciones del colegio como aulas de clase, salas de informática, emisora, salas audiovisuales, salón múltiple, parque infantil con piscina y actividades extracurriculares como orquesta, banda marcial y semana de la ciencia.
Business Intelligence permite transformar datos en información y conocimiento para optimizar la toma de decisiones empresariales. Proporciona ventajas competitivas al ofrecer información privilegiada para resolver problemas de negocio. Una solución BI completa permite observar, comprender, predecir y decidir el camino a seguir. Las empresas invierten en BI para centralizar datos, descubrir información no evidente, optimizar sistemas y mejorar la competitividad.
Este documento describe la historia y tipos de minas terrestres. Comenzó su uso en el siglo XVI para volar muros de fortalezas y desde entonces se han utilizado en muchos conflictos, especialmente las minas antipersonales diseñadas para herir pero no matar. Las minas causan miles de víctimas cada año y son difíciles y costosas de detectar y retirar.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
This document contains a list of patent filings and grants for various inventions across multiple countries. There are listings for inventions related to detection and coercion, elementary functions, data exchange protection, library protection, four groups, and bouquets. Each listing includes the country, filing/patent reference numbers, title, filing date, grant date if applicable, and status/expiration date. The document provides intellectual property status details for a portfolio spanning many international jurisdictions.
Validy licenses a breakthrough software assurance technology called Validy Technology that ensures software
trustworthiness and predictable execution through a combination of code transformations and secure hardware. Validy
Technology addresses global security markets and protects against sabotage, cybercrime, and cyberterrorism. It differs
from competitors by ensuring software integrity during execution without third party assistance.
Cyberdefense in depth with validy technologyGilles Sgro
The document describes traditional cyberdefense in depth which uses three lines of defense: a firewall, intrusion detection system, and antivirus programs. It then describes cyberdefense with Validy, which adds Validy's protection technology to each traditional defense line, the operating system, database engine, and programs themselves, providing six total lines of defense. Validy's president Gilles Sgro can be contacted at the provided phone number and email for more information.
Dossier complet validy aux candidats à la présidence de la république
1. 13 législatureème
Question N° :
74469
de Mme Joissains-Masini Maryse ( Union pour un Mouvement Populaire -
Bouches-du-Rhône )
Question
écrite
Ministère interrogé > Industrie Ministère attributaire > Économie, finances et industrie
Rubrique > entreprises Tête d'analyse > PME Analyse > innovations
technologiques. commercialisation.
soutien de l'État
Question publiée au JO le : page :23/03/2010 3248
Date de changement d'attribution : 14/11/2010
Texte de la question
Mme Maryse Joissains-Masini attire l'attention de M. le ministre chargé de l'industrie sur les problèmes que rencontre
actuellement la société innovante Validy. Cette société dispose d'une technologie brevetée qui s'adresse au marché de
la sécurité informatique et qui est destiné à protéger les logiciels contre le piratage et le sabotage. Après dix années
d'efforts et 9 millions d'euros investis par des investisseurs privés français et alors que de grands groupes français ont
identifié l'opportunité à fort caractère stratégique que représente cette nouvelle technologie, aucun emploi n'a pu être
créé au sein de cette société innovante. Il semblerait que, depuis de nombreuses années, Validy soit victime d'un
enfermement commercial et administratif voulu par de grands groupes français. Face à ces attaques, cette société,
comme beaucoup d'autres sociétés innovantes, est dans l'incapacité de commercialiser ses technologies ou produits et
est contrainte de s'expatrier pour assurer le suivi de l'entreprise. Elle lui demande s'il ne pense pas, si ces pratiques
délétères existent, lors même qu'elles sont franco-françaises, qu'elles se révèlent contreproductives et destructrices,
tant à la société Validy qu'à bien d'autres, qui, toutes pourtant alliées à de grands groupes industriels, ne manqueraient
pas de contribuer au rayonnement de la France au plan mondial.
2.
3.
4. Validy > Société > Prix et reconnaissances
Prix et reconnaissances
2006 : Validy est nominé au prix européen de l'innovation ICT
Prize
Les experts indépendants de Euro-CASE ont évalué et classé les candidatures au
concours Européen ICT Prize et proposé 66 nominés à la Commission Européenne. Le
jury est composé de représentants appartenant à 16 académies des sciences qui
récompensent chaque année les sociétés innovantes européennes dans le domaine
des technologies de l'information.
2007 : Validy reçoit le prix MOTOROLA au salon
Sino-Européen CHINICT2007
Motorola récompense S.A Validy en lui décernant l’un des prix «
ChinICT Top Innovator Award ».Ce prix récompense Validy pour sa
technologie de protection des logiciels et systèmes informatiques contre le piratage et le sabotage. La
distinction a été remise lors du salon sino-européen « ChinICT 2007 » tenu les 24 et 25 mai à Pékin
(Chine), sous le haut patronage de Mme Viviane Reding, Commissaire Européen de la société de
l’information et des médias en présence de représentants des autorités officielles chinoises et de
grands noms de l’industrie informatique mondiale comme Microsoft, Motorola, Cisco, Cina…
2008 : Le projet SECTOKEN porté par Validy est labellisé par le
pôle de compétitivité mondial MINALOGIC
Le comité de labellisation du pôle de compétitivité mondial MINALOGIC, après examen,
a décidé à l'unanimité de décerner le label MINALOGIC au projet SECTOKEN, porté par Validy. Le
comité a été très sensible à la forte implication des PME et des laboratoires de recherche dans ce
projet.
Partenaires du projet SECTOKEN : VALIDY, CEA CESTI LETI Laboratory, TIMA Laboratory, TIEMPO
Company.
Le projet SECTOKEN après avoir été labellisé à l'unanimité du jury n'a pas été financé par le Fonds
Unique Interministériel (FUI) du Ministère des Finances (MINEFI).
2010 : AMERICAN SECURITY CHALLENGE
Washington DC, Validy est semi-finaliste au prestigieux concours AMERICAN
SECURITY CHALLENGE (ASC) et peut, à ce titre, se prévaloir de faire partie des 22
sociétés qui font l’objet d’un suivi et d’une promotion continue par ASC. ASC a pour
objet de promouvoir et favoriser la mise sur le marché de technologies de sécurité innovantes
destinée à protéger les Etats Unis d’Amérique.
Validy Net Inc. - SA Validy - Validy International - Mentions légales - Plan du site
Accueil Solutions Produits Support Société Contact Presse
La sécurité par la transparence
2f1e772d
Chercher
Validy
Société
A propos de Validy
Prix et reconnaissances
Presse
Quelques Dates
Brevets
Page 1 sur 1Prix et reconnaissances
24/02/2012http://www.validy.com/fr/societe/prix/
5. Réponse à votre courrier : Votre réponse Internet : SCP/CdO/A119517
Monsieur le Président de la République,
Je vous remercie d'avoir signalé mes préoccupations au Ministre de l'Economie et des Finances et de
l'Industrie.
Vous en aviez déjà fait de même il y a plus deux années et cela est resté sans effet. C'est pourquoi je
me permets d'insister. Je ne comprends pas pourquoi notre dossier est traité de la sorte.
Comme je l'ai expliqué à M. Le Premier Ministre dans mon courrier du 5 décembre 2010.
Validy représente une opportunité à fort caractère stratégique :"Permettez-moi une comparaison
avec une filière qui s’est créée dans les années soixante-dix, afin de mieux imager l’objet de notre
requête : Validy se trouve vraiment dans la même situation, que la société Innovatron fondée par M.
Roland MORENO inventeur de la carte à puce.
Cette innovation a permis la création d’une filière industrielle dont la réputation ainsi que les
résultats sont aujourd’hui encore considérables, tant sur le plan économique que stratégique."
Monsieur le Premier Ministre m'avait fait répondre que son agenda ne lui permettait pas de traiter
mon dossier.
Je note aussi que je n'ai jamais réussi à rencontrer M. Eric BESSON bien qu'il soit aussi un élu de la
Drôme. Vous n'êtes pas sans ignorer que Validy est à Romans dans la Drôme.
De plus, la Drôme dispose de sites hautement sensibles qui doivent être protégés contre le sabotage
informatique, la cybercriminalité et le cyber terrorisme conformément à l'article LR 1332 du code de
la défense. C'est exactement un des champs d'application de notre technologie pour sécuriser les
systèmes SCADA qui pilotent les centrales nucléaires.
Ces sites sont la FBFC, les centrales nucléaires de Cruas et de Tricastin. l'ANSSI dit vouloir référencer
notre technologie. Dans les faits ce référencement ne peut se faire qu'avec le concours d’ AREVA ou
de l'exploitant des centrales EDF.
Notre technologie est un outil qui sert à protéger des systèmes existants. Le système existant
pourrait être le logiciel SCADA d'AREVA.
Quand AREVA s'est montré intéressée par notre technologie le 26 mai 2009, le directeur de la sureté
et son adjoint nous ont décrit pourquoi ils avaient besoin d'utiliser notre technologie.
Selon leur dire, une intervention extérieure les aurait empêchés de concrétiser un accord de licence
que nous étions tout disposés à leur accorder. Vous le comprenez, officiellement, Validy devrait
pouvoir faire référencer sa technologie auprès de l'ANSSI, officieusement tout serait fait "dans
l'ombre" pour que cela ne puisse pas être le cas.
6. M. Le Président de la République, votre intervention s'avère donc être nécessaire et indispensable
afin que les nombreux freins qui se sont mis en place pour nous empêcher d'émerger soient levés
grâce à votre haute autorité.
Veuillez agréer, Monsieur le Président de la République l'expression de ma plus haute considération.
Gilles SGRO
Président du Directoire
SA Validy
Mobile : +33 684 60 00 96
gilles.sgro@validy.com
8. STUXNET
25n°29
L
afaillite de la Barings Bank, en 1995, cau-
sée par le trader Nick Leeson avec 827
millions de livres sterling de pertes a été
le thème du film « Trader – l’homme qui a
fait sauter la banque de la Reine d’Angle-
terre » sorti en 2000 avec Erwan McGre-
gor. Au début de l’année 2008, on découvre que
la Société Générale passe de très peu à côté de la
faillite avec l’affaire « Jérôme Kerviel » : 50 milliards
d’euros d’exposition et près de 5 milliards d’euros de
pertes(
*)
.Latourmentefinancièredel’automne2008
nous a donné un tout autre tempo : la crise améri-
caine des « subprimes » met en jeu 500 milliards
de dollars de valeur fictives! Et les affaires ne sont
pas terminées : Madoff avec 50 milliards de dollars,
ou encore le renflouement des finances de l’Irlande
avec 85 milliards d’Euros, etc.
Stuxnet pourrait bien être à la SSI ce que Nick Lee-
son a été au système financier : le premier épi-
sode d’une longue série dont les effets pourraient
finir par être très dévastateurs. Le risque encouru
par les systèmes industriels est connu depuis de
nombreuses années et est régulièrement exposé
au cours de grandes conférences comme la Black
Hat, la RSA Conférence, ou le FIC. Mais force a été
de constater que ce risque était considéré comme
non avéré : l’attaque n’avait pas eu lieu... Dès lors,
la tentation de classer ce risque comme résiduel,
c’est-à-dire acceptable sans vraiment apprécier
son impact est fort... La médiatisation de l’attaque
Stuxent aura au moins eu le mérite de provoquer
une vaste campagne de sensibilisation sur la sé-
curité des systèmes industriels.
> Les éléments de l’attaque
Il convient naturellement de rester très prudent
sur ce que nous savons des véritables objectifs de
ce ver. Une tendance générale se dégage toutefois
pour supposer que ce malware a été conçu afin de
détruire les centrifugeuses de l’usine d’enrichisse-
ment d’uranium de Natanz, en Iran. Des faits ont
en effet été rapportés par l’AIEA sur un retard de
ce programme et le gouvernement iranien a lui-
même reconnu l’existence de problèmes. Le code
exécutable des commandes des centrifugeuses
auraient été modifiées pour changer leur vitesse
de rotation et les détruire. Il s’agirait donc d’une
attaque sur les systèmes de supervision WinCC de
Siemens, qui contrôlent, sur un ordinateur exploité
sous Windows, les systèmes Scada (Supervisory
Control and Data Acquisition).
L’affaire aurait donc eu un objectif, le blocage, ou au
moins un sérieux ralentissement du programme nu-
cléaire iranien. Elle aurait également eu l’appui d’un
ou plusieurs états, les Etats-Unis et/ou Israël, des
moyens intellectuels importants et sans doute éga-
lement un travail traditionnel d’agents de terrain.
Ce genre d’attaque ne ressemble cependant pas
aux vers que nous avons connus au début des
années 2000 et qui se propageaient sur l’Inter-
net. Les équipements d’une centrale nucléaire ou
d’une usine d’enrichissement ne sont en effet pas
accessibles de l’Internet. Des réseaux spécifiques
sont conçus, totalement cloisonnés. Il est même
courant de mettre en œuvre des « firewalls-dio-
de » permettant à un équipement de mesures
d’envoyer des données vers une salle de contrôle,
sans qu’il ne soit possible d’envoyer des ordres à
cet équipement pour le perturber, voire de changer
son code exécutable.
Ces principes sont largement diffusés et sont
précisés dans les documents du Nuclear Energy
Institute américain, notamment le document
NEI0404. L’attaque, dit-on, aurait été menée grâce
à des clés USB. La composante humaine a donc
été employée... A quel niveau, de quelle manière ?
Les choses ne sont pas claires : un agent sur place
agissant délibérément ? Ou une contamination en
amont de programmes exécutables pour que des
techniciens autorisés compromettent ensuite,
à leur insu, les commandes des équipements ?
Dans la mesure où plusieurs installations ont été
infectées dans le monde, le second scénario nous
semblerait plus plausible...
Selon la publication israélienne Debka spécialisée
dans le renseignement militaire, le professeur
iranien Majid Shahriari, chargé de lutter contre
Stuxnet a été assassiné en novembre dernier. Le
mode opératoire a été celui d’explosifs lancés
depuis des motos et d’une fusillade depuis une
voiture. Le pouvoir iranien a pour sa part immédia-
tement accusé les Etats-Unis et Israël, confirmant
ainsi l’assassinat du scientifique...
L’analyse du ver Stuxnet a été réalisée par de
nombreux experts et on a pu assister à un très im-
portant travail d’échanges entre les experts et les
éditeurs de solutions anti-malwares. Un rapport
très complet a notamment été réalisé par Syman-
tec. Les experts ont identifié l’exploitation de qua-
tre failles « 0 day ». L’exécution d’un payload ren-
due possible par l’exploitation de la faille LNK non
corrigée permettait de compromettre le système
en exécutant un code malicieux depuis une clé
USB par un appel de lien .ink. Pour l’ensemble de la
profession, la combinaison de 4 failles représente
un travail exceptionnel et jamais vu à ce jour. Sy-
mantec explique que le système de contrôle des
fréquences des moteurs entre 807 Hz et 1210 Hz
(*) :Lire Mag-Securs
n°19 (2e
trimestre
2008) –
Affaire Société
Générale : quelles
leçons en tirer?
9. 26 n°29
DOSSIER STUXNET
étaient visées. Les experts relèvent également
que l’attaque exploite l’utilisation d’un mot de pas-
se par défaut. WinCC / PCS7 s’appuie en effet sur
une base de données MS SQL qui demande un mot
de passe pour établir une communication interne.
La vérification ne concerne donc pas l’utilisateur
du système et Siemens recommande à ses clients
de ne pas changer le mot de passe pour éviter des
dysfonctionnements...
L’étude du ver fait encore apparaître que deux
certificats ont été volés à JMicron et Realtek. Le
système vérifie en effet l’authenticité des codes
exécutables auprès d’une autorité de certifica-
tion : Verisign. Mais le code exécutable modifié
disposait des certificats originaux et l’autorité de
certification les reconnaissait comme valides !
Comment les certificats ont-ils été volés ? Infiltra-
tion, commandos, espionnage, achat de person-
nes... L’histoire ne le dit pas encore, mais il existe
de nombreux films qui montrent cela...
Les experts estiment que ce ver a demandé un
travail de 6 mois à un an à une équipe de 6 à 10
personnes. L’analyse du code montre par ailleurs
des éléments plus curieux. Il comporterait un fi-
chier nommé « Myrthus », ce qui signifie « l’arbre
de Myrthe » en français. Or, on trouve dans la Bi-
ble le Myrthe comme étant un symbole de justice :
« au lieu du buisson croîtra le sapin et au lieu de
l’épine croîtra le Myrthe : et cela rendra glorieux le
nom de l’éternel et sera un signe perpétuel, qui ne
sera jamais retranché ». D’autres experts y ont vu
une allusion au Livre d’Esther, et donc à la Torah :
« elle s’appelait Hadassah parce qu’elle était juste
et que l’on compare au Myrthe ceux qui aiment la
justice ». Hadassah est l’un des noms de la reine
Esther qui signifie Myrthe. Le Livre d’Esther expli-
que comment la reine Hadassah déjoua les atta-
ques perses destinées à anéantir le peuple juif.
Autre détail issu de l’analyse du code, le ver s’ar-
rêtera de fonctionner le 23 juin 2012. Des experts
ont relevé que c’est très exactement 100 ans, jour
pour jour, après la naissance d’Alan Turing, connu
pour ses travaux sur les ordinateurs, mais aussi
pour avoir dirigé une équipe de cryptanalyse du-
rant la seconde guerre mondiale dans le centre de
Bletchley Park qui décodait les communications
allemandes et a joué un rôle considérable dans la
victoire alliée contre le régime nazi...
L’unanimité n’est cependant pas de mise entre
tous les experts SSI de la planète. En Israël, on
trouve des spécialistes qui dénoncent une campa-
gne de communication hostile à leur pays et qui
minimisent les capacités de Stuxnet. En France,
Daniel Ventre, ingénieur au CNRS et directeur de
la collection « Cyberconflits et Cybercriminalité »
aux éditions Hermès-Lavoisier, se montre très
circonspect vis-à-vis de nombreuses conclusions
qui sembleraient avérées pour le plus grand nom-
bre. « L’attaque n’était pas ciblée, souligne-t-il,
elle a touchée l’Inde, l’Indonésie, la Russie, les
Etats-Unis et la Chine ! Son origine étatique n’est
pas démontrée : un travail de 10 ingénieurs pen-
dant 10 mois est à la portée d’une entreprise, ou
d’un groupe d’étudiants ! » Dans son rapport sur
Stuxnet, Symantec met toutefois en évidence que
le plus grand nombre d’attaques se trouve bien
manifestement en Iran, très loin devant les autres
pays...
> Un risque sur les centrales
françaises?
Le risque a été pris au sérieux par les autorités
françaises de possibles effets sur nos centrales
nucléaires, en France. L’IRSN a publié le 30 sep-
tembre une note d’analyse sur Stuxnet.(
*)
On y lit que seul le réacteur nucléaire EPR en
construction à Flamanville utilise un système de
contrôle-commande Siemens. Son éventuelle sen-
sibilité à des logiciels tels que Stuxnet doit donc
être prise en compte dans l’analyse de sûreté. La
propagation du ver Stuxnet nécessite que les or-
dinateurs de supervision exploitent Windows et
que les logiciels de supervision soient ceux de la
gamme PCS 7/WinCC de Siemens.
L’IRSN poursuit en expliquant le besoin d’une dé-
marche globale d’analyse critique de sûreté, avec
une analyse technique systématique et détaillée
des systèmes, dont les dysfonctionnements
peuvent influencer la sûreté d’une installation
nucléaire. Pour le réacteur EPR, explique encore
l’IRSN, EDF a retenu la gamme « SPPA-T2000 » de
Siemens, basée sur sa technologie « S5 » plus an-
cienneetradicalementdifférentedesatechnologie
« WinCC / S7 » visée par Stuxnet. Les ordinateurs
de supervision du réacteur EPR de Flamanville ne
sont pas basés sur le système d’exploitation Win-
dows et n’utilisent pas les logiciels WinCC et PCS
7 ; le ver Stuxnet est donc sans influence sur eux.
Et l’IRSN poursuit en précisant que l’analyse de
sûreté de la plateforme SPPA-T2000 de Siemens a
permis de vérifier d’avance qu’elle présentait les
propriétés qui garantissent, entre autres, son im-
munité aux logiciels malveillants, et en particulier
au ver Stuxnet. Le Système de Protection de l’EPR,
le plus important des systèmes de sûreté, est dé-
veloppé à partir d’une autre technologie nommée
Teleperm XS. Cette technologie d’Areva ne com-
porte pas les logiciels ciblés par Stuxnet et ses
(*) : www.irsn.fr/FR/
Actualites_presse/
Communiques_et_
dossiers_de_presse/
Pages/20100930-Ver_
informatique_Stuxnet_
peut_il_menacer_
centrales_nucleaires_
françaises.aspx
10. 28 n°29
automates de sûreté n’ont aucune interface qui
permettrait à un logiciel malveillant de l’infecter.
Voici qui est rassurant… ou très inquiétant, car rien
ne dit qu’un autre malware ne pourrait, lui, aboutir
à mener une attaque contre des sites français... Il
faut continuer à réaliser des études de sécurité
très strictes.
> Approfondir les principes des
analyses de risques et les
paradigmes de la sécurité
Stuxnet nous enseigne surtout qu’il est nécessai-
re d’approfondir nos principes d’analyse de risque.
Nous sommes en effet habitués à nous interroger
sur l’origine des menaces auxquelles nous devons
faire face et à en écarter de nombreuses pour
conserver des systèmes simples. Or, si nous rete-
nons le scénario que Stuxnet visant les centrifu-
geuses iranienne, nous devons aussi reconnaître
quepourréalisersacontaminationetatteindreson
objectif, il a dû se répandre dans la nature et peut
encore causer des dégâts sur des équipements
d’autres industries. Le code utilisé par Siemens
n’est-il pas aussi utilisé dans d’autres équipe-
ments industriels comme il est souvent l’usage ?
Dès lors le fait de ne pas avoir identifié d’ennemis
directs ne veut pas dire qu’il n’existe pas une expo-
sition à une attaque extrêmement sophistiquée...
La notion de dégâts ou de pertes collatérales bien
connues dans les opérations militaires peuvent
aussi exister dans nos entreprises.
Nous devons de même intégrer le fait que des at-
taques étatiques, même si elles ne sont pas tota-
lement avérées, doivent être aujourd’hui considé-
rées comme plausibles.
Beaucoup d’analyses de risque se concentrent sur
la disponibilité des systèmes. Il faut que l’entrepri-
se produise, vende et se fasse payer. Des moyens
importants sont mis dans les sauvegardes, la
lutte anti-incendie, les plans de reprise d’acti-
vité. Dans de nombreuses grosses PME, l’analyse
de risque se limite d’ailleurs souvent à ce stade.
La confidentialité des informations est souvent
prise en compte en raison d’enjeux commerciaux,
de contraintes réglementaires, par exemple pour
les données de santé, ou encore de questions de
souveraineté nationale. Là aussi, les moyens sont
en général mis en œuvre sont parfois importants :
chiffrement, traçage des logs, infrastructure de
gestion de clés, etc.
Le contrôle de l’intégrité des programmes et codes
exécutables ne suscite pour sa part qu’un niveau
de préoccupation assez bas. Certes, toutes les
entreprises admettent qu’il faut mettre des antivi-
rus... encore que sur le Macintosh et les serveurs
Unix / Linux la pratique soit encore exceptionnelle!
Ladéfenseenprofondeurestparfoispriseencomp-
te, avec un logiciel anti-malware sur le poste de tra-
vail et un second sur la passerelle de l’entreprise,
voire un troisième sur le serveur de messagerie si
celui-ci est hébergé. Il est aussi souvent d’usage de
contrôler l’accès à certains équipements en interdi-
sant et en bloquant de nombreux accès : par exem-
ple en supprimant les ports USB.
Ensuite, il existe les solutions de signatures des
codes par différents procédés : RSA, courbes ellip-
tiques, etc. Le système suppose la mise en place
d’une infrastructure de gestion de clé IGC, ou PKI.
On trouve malheureusement parfois des contrôles
d’intégrité qui ne sont basés que sur un simple
hash du code. Le code est envoyé avec son em-
preinte MD5, ou SHA1 : à la réception le système
vérifie que le code et l’empreinte sont cohérentes.
Cela n’empêche pas un éventuel attaquant de mo-
difier le code et d’envoyer une nouvelle emprein-
te... Ce n’est pas sérieux !
Le cas de l’attaque Stuxnet nous révèle un autre
scénario : celui du vol de certificats. L’autorité de
certification ne sert plus à rien et l’IGC est détrui-
te... Les premières traces d’une attaque ressem-
blant à ce qu’est devenu Stuxnet remontent, selon
le rapport de Symantec, à fin 2008. La vulnérabi-
lité permettant l’exécution de code distant dans
le spooler d’imprimantes partagées date d’avril
2009. Une pré-version de Stuxnet est découverte
en juin 2009. Le 25 janvier 2010, le driver Stuxnet
est signé avec un certificat paraissant « valide »
appartenant à RealTek Semiconductor Corp. Le 16
juillet 2010, Verisign révoque le certificat de Real-
tek Semiconductor Corp. Le 17 juillet 2010, ESET
identifie à nouveau Stuxnet signé avec un certifi-
cat provenant de JMicron Technology Inc. Verisign
ne révoquera ce certificat que le 22 juillet... Bref,
l’ICG fournie avec Verisign est restée perméable
durant de longs mois...
Mais ces scénarios sont-ils intégrés aujourd’hui
dans nos analyses de risques ? Ne faut-il pas
changer de paradigmes ? Trouver une autre façon
de s’assurer de l’intégrité d’un code exécutable ?
L’interdiction de toute connexion sur une machine ne
tientpastoujoursfaceauxexigencesdel’exploitation.
On a déjà vu des systèmes avec des ports USB noyés
dans la résine, mais il reste toujours un moment où
on doit mettre à jour les logiciels, et alors...
Prétendre qu’un certificat ne sera jamais volé n’est
pas non plus très sérieux. Ne faut-il pas aller plus
loin avec d’autres mesures de sécurité et une dé-
fense en profondeur accrue ?
DOSSIER
11. 29n°29
C’
est le fait que la cible soit constituée
d’infrastructures SCADA qui a créé le
mouvement dans les médias expli-
que Michel Lanaspèze. La plupart des
laboratoires de recherche explique-
t-il traitent plus de 60000 nouveaux
échantillons de malware chaque jour, ce qui leur laisse
peudetempspouranalyserlesintentionspossiblesd’un
code malveillant : leur mission première est de détecter
et bloquer les menaces, avant d’analyser et d’expliquer
lesconséquencespossiblesdesattaques.
David Grout ajoute que les éléments nouveaux les plus
forts autour de cette attaque sont surtout liés au fait
qu’elle était scrupuleusement ciblée. Elle rentre dans
une famille d’attaques spécifiques qui se nomment APT
(Advanced Persistant Threat) qui ont un objectif unique,
et qui sont écrites et dédiées à cet objectif. Le ver, pour-
suitDavidGrout,utilisaitdesurcroîtunecombinaisonde
facteurs qui permettent aujourd’hui de penser que les
auteursdeceveravaientdesmoyensimportants:
•Dessignaturesnumériquesspécifiquespermettantde
bypasserlescontrôlesapplicatifs.
•L’utilisation d’un grand nombre de vulnérabilités incon-
nuesounonpubliées.
•Une connaissance d’un niveau Expert des environne-
mentsSiemensPCL.
•Le besoin d’une première intervention manuelle sur le
systèmepourlancerl’attaque.
Ce ver est extrêmement intéressant dans sa complexité
ajoute-t-il:
•Une utilisation de 4 zero-day exploits (par exemple :
ms10-046 – lnk/shortcut vulnerability, ms10-061 –
printspoolervulnerability).
•Des drivers signés et valides (par exemple : mrxcls.
sys).
•LepremierrootkitPCL(ProgrammableLogicControl).
•DesrootkitWindows.
Pournostroisexperts,lesmédiasnesesontpassaisisdel’histoiredeStuxnettrèstôt.La
complexitédecettemenaceetdesonhistoireenestprobablementenpartielacause.Lesdétailsde
sonfonctionnementainsiquesesciblesontétépubliésaucompte-goutte.
Le bilan Stuxnet pour
les éditeurs d’antivirus
STUXNET
EntretienavecPierre-MarcBureau,chercheur-analystechezESET,
MichelLanaspèze,expertchezSophos,etDavidGrout,expertchezMcAfee.
12. 30 n°29
DOSSIER
collaboration favoriserait l’identification des menaces
qui seraient alors plus rapidement détectées. De plus
ajoute-t-il, plusieurs solutions peuvent également être
envisagées pour sécuriser les systèmes d’exploitation ;
n’oublionspasque,sanslesfaillesinconnuesexploitées
parStuxnet,ilneseseraitpaspropagéaussilongtemps
sansêtredécouvert.
Mais Pierre-Marc Bureau fixe aussi les limites de ce que
peut faire un antivirus. « Nos antivirus, déclare-t-il, ne
doivent toutefois pas être responsables du contrôle de
lasignaturedecode.»Cettetâchedevraitêtreeffectuée
parlesystèmed’exploitation.DanslecasStuxnet,laplus
grandefailleaétéqueJMicronetRealteksesoientfaitvo-
lerleurscertificatsetqu’ilsn’aientpasrapportécettefuite
d’information. Ce manquement a mis des milliers d’utili-
sateurs,quifontconfianceàleurscertificats,endanger.
Pour David Grout, la prévention contre de telles attaques
passeparunecombinaisondecontrôleapplicatifparliste
blanche, d’antivirus, d’antirootkit, mais aussi de sécurité
physique d’accès au matériel permettrait de limiter ce
typed’attaque.
« Il existe aujourd’hui, explique encore David Grout, deux
principauxtypesd’attaquesquisontlesversetviruspour
monsieur tout le monde et les nouvelles générations qui
ciblent des actifs spécifiques : Stuxnet, Zeus, Aurora en
font partie. D’où aujourd’hui le besoin primordial, de sui-
vre et monitorer son infrastructure si celle-ci présente
un attrait pour l’extérieur, certes les coûts ne sont pas
anodinsmaislerisqueestfortetlejeuenvautsurement
la chandelle. Bon nombre de sociétés ont aujourd’hui
classél’antivirusdanslacatégoriedesoutilsdecommo-
dités ; je pense qu’elles sont dans le faux ; la donnée de
l’entreprisevautplusquejamaisdel’or:concurrencesur
brevet,avancetechnologique,revenu...»
«Pourconclure,termineDavidGrout,ilfautsavoirestimer
correctement la criticité de la cible que l’on souhaite pro-
tégerpourymettrelesbonsniveauxdeprotectionsetles
moyens,cen’estpasparcequ’unOSn’estquepeuconnu
ouqu’uneapplicationn’estquepeuattaquéequecelles-ci
nepeuventpasattirerunpublicaverti.»
«Enfin,cetteaffairemontre,nousditMichelLanaspèze,
qu’ilestlégitimedeseposerdesquestionssurlasécurité
des certificats dans la mesure où il semble que Stuxnet
aitpuêtreporteurdecertificatsqu’iln’étaitpasautorisé
àutiliser.»
« Il semble évident, termine pour sa part Pierre-Marc
Bureau, que dans le futur la validation d’intégrité d’un
système sera en partie validée par un composant hard-
ware.Parcontre,jen’aipaslacompétencepourimaginer
commentcesmécanismesserontdéployés.Ladéfense
en profondeur, la séparation de privilèges, l’isolation de
systèmes critiques, le contrôle d’accès sont toutes des
solutionsconnuesquiprotègentefficacementlessystè-
mesinformatiques.»
•DestechniquesavancéespouréviterlesdétectionsAV.
•Destechniquesdepropagation.
•Des mises à jour et des mutations (par exemple via
desconnexionssurwww.todaysfutbol.comouenpeer
topeer).
Il est extrêmement rare, ajoute Pierre-Marc Bureau, de
voir un ver informatique exploiter une faille de sécurité
jusqu’alors inconnue. C’est le premier malware à atta-
quer des infrastructures critiques. Un logiciel malveillant
cherche habituellement à infecter le plus de systèmes
possibles.Stuxnetdevaitpoursapartpénétrerunoudes
réseaux hautement sécurisés. L’utilisation de plusieurs
certificats volés pour se propager sans attirer de suspi-
cionconstitueaussiunfaitnouveau.
Ce ver était complètement inconnu et se propageait
par des vecteurs d’infection nouveaux, il était donc
très difficile à détecter. Une fois le fichier soumis aux
éditeurs d’antivirus, poursuit Pierre-Marc Bruneau,
une détection a été ajoutée et maintenant les échan-
tillons de Stuxnet sont détectés au même titre que
tout autre « vulgaire malware ». Stuxnet utilise les
mêmes technologies que d’autres malwares quand
il s’installe sur un système, c’est-à-dire un ensemble
de fichiers « Portable Executable » (PE).
MichelLanaspèzeconfirmecetteanalyse.«Lesantima-
lwares, dit-il, sont très efficaces pour détecter et bloquer
lesmalwaresconnus.Ilssontégalementefficaces,mais
dansunemoindremesure,pourbloquerlesmalwaresin-
connus. » Dès que Stuxnet a été identifié, la plupart des
éditeurs de solutions anti-malwares ont rapidement mis
àjourleurssolutionspourbloquercettenouvellemenace
etprévenirladiffusiondel’infection.
« Pratiquement toutes les solutions antimalware intè-
grent des techniques qui vont bien au-delà des classi-
ques « signatures » pour prévenir les infections de ma-
lwares inconnus » poursuit encore Michel Lanaspèze.
Parexemple,lestechniquesdeprotectioncomportemen-
tale,leHIPSetc...Cestechniquesfontl’objetd’innovations
constantes, et c’est leur perfectionnement qui permet-
tra de réduire l’impact des attaques « zero-day ». Il faut
cependant garder à l’esprit qu’une protection efficace à
100%contretouteslesmenacesinconnuesresterasans
doute un Graal inatteignable, et c’est donc dans la mise
en place de techniques de protection complémentaires
(contrôle des accès réseaux, détection des intrusions,
gestion des vulnérabilités etc.) et la capacité à réagir ra-
pidement et efficacement à des attaques originales qu’il
fautrechercheruneréponseàdetellesattaques.
PourPierre-MarcBureau,unemeilleurecollaborationen-
tre les éditeurs de sécurité et les communautés d’uti-
lisateurs permettrait sans doute que dès qu’un fichier
potentiellement malveillant est identifié, il serait sou-
mis aux éditeurs d’antimalwares pour analyse. Cette
13. L
a société Validy Net Inc. a été créée en 1998
par une équipe française dans l’Etat d’Ore-
gon aux Etats-Unis. Ses fondateurs s’étaient
connus au sein de la pépinière d’entreprises
de l’Ecole Polytechnique à Palaiseau, X Pôle,
autour du projet HyperParall Technologie, pré-
décesseurduHPCactueletdesordinateursdépassantde
nosjourslePetaflop.
Gilles Sgro est issu du monde de la direction des sys-
tèmes d’informations. Jean-Christophe Cuenod est
diplômé de l’ENS, rue d’Ulm, de la promotion 1981,
option physique. Christophe Vedel, Docteur en infor-
matique et diplômé de l’Ecole Polytechnique de la
promotion 1986.
Validy Net Inc a investi au total 9 millions de dollars,
dont 2 millions ont été consacré à la protection de la
propriété intellectuelle. Sa filiale française, Validy SA,
a déposé une dizaine de brevets dont la couverture
mondiale représente un portefeuille d’une centaine
de brevets et demandes de brevets. Validy Net Inc
a été finaliste cette année de l’American Security
Challenge.
> Combiner protection hardware
et software
Validy s’est intéressée aux solutions de défense du
code informatique. Pour cela, elle utilise un composant
matériel sécurisé qui va exécuter une partie des opéra-
tions de l’application à la place du processeur principal
de l’ordinateur. Ce dernier ne peut pas fonctionner sans
obtenir le résultat des calculs de ce composant maté-
riel. Cette technologie s’attaque donc au risque inhé-
rent de la mise en œuvre d’un code exécutable dans un
système. Un compilateur pour Java a ainsi été dévelop-
pé par Christophe Vedel pour « spliter » l’exécutable en Programmesansprotection Programmeavecprotection
deux : une partie pour le processeur principal et l’autre
pour le coprocesseur de sécurité.
Les techniques de signatures des codes exécutables
servent aujourd’hui à réduire le risque de compromis-
sion pour l’amener à un niveau résiduel, c’est-à-dire
acceptable. Toutefois nous expliquait Jean-Christo-
phe Cuenod en mai dernier (avant la médiatisation
de l’affaire Stuxnet et juste après notre rencontre au
FIC 2010), on a tort de considérer ce risque résiduel
comme étant seulement potentiel : il est d’ores et déjà
avéré! Pour les systèmes embarqués, soumis à l’at-
taque éventuelle de l’utilisateur (ou d’un attaquant à
l’insu de l’utilisateur), il y a longtemps que des sys-
tèmes de signatures ont été subvertis par diverses
méthodes. La Xbox utilise ainsi des signatures pour
n’accepter de charger que des jeux autorisés par Mi-
crosoft… et cette protection a sauté! Plus récemment,
l’iPhone d’Apple n’accepte théoriquement que le char-
gement d’applications signées provenant de l’Apple
STUXNET
LorsduForumInternationaldelaCybercriminalité,
finmarsdébutavrildernier,larédactionde
Mag-SecursavaitrencontrélasociétéValidy.Nous
connaissionsdéjàcetteentrepriseetnousétions
intéressésàsestechnologiesen2005.Nos
discussionsenmaietjuinavecelleontalors
portésurlespossibilitésdegarantirl’intégrité
d’uncodeexécutable.
Changement de paradigme pour garantir
l’intégrité du code avec la société Validy
31n°29
14. 32 n°29
Store. Il est cependant possible de « jailbreaker »
son iPhone pour lui permettre d’exécuter à peu près
n’importe quoi. Dans les deux cas, des améliora-
tions logicielles et/ou matérielles ont permis à leur
fabriquant de reprendre temporairement l’avantage
pour les nouvelles séries de machines vendues,
mais pas de reprendre le contrôle des machines
subverties.
> Ne pas bâtir la confiance sur
un élément extérieur non maîtrisé
De plus ajoutait Jean-Christophe Cuenod, quand la pro-
tection est centralisée (ndlr : c’est le cas de l’autorité
de certification d’une IGC), la faire sauter ouvre tout le
système. « Notre solution porte pour sa part sur cha-
quesystèmeprisindividuellement,cequidécouragera
lesattaquants...»
Le problème de taille restant selon Jean-Christophe
Cuenod, est celui de la confiance dans la vérification,
donc in fine dans l’autorité de certification. Il existe
deuxvoiesd’attaque:
•lebypassdelavérificationparcorruptionduprogramme
de vérification ou de sa base de données de clés publi-
ques;
•le changement du code entre le moment de sa vérifi-
cationetdesonexécution.
Toutes sortes d’attaques tout à fait classiques peu-
vent être utilisées à cet effet. Selon la situation, on
peut penser à :
• Le programme de vérification V est utilisé pour vé-
rifier le programme P. Un bug de sécurité est repéré
dans le programme P qui doit donc être remplacé
paruneversioncorrigée,signéeettransmiseparle
réseau. L’attaque est la suivante : avant le rempla-
cement de P par sa version corrigée, l’attaquant se
sert de la faiblesse de P pour écrire un « exploit »
et prend le contrôle de la machine le temps de mo-
difier V en Vbad en substituant une clé publique.
Dorénavant tout code provenant de l’attaquant est
considéré comme légitime.
• L’attaquant a l’accès physique à la machine.
Grâce à cet accès physique, il boote non pas le
système standard, mais un logiciel permettant
l’accès direct au file-system. Il se sert de cet
accès pour changer V en Vbad ou même direc-
tement changer le programme P. La difficulté de
ce type d’attaque dépend du type de hardware.
Sur un PC elle est triviale et utilisée de manière
« routinière » en bootant sur un « live CD » pour
changer un mot de passe oublié. Sur les conso-
les de jeu, un « mod chip » à quelques euros per-
met le même résultat. Sur des machines telles
que les smartphones, la miniaturisation est un
frein pour le hacker de base mais n’arrête pas un
attaquant déterminé.
Ces attaques ont déjà été utilisées avec succès à de
multiplereprisespourdésactiverdesantivirusetseront
sans nul doute employées avec le même succès pour
désactiverlessystèmesdevérificationdesignatures.
Prenons comme autre exemple un VPN réalisé avec
des boîtiers dédiés. Ceux-ci établissent une enceinte
sécurisée (walled garden), mais ne répondent pas à la
problématique d’authentification du code. Si dans l’en-
ceinte sécurisée, un seul des participants devient at-
taquant, volontairement ou non, les boîtiers ne servent
plusàrien!
Juste pour prendre un exemple concret, si un employé
travaillant dans l’enceinte sécurisée a envie de suivre
lesmatchslacoupedumondedefootballetinstalleun
dongle 3G sur sa machine, le trou ainsi créé dans l’en-
ceinte peut être béant et permettre une compromis-
sionmassive.
Pour résumer « La confiance ne se transmet pas».
Si vous voulez avoir confiance dans un programme,
vous ne pouvez pas vraiment compter sur un méca-
nisme extérieur à ce programme pour vous garantir
son intégrité.
> La vérification est intrinsèque au
système : c’est une auto-signature
sans autorité de certification
C’estlàqueValidyTechnologydiffèredetouslesautres
systèmes que je connaisse : La vérification est intrin-
sèque au programme lui-même. La solidité dépend
uniquementde:
•la qualité de la mise en œuvre hardware (robustesse
dujetonàtouteslesattaquesenvisageables);
•la qualité de la mise en œuvre software (nombre de
variables cachées, entropie, taux de couverture, qua-
lité des transformations du programme par le post-
compilateur...);
•la disponibilité ou non pour l’attaquant d’un système
luiservantàl’apprentissage.
La valeur ajoutée de notre solution est que sa solidité
nedépenddoncpasd’hypothèsessurdesprogrammes
ou des mécanismes extérieurs. C’est tout simple mais
extrêmement important conclut Jean-Christophe Cue-
nodquimetainsiàbaslarobustessedesIGCproposant
ainsiunchangementtotaldeparadigmeenmatièrede
SSI pour garantir l’intégrité d’un code. C’est applicable
auxprogrammesdeSiemensvisésparStuxnet...
Les effets du ver Stuxnet commençaient à être média-
tisés en juillet, puis explosaient en septembre après
notre échange, en mai-juin, avec Jean-Christophe Cue-
nod,GillesSgroetChristopheVedel...
DOSSIER STUXNET
15.
16. www.validy.com
Validy SA Société anonyme à Directoire et Conseil de Surveillance au capital de 40 000 €
Z.I. – 5 Rue Jean Charcot 26100 ROMANS – Tél. +33 (0)475 717 717 – Fax +33 (0)475 717 718
RC ROMANS B FR 50 382 975 639 – APE 723Z
1 / 2
Gilles SGRO, Romans, le 5 décembre 2010
Président du Directoire
VALIDY S.A.
5, Rue Jean Charcot
26100 Romans Sur Isère
Monsieur François FILLON
Premier Ministre
Hôtel de MATIGNON
57, Rue de Varenne
75700 Paris
LRAR / Réf : GS10239
Objet : Sollicitation d’un rendez-vous afin de concrétiser la mise en place d’une filière
économique dans le domaine de la sécurité informatique exploitant l’innovation brevetée de la
société Validy (Lutte contre le sabotage, la cybercriminalité et le cyber terrorisme).
Monsieur le Premier Ministre,
Préalablement, permettez-moi de vous féliciter pour votre reconduction au poste de Premier
Ministre de ce nouveau gouvernement. Il me reste à souhaiter que votre action soit comprise
par les décideurs, ainsi d’ailleurs que par la population, et qu’elle rencontre le succès que vous
êtes en droit d’attendre.
Permettez-moi aussi, en tant que responsable d’une PME innovante implantée dans la zone
industrielle de Romans, d’appeler votre attention, sur l’opportunité à fort caractère stratégique
que constitue notre entreprise.
Bien que votre ministère en connaisse l’existence, je me permets de vous rappeler que la
société Validy dispose de technologies innovantes brevetées dans le domaine de la sécurité
informatique permettant notamment, de lutter très efficacement contre le sabotage
informatique, la cybercriminalité et le cyber terrorisme. C’est ainsi que le déploiement de
cette technologie, dans la sphère publique et privée, amènerait un bénéfice certain, tant au
plan de la Défense des Secteurs d’Activités d’Importances Vitales (article 1332 du code de la
défense), que sur le plan économique local, national et international.
Cette innovation est attendue par l’Agence Nationale de la Sécurité des Systèmes
d’Information (ANSSI), agence sous la tutelle du Secrétariat Général de la Sécurité de la
Défense Nationale qui est lui-même sous votre tutelle. Le livre blanc, sur l’application de la
Défense en Profondeur à la Sécurité des Systèmes d’Information qu’a publié la DCSSI en
2004 en témoigne. L’application de notre technologie au principe de la Défense en profondeur
renforce considérablement le niveau de sécurité des équipements protégés.
Une filière économique importante peut être créée par l’exploitation de cette innovation, en
permettant à bon nombre d’acteurs nationaux et internationaux de l’utiliser, et de la
commercialiser dans leurs secteurs d’activités au plan mondial.
17. 2 / 2
Saisir cette opportunité, à fort caractère stratégique, permettrait à ce nouveau gouvernement
d’afficher un succès en parfaite conformité à ses légitimes ambitions. Les français, ainsi que
les nombreux actionnaires et sympathisants de Validy, attendent une « success story » qui leur
démontre qu’en ces temps de crises, tout reste possible.
Permettre à une entreprise, détenant une telle technologie, la nôtre en l’occurrence, de mettre
cette filière en place avec l’ensemble des industriels concernés contribuerait, à n’en pas
douter, au rayonnement de notre pays sur le plan technologique, et remplirait certains des
objectifs que vous-même et Monsieur le Président de la République, vous êtes fixés.
Validy ne fait pas partie des grandes entreprises, cependant une structure américaine dès
l’origine du projet a été mise en place, afin de pouvoir adresser entre autre, le marché de la
sécurité informatique Nord Américaine. Je crois pouvoir affirmer, sous le contrôle de Mme la
Chef de Cabinet de Mme la Ministre Nathalie KOSCIUSKO-MORIZET, que Validy est un
« cas particulier », puisque c’est l’expression qu’elle a elle-même employée dans un courrier
qui m’était adressé en date du 1er avril 2010.
J’y vois alors une raison de plus, pour que sous votre arbitrage, en votre qualité de Premier
Ministre la décision d’exploiter au plus vite tout le potentiel économique et stratégique de
cette innovation, devienne factuelle. Les « investissements d’avenir » lancés sous votre
impulsion par le précédent gouvernement sont un des cadres qui pourrait contribuer à l’essor
de cette filière de sécurité (Cf. Briques Génériques du Logiciel Embarqués du rapport de M.
Dominique Potier du 7 octobre 2010).
Les peuples, plus particulièrement dans les périodes de crises, attendent des résultats tangibles
et rapides, ce qui est bien souvent difficile à réaliser puisque, entre les décisions
gouvernementales et leurs effets directs mesurables, s’écoulent nécessairement beaucoup de
temps. Les efforts conjugués de Validy avec l’ensemble des industriels concernés ne
manqueront pas de créer, à court et moyen terme, un grand nombre d’emplois directs et
indirects, ainsi que des résultats financiers qui pourraient être surprenants par leur importance.
Permettez-moi une comparaison avec une filière qui s’est créée dans les années soixante dix,
afin de mieux imager l’objet de notre requête : Validy se trouve vraiment dans la même
situation, que la société Innovatron fondée par M. Roland MORENO inventeur de la carte à
puce. Cette innovation a permis la création d’une filière industrielle dont la réputation ainsi
que les résultats sont aujourd’hui encore considérables, tant sur le plan économique que
stratégique.
Souhaitant que vous accédiez à notre demande pour un rendez-vous rapide afin de concrétiser
la mise en place d’une filière dans le domaine de la sécurité informatique mettant en œuvre
notre innovation. Je vous prie de croire, Monsieur le Premier Ministre, à l’assurance de ma
haute considération.
Gilles SGRO
Président du Directoire de SA Validy
Email : gilles.sgro@validy.com
Tél : +33 684 60 00 96
18.
19.
20. 13 législatureème
Question N° :
74469
de Mme Joissains-Masini Maryse ( Union pour un Mouvement Populaire -
Bouches-du-Rhône )
Question
écrite
Ministère interrogé > Industrie Ministère attributaire > Économie, finances et industrie
Rubrique > entreprises Tête d'analyse > PME Analyse > innovations
technologiques. commercialisation.
soutien de l'État
Question publiée au JO le : page :23/03/2010 3248
Date de changement d'attribution : 14/11/2010
Texte de la question
Mme Maryse Joissains-Masini attire l'attention de M. le ministre chargé de l'industrie sur les problèmes que rencontre
actuellement la société innovante Validy. Cette société dispose d'une technologie brevetée qui s'adresse au marché de
la sécurité informatique et qui est destiné à protéger les logiciels contre le piratage et le sabotage. Après dix années
d'efforts et 9 millions d'euros investis par des investisseurs privés français et alors que de grands groupes français ont
identifié l'opportunité à fort caractère stratégique que représente cette nouvelle technologie, aucun emploi n'a pu être
créé au sein de cette société innovante. Il semblerait que, depuis de nombreuses années, Validy soit victime d'un
enfermement commercial et administratif voulu par de grands groupes français. Face à ces attaques, cette société,
comme beaucoup d'autres sociétés innovantes, est dans l'incapacité de commercialiser ses technologies ou produits et
est contrainte de s'expatrier pour assurer le suivi de l'entreprise. Elle lui demande s'il ne pense pas, si ces pratiques
délétères existent, lors même qu'elles sont franco-françaises, qu'elles se révèlent contreproductives et destructrices,
tant à la société Validy qu'à bien d'autres, qui, toutes pourtant alliées à de grands groupes industriels, ne manqueraient
pas de contribuer au rayonnement de la France au plan mondial.
21. www.validy.com
Validy SA Société anonyme à Directoire et Conseil de surveillance au capital de 40 000 €
Z.I. – 5 Rue Jean Charcot 26100 ROMANS – Tél. +33 (0)475 717 717 – Fax +33 (0)475 717 718
RC ROMANS B FR 50 382 975 639 – APE 723Z 1 / 4
Le 23 Février 2010
Validy, société innovante, serait-elle plongée dans une France
en pleine féodalité économique ?
Le gouvernement vient d’afficher clairement sa volonté de favoriser le développement des sociétés françaises
innovantes, conscient que les emplois d’aujourd’hui et de demain dépendent de leur capacité à innover et à
déployer leurs innovations au plan mondial.
La société Validy dispose d’une technologie brevetée (10 brevets déposés dans 100 pays) qui s’adresse au marché de
la sécurité informatique. Issue de 10 années de Recherche & Développement, cette technologie est destinée à
protéger les logiciels contre le piratage (copie illicite) et le sabotage (cybercriminalité, cyber-terrorisme). En totale
rupture avec les techniques connues jusqu’alors, elle permet notamment de se protéger des attaques en sécurisant
les systèmes de pilotage des infrastructures comme les réseaux de distribution d’énergie ou de distribution d’eau.
Elle protège aussi efficacement les grands systèmes d’information ou les infrastructures bancaires et de
télécommunications que les logiciels embarqués sur les téléphones mobiles.
La technologie de Validy a été labellisée par le pôle de compétitivité mondial MINALOGIC à Grenoble après avoir été
validée par l’un des meilleurs laboratoires électroniques français, le LETI du CEA. Elle a également été nominée lors
du concours européen IST Prize et primée par Motorola lors du salon sino-européen ChinICT 2007.
Certains grands groupes français, grâce à une veille efficace, ont clairement identifié l’opportunité à fort caractère
stratégique que représente cette nouvelle technologie.
Les instances en charge de protéger les entreprises innovantes à fort potentiel, ont assuré sans faille la protection de
Validy et ce faisant, malgré elles, ont préservé la « chasse gardée » des grands groupes français.
Bref, tout le monde a merveilleusement bien travaillé pour un résultat strictement nul :
Pas un seul emploi créé, après dix années d’effort et 9 millions d’euros investis par des investisseurs privés
français.
Pourquoi et comment ? Les dirigeants de Validy subissent depuis de nombreuses années un enfermement
commercial et administratif, commandité par de grands groupes français qui convoitent sa technologie. Ces groupes
chassent « en meute » en restreignant au maximum son espace de liberté : leur objectif est de se procurer la
technologie à vil prix, voire à l’euro symbolique, en privant Validy de toute source de revenus.
Voila une situation en totale contradiction avec les ambitions encore tout récemment affichées par le Ministre de
l’Industrie et qui devrait vous interpeller !
Lettre ouverte
Monsieur le Président de la République,
Monsieur le Premier Ministre,
Mesdames et Messieurs les Ministres,
Mesdames et Messieurs les Députés,
Mesdames et Messieurs les Sénateurs,
Mesdames et Messieurs les Journalistes,
Mesdames, Messieurs
22. 2 / 4
Comme toute société innovante, Validy a parié sur l’émergence de son marché, en l’occurrence la sécurité
informatique. Pari gagné, les médias communiquent en permanence sur les différentes attaques des cybers-
criminels, les besoins en protection sont réels et cruciaux. Le problème est devenu si pressant que le Président de la
République a considéré sa résolution comme une priorité pour la France. L’Europe et les Etats-Unis ont fait de même
en nommant un « M. Cyber-criminalité ». Des lois ont été votées afin de responsabiliser les industriels en cas de
négligence sur le niveau de protection apporté à leurs infrastructures informatiques lors de cyber-attaques.
On pourrait donc penser qu’actuellement Validy est en phase de développement rapide et mondial, d’autant que les
fondateurs et actionnaires français n’ont pas omis de s’intéresser aux marchés américain et européen dès le début
de leur aventure. Et pourtant, ce n’est pas le cas alors que le gouvernement investit des moyens importants pour
favoriser le développement des sociétés innovantes.
Quelle est la situation de Validy aujourd’hui ?
Cette société subit depuis de nombreuses années un enfermement commercial et administratif. La tactique est aussi
insidieuse qu’efficace : ne pas voler immédiatement les technologies, de manière à ce que les inventeurs aient le
temps d’obtenir la délivrance des brevets dans le monde entier et de développer la preuve du fonctionnement de
leur technologie, enfermer la société de manière à la protéger d’autres groupes industriels étrangers qui pourraient
être tentés de la souffler « au nez et à la barbe » des groupes français. Au passage, dissuader ces mêmes groupes
étrangers de s’intéresser à Validy, notamment en inventant un faux passé de « militaires» aux fondateurs. Pour ce
faire, organiser des rencontres avec des industriels français au Cercle National des Armées à Paris. Faire côtoyer les
dirigeants par d’anciens militaires de haut rang, sans omettre de tenter de les compromettre en organisant des
rencontres inopinées, avec des personnes travaillant de près ou de loin pour des états peu recommandables
Comment ?
Les moyens utilisés pour empêcher Validy de se développer sont dignes des meilleurs films d’espionnage : pression
sur ses prospects, contrôle de ses moyens de communication (téléphone, email, site Internet), organisation de
« vraies fausses » réunions pour occuper ses dirigeants et leur faire perdre du temps, manœuvres destinées à nuire à
l’image des fondateurs, instrumentalisation des services d’Etat en charge de la sécurité des sociétés de défense, au
prétexte que la technologie Validy serait « sensible », influence exercée sur différentes instances d’Etat,
administrations et autorités publiques, infiltration de son capital. Toute la panoplie du parfait manipulateur a été
appliquée.
D’un point de vue tactique, ces attaques sont rodées. Quoi de plus simple que de faire passer les inventeurs pour des
« professeurs Tournesol » bien incapables de développer leur société, ou pour des paranoïaques, adeptes de la
théorie du complot. En terme de communication les officines en charge de l’enfermement de Validy « jouent sur du
velours ». Ces organisations, comme vous le savez puisque le parlement en a débattu il y a quelques mois, sont, pour
la plupart, dirigées par d’anciens agents des RG, de la DST, de la DGSE, de la DRM ou de la DPSD. La passivité des
services officiels de l’Etat, que les dirigeants de Validy n’ont pas manqué d’interpeller pour leur demander
d’intervenir et de faire cesser de tels agissements, pose question.
Nous ne sommes pas les seuls à subir de telles manœuvres. Plus souvent qu’il n’y parait, les sociétés innovantes
meurent, croyant être trop en avance sur leur marché ou dans l’incapacité de commercialiser leurs technologies ou
produits, alors qu’en fait elles subissent, sans le savoir, les attaques répétées de ce type.
Soyons clairs
Les dirigeants de Validy, reçus dès 2002 par les conseillers techniques à la Présidence de la République, avaient
affiché leur détermination à ne pas vouloir « gagner » seuls, puisque le modèle d’affaires de Validy est basé sur la
concession de licences de sa technologie. Des groupes français pouvaient se voir concéder une licence, afin d’utiliser
ou de commercialiser dans leur secteur des équipements sécurisés par les inventions de Validy.
23. 3 / 4
Faute de réaction, le président de Validy a été contraint de s’expatrier pour assurer la survie de la société. Il a dû
créer la société « Validy International » en Suisse, localisée au sein de l’incubateur du Parc Scientifique de l’Ecole
Polytechnique Fédérale de Lausanne. Et ne voyez là aucune intention d’évasion fiscale, mais bien la simple tentative,
à proximité du lieu d’origine de la société française, de retrouver sa liberté d’entreprendre, perdue en France depuis
de nombreuses années. Globalisation oblige, les grands groupes français, aidés de groupes étrangers alliés, ne
manquent pas cependant, de jouer de leur influence.
Monsieur le Président de la République, Monsieur le Premier Ministre, Mesdames et Messieurs les Ministres,
Mesdames et Messieurs les Députés et Sénateurs, nous ne sommes pas seuls dans ce cas. Et sans nul doute faut-il
chercher en de telles pratiques un nombre d’emplois perdus ou non créés très important. Ces pratiques
délétères, intestines, franco-françaises, sont contre-productives et destructrices de création de valeur. Tant que ces
pratiques perdureront, les efforts du gouvernement pour favoriser l’innovation, bien que réels, risquent fort de ne
pas produire les résultats escomptés. Sans compter que de telles pratiques, aussi détestables qu’illégales, bafouent
la République et ses institutions. Nous comprenons bien qu’il est naturel qu’un pays défende ses grandes entreprises
mais pas au détriment des petites qui sont créatrices de valeur et d’emploi. Bien sûr, nous ne sommes pas naïfs au
point de penser que de tels agissements ne se pratiquent pas à l’étranger. Mais assurément, en France, ce problème
est plus particulièrement aigu du fait même de la centralisation très prononcée de notre économie.
Aussi, les dirigeants de la société Validy, leurs nombreux actionnaires et sympathisants, vous appellent, Monsieur
le Président de la République, Monsieur le Premier Ministre, Mesdames et Messieurs les Ministres, Mesdames et
Messieurs les Députés et Sénateurs, à un sursaut républicain et ils vous demandent d’ intervenir de manière à
permettre le développement de cette société qui, alliée avec de grands groupes industriels, ne manquera pas de
contribuer au rayonnement technologique de la France au plan mondial.
Gilles Sgro Jean-Christophe Cuénod Les actionnaires et sympathisants
Président du Directoire Président du Conseil de Surveillance signataires de la présente
Gilles.sgro@validy.com jcc@validy.com (verso de cette page)
Mobile : 06 84 60 00 96
Les Membres du Conseil de Surveillance de S.A. Validy, signataires de la présente lettre ouverte :
René Calvier Gilles Gauthier Marc Gervais
Jean-Paul Maingaud Jacques Sgro Nicole Sgro
Laurence Soignon Joël Vialle
24. 4 / 4
Actionnaires et Sympathisants signataires de la présente lettre ouverte (par ordre alphabétique) :
Jerome Alexandre, Gilles Algoud , Marie-Joseph Algoud, Yves-Marie Algoud, Laurent Alloncle,
Olivier Amato, Claude Anselmo, Michel Ambrosi, Henri Ballester, Jérôme Ballester, Pascal
Balmain, Joelle Baudendistel , Pierre Barret, Michel Battie, Eric Beauthias, Jean-Louis Begot,
René Bellier, Yves Benoi, Fabrice Blanc, Jean Claude Bonnot, Anne France Bouix, Jean-Marie
Bourgeois ,Bernard Brochier, Jean-Michel Bruyat, François Buonomo, Joel Caillet, Laurence
Calligaro , Alexandra Calvier, Delphine Calvier, Gaetan Calvier, Jean-Jérome Calvier, Jean
Paul Calvier, Monique Calvier, Pierre Calvier, Suzanne Calvier, Sylvain Calvier, Laurent
Cessac, Gilbert Chaillan, Roger Champt, Christophe Chantepy, Philippe Chantepy, Christian
Chausse, Hervé Chavot, Mireille Chifflet, Hubert Chomier, Vincent Collomb, Daniel Colomb ,
Anne Coppel, Bruno Cortes, Daniel Cuenod, Julien Dague, Jocelyne Delhomme, Christophe
De-Pannemacker, René De-Pannemacker, Laurent Desportes, Lionel Didier, Sandrine Didier,
David Drevet, Serge Dreyer, Richard Doboin, Eric Duboin, Roger Duboin, Christophe Duclos,
Patrick Duclos, Christine Duriez, Philippe Duriez, Gerald Fauchille, André Faugier, Daniel
Faugier, Frédéric Faugier, Philippe Faugier, Thierry Ferragne, Jean-Pierre Four, Yannick
Fournier, Eric Franusic, Robert Frattino, Gilles Gambier, Gilbert Gauthier, Sandrine Gauthier,
Frédéric Gilles, Juan Carlos Gimenez, Michel Gonnet, Sébastien Gonnet, Stéphane Gonnet,
Maurice Guigard, Chantal Hardy, Jean-Charles Haas, Julien Jacques, Emmanuel Jacob, Yvon
Joncour, Marie-Pierre Joucla, Pierre Joucla, Françis Juniat, Jean-Christophe Lago,
Dominique Lecomte, Eliane Legrand, Daniel Lépinasse, Marike Lépinasse, Frederic Long, Sylvie
Lopez, Pascal Lubac, Jean Magalon, Pierre Maingaud, Christophe Medina, Philippe Mestral,
Nicolas Metge, Daniel Mora, Christophe Monnier, Jean-Luc Mounier, Serge Moreau, Duylinh
Nguyen, Eric Pallai, Nicolas Paris, Stephane Patonnier, Valérie Patonnier, Geneviève Perrenot,
Marie-Janine Perret, André Perreton, Emeline Perrenot, Jacques Picolet, Guy Plano,
Christophe Pourras, Yann Quinkal, Rémi Roani, Sandra Roani, Tiziana Roani, Monich Roch,
Danielle Rochas, Franck Rochas, Annie Rodriguez, Francis Rodriguez, Jean-Philippe Roques,
Josiane Roux, Patrick Roux, Laurence Rosaz, Yvan Ruzand, Damien Sauvajon, Jean-Pierre
Sauvajon, Jean-Stéphane Sauvajon, Nadine Scalvini, Natalie Soland, Jean-Pierre Tessier,
Mireille Tessier, Pierre Tessier, Azzedine Timoumi, Pierre Touchant, Josiane Tylman, Damien
Urbain, Marie Vauchelle, Brigitte Vecchiato, Antoinette Vecchiato, Philippe Veyret, Annie
Vialle, Jean Claude Vialle, Lionel Villard, Laurent Villaret Cazademont, Dominique Ville,
René Vivier, Thierry Voisin, Patrick Vossier, Marie Claire Wohleber
25. Published on Eco89 (http://eco.rue89.com)
Validy, les déboires d'une start-up au pays
des espions
By David Servenay
Created 05/12/2008 - 22:03
Depuis dix ans, les inventeurs d'un système innovant de protection des logiciels
bataillent contre les grandes firmes du secteur.
Dix ans que les dirigeants de Validy [1] tentent de développer leur invention : un système
révolutionnaire de protection des logiciels. Pourtant, impossible de commercialiser cette
technologie, que les grands industriels du secteur espèrent bien récupérer.
Dix ans de galère, où l'on croise Valérie Pécresse, un général quatre étoiles, une flopée de
cabinets d'intelligence économique et les manoeuvres des services secrets. A la clef : des
milliards d'euros et sans doute l'un des prochains fleurons de l'industrie informatique.
En 2012, il pourrait y avoir 14 milliards d'équipements reliés à Internet
Ils vont toujours ensemble. Le technicien, maigre et chauve comme un oeuf, normalien en
maths, dix ans de Silicon Valley dans des labos de recherche informatiques, l'un des pères
du port USB. Pas plus grand, deux fois plus épais, l'autre est l'homme du bagout, du
marketing, des contacts avec son flot d'anecdotes.
A deux, rien ne leur échappe. Tous les détails sont là, comme un réflexe acquis après dix
ans de batailles pour imposer leur idée : « l'invention de ma vie », dit le premier,
Jean-Christophe Cuénod, directeur technique de Validy ; une « technologie révolutionnaire »
ajoute le second Gilles Sgro, président de la société. (Voir la vidéo.)
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
1 sur 8 16/02/2010 23:30
26. La semaine dernière, ces deux co-inventeurs ont présenté au salon Java One de San
Francisco [2] la première application de leur recherche : une sorte de clef USB qui permet de
protéger n'importe quel logiciel écrit dans ce langage.
A priori, rien que de très banal. Sauf que, derrière une telle innovation, les marchés sont
énormes : selon l'institut Forrester, il y aura en 2012 plus de 14 milliards d'équipements
électroniques vulnérables car reliés à Internet. Même la calculette a du mal à suivre
En 1998, première découverte : ils mettent trois ans à déposer tous les brevets
Tout commence dans leur repli drômois, à Romans, ville sinistrée par la crise. En 1998, nos
deux compères découvrent une nouvelle manière de protéger logiciels et systèmes
informatiques.
L'idée principale est de faire identifier des données, présentes dans un « jeton » (une clef
USB par exemple), par le logiciel principal. Le concept n'est pas nouveau, mais la mise en
oeuvre du principe est diablement efficace. Jusqu'ici, personne n'a réussi à « craquer » leur
système.
Pendant trois ans, ils ne soufflent mot de leurs travaux. A quiconque, hormis le juriste du
cabinet de brevet chargé de monter leur dossier, qu'ils rencontrent une fois par semaine. De
six brevets initiaux, qu'ils déposent à la fois en France et aux Etats-Unis, ils parviennent
finalement à rédiger 400 brevets différents pour protéger leur invention.
Parallèlement, ils créent la société Validy [1] aux Etats-Unis et en France.
Grâce à leur réseau personnel, un premier tour de table s'organise, avec une levée de fonds
d'un million de francs d'un ami, qui signe sans même savoir de quoi il retourne. Aujourd'hui,
ils sont 290 actionnaires à avoir mis 8,5 millions d'euros dans l'aventure. L'entreprise est
valorisée à près de 65 millions d'euros, dont les fondateurs conservent 80% du capital.
Phase 2, premiers contacts avec l'Etat : ils sont reçus à l'Elysée
Reste à convaincre les pouvoirs publics et les industriels. Coup de chance : un de leurs
actionnaires les met en relation avec la présidence de la République. Ils sont reçus à
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
2 sur 8 16/02/2010 23:30
27. l'Elysée en février 2002 par la conseillère technique chargée des nouvelles technologies de
Jacques Chirac, Valérie Pécresse.
Attentive, la fille de Dominique Roux (président de Bolloré Télécom depuis janvier 2007) leur
propose de les « protéger » et de les mettre en relation avec la fine fleur de l'industrie
française. Promesse non tenue.
Gilles Sgro n'aura plus jamais de nouvelles de Valérie Pécresse. « Validy ? Le nom ne lui dit
rien », fait répondre l'actuelle ministre de la Recherche par un membre de son cabinet. (Voir
la vidéo.)
Commence alors une longue traversée du désert, émaillée d'espoirs contrariés et, comme
d'habitude, de promesses jamais tenues. A chaque fois, le scénario est identique : un ami,
souvent un actionnaire (ils estiment à « 50 le nombre d'infiltrés » dans leur capital), les dirige
vers un intermédiaire qui a des relations Un premier rendez-vous prometteur, souvent avec
un technicien, et plus rien.
En 2005, les anciens des services de renseignements prennent le relais
L'un des premiers intermédiaires s'appelle Gilles Gemba. Ex-colonel de l'armée de terre, il a
géré les programmes de recrutement et de carrière des agents secrets de la DGSE.
Boulevard Mortier, siège du service, il est officiellement « inconnu ».
L'homme a en tout cas un joli carnet d'adresses dans les états-majors. Au point de pouvoir
organiser plusieurs réunions de présentation au Cercle national des Armées [3] devant un
parterre d'industriels : Dassault, MBDA, Thales, Suez, Schneider, Vinci sont du lot. A chaque
fois, le premier contact est excellent, mais ne débouche sur aucune vente.
Aujourd'hui encore, le colonel Gemba parle de Validy comme d'un « produit exceptionnel,
fabuleux, qui n'a pas d'équivalent sur le plan mondial ». Avec un bémol :
« Ils auraient pu signer des contrats. Prologue, par exemple, un grand groupe,
leur proposait d'acheter. L'affaire ne s'est jamais conclue.
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
3 sur 8 16/02/2010 23:30
28. “Sur le plan commercial, ce qui compte, ce n'est pas d'avoir les meilleurs
produits, mais d'avoir les marchés. Tant que vous ne vendez pas, vous n'existez
pas. Peut-être en commençant à bas prix ”
Pour Gemba, le duo de Validy est victime du “syndrôme du bébé” : “Ils n'arriveront jamais à
se séparer de leur invention.” Et si Validy faisait l'objet d'une opération d'étouffement de la
part des majors du secteur ? Réponse ambiguë de l'ancien officier :
“En guerre économique, c'est une hypothèse réaliste ”
Une hypothèse pas si farfelue, Gilles Gemba le sait bien. Comme apporteur d'affaires, il a
introduit Validy auprès du cabinet d'intelligence économique de Philippe Legorjus. Entouré
d'anciens du renseignements, l'ex-patron du GIGN se targue de pouvoir résoudre leur
problème, mais il est cher. “Trop cher”, estime Gilles Sgro, qui visite alors la fine fleur des
officines de guerre économique, garantissant monts et merveilles.
Sans oublier quelques indépendants, souvent de prestigieux officiers étoilés, comme le
général Christian Quesnot, ancien chef de l'Etat-major particulier du président Mitterrand.
(Voir la vidéo.)
Détail : le général Quesnot n'a pas répondu à nos appels. Renseignements généraux (RG) à
Valence, Direction de la surveillance du territoire (DST) à Lyon à partir de 2005, tous les
services de renseignements s'intéressent au dossier Validy.
De cette époque, Gilles Sgro garde une flopée de cartes de visite et un nuage de doutes,
jamais dissipé. Au contre-espionnage, on le prend pour un adepte de la théorie du complot.
Mais surtout, la DST estime que la société pourrait être un cheval de Troie américain,
compte-tenu de sa personnalité juridique (maison mère américaine) et du passé
professionnel de Jean-Christophe Cuénod aux Etats-Unis.
Information que le service n'a pas voulu nous confirmer, opposant un “pas de commentaire”
de rigueur. A la DGSE, on observe une position prudente : “Nous n'avons pas d'opinion sur
ce dossier, qui ne nous concerne pas.” Voire.
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
4 sur 8 16/02/2010 23:30
29. “Quand un système est inviolable, il est aussi ‘inécoutable' ’
Plusieurs des contacts de Gilles Sgro lui affirment ensuite que la DPSD [4] (ex-sécurité
militaire, chargée de la protection des intérêts économiques liés à la défense) décourage les
industriels de travailler avec Validy.
Interrogé, le ministère de la Défense fait savoir que ‘le responsable de la DPSD ne souhaite
pas s'exprimer sur ce sujet’. Ils sont aussi reçu par plusieurs membres du cabinet de Michèle
Alliot-Marie, alors ministre. Là encore, pas de suite. L'ancien recruteur Gilles Gemba émet
une hypothèse :
‘Quand un système est inviolable, il est aussi inécoutable'. Ça peut expliquer pas
mal de leur problème ’
A l'appui de son argument, l'intermédiaire prétend qu'une grande entreprise américaine était
prête à signer un contrat de 20 millions de dollars, mais que la vente a été bloquée par la
NSA (National Security Agency [5]).
Parallèlement, Jean-Christophe Cuénod poursuit son travail de développement des
prototypes. Non sans avoir changé de fournisseur de circuit intégré. Le premier, un Français,
les livre très irrégulièrement. Ils finissent par se tourner vers ZTEIC [6], une entreprise
chinoise ultra-réactive.
Plusieurs prix viennent récompenser leurs efforts, notamment le prix Motorola du salon
Chinict2007.
Dernière entourloupe : Bercy refuse de les associer à un pôle de compétitivité
Enfin, les pouvoirs publics vont finir va s'intéresser officiellement à leur projet. Minalogic [7], à
Grenoble, l'un des six pôles de compétitivité mondiaux, leur propose une association avec
deux des meilleurs laboratoires français : le Laboratoire électronique des techniques
d'informations (Leti) [8] qui dépend du CEA, le Tima [9], un labo du CNRS et Tiempo [10] une
start-up créée ad hoc par Schneider Electric.
Le 29 novembre 2007, le consortium SecToken [11] [‘jeton sécurisé’ en anglais, ndlr] obtient le
label Minalogic à l'unanimité du jury.
Cette fois-ci, le projet paraît en bonne voie. Jusqu'à ce qu'il soit question de la répartition des
bénéfices à venir de l'entreprise. Et là tout dérape. La décision tombe par une lettre de
Bercy, qui gère le Fonds unique interministériel (FUI). Le financement du projet
(350 000 euros) est refusé.
Raison invoquée : un capital trop faible (40 000 euros) pour un projet aussi ambitieux. Cette
fois-ci, la coupe est pleine : Sgro et Cuénod sont convaincus d'avoir à faire à une ‘entente’
des industriels du secteur. (Voir la vidéo.)
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
5 sur 8 16/02/2010 23:30
30. ‘S'il faut partir, nous partirons, conclut Gilles Sgro, s'il faut aller en Inde, aux Etats-Unis ou
ailleurs, nous irons. Après tout, nous nous adressons au marché mondial, non ?
Evidemment, toutes les administrations sont au courant de l'affaire Validy. Mais rien ne
bouge, l'Elysée et Matignon se contentent se renvoyer vers Bercy.
Restait à médiatiser leur histoire, dernière cartouche avant de prendre le large. La presse
comme dernier recours ? A voir. Un général à la retraite reconverti dans le conseil pour un
très grand groupe d'armement, nous glissait la semaine dernière : Curieusement, j'ai vu
ressurgir le produit Validy dans les discussions il y a quinze jours ’. Curieux, en effet.
économie espionnage informatique Politique A la une Eco
Un livre sur BHL annulé : l'auteur dénonce une censure
Par Zineb Dryef
Le PS réclame "la démission de la ministre de l'Outre-mer"
Par Julien Martin
"Roué de coups par des policiers à une fête chez moi"
Par Ronan Kerneur
Le péril musulman en Europe, cette marotte américaine
Par Justin Vaïsse
"Les anti-OGM, pas accessibles à des arguments rationnels"
Par Sophie Verney-Caillat
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
6 sur 8 16/02/2010 23:30
31. URL source: http://eco.rue89.com/2008/05/12/validy-les-deboires-dune-start-up-au-pays-des-espions
Links:
[1] http://www.validy.com/fr/
[2] http://java.sun.com/javaone/sf/
[3] http://www.cnaparis.com/pages_htm/cercle.htm
[4] http://fr.wikipedia.org/wiki/Direction_de_la_Protection_et_de_la_Sécurité_de_la_défense
[5] http://www.nsa.gov/home_html.cfm
[6] http://www.zteic.com/en/about.aspx
[7] http://www.minalogic.org/
[8] http://www-leti.cea.fr/scripts/home/publigen/content/templates/show.asp?P=235&
L=FR&MASTER=MASTER_WWWLETIHOME
[9] http://tima.imag.fr/
[10] http://www.tiempo-ic.com/
[11] http://www.minalogic.org/posters2007/Sectoken.pdf
Validy, les déboires d'une start-up au pays des espions http://eco.rue89.com/print/9024
8 sur 8 16/02/2010 23:30
32.
33.
34.
35.
36.
37. Sujet: RE: Validy Courrier au Premier Ministre le 17 Novembre 2005
De : Gerald.Santucci@cec.eu.int
Date : 22/06/2006 19:49
Pour : gilles.sgro@validy.com
Bonjour Monsieur Sgro,
Merci tout d'abord de vos deux messages, le premier portant sur l'article
qui décrit la technologie Validy et le second, donc, me mettant dans la
confidence du courrier que vous avez adressé en novembre dernier au Premier
Ministre.
Le fait que votre technologie fut "nominée" pour le Prix européen IST 2006
montre de façon éclatante la reconnaissance dont jouit cette technologie au
sein de la communauté des acteurs européens des technologies de la société
de l'information. Entre 50 à 70 sociétés et technologies sont nominées
chaque année, ce qui, à la dimension de l'Europe, constitue un petit nombre
et souligne d'autant plus le mérite dont votre société peut se prévaloir en
ayant reçu cette distinction.
J'ai adressé la présentation de la technologie Validy à mon collègue Jacques
Bus, chef de l'unité INFSO.D.4 "ICT for trust and security". Je me dis que
Validy pourrait peut-être considérer de jouer un rôle comme partenaire dans
l'un des projets de R&D du prochain programme-cadre ("ICT in FP7"). Je vous
invite, le moment venu, à contacter M. Patrick Schouller (voir son site web
http://www.evariste.org/actu/schouller/ ) et à suivre ses conseils pour vous
préparer à entrer dans le 7ème PCRD.
La question des intelligences économiques est complexe, comme vous le
reconnaissez vous-même dans le courrier adressé au PM français. D'un côté,
le "complexe" militaro-industriel essaie de s'approprier à bas prix des
technologies de sécurité innovantes ; de l'autre, le jeu de la concurrence
internationale rend nécessaire, en raison de l'ampleur des investissements
requis pour investir et du raccourcissement du cycle de vie des produits,
d'obtenir des renseignements stratégiques au stade le plus précoce possible
pour pouvoir en tirer un avantage compétitif. Les PME innovantes (qui, en
France, n'ont traditionnellement jamais eu les faveurs de la puissance
publique) sont souvent les premières victimes des nouvelles règles de la
concurrence mondiale.
Votre société n'est sans doute pas seule dans ce cas, à la fois reconnue au
plan européen et international pour sa capacité d'innovation et fragilisée
au plan national par le jeu obscur des différents pouvoirs économiques. La
Commission européenne a récemment créé une Task Force sur la compétitivité
dans le secteur des TIC (http://ec.europa.eu/enterprise/ict/taskforce.htm et
http://ieetti.over-blog.com/article-2962102.html ), que vous pourriez tenter
d'approcher, voire de rejoindre, puisqu'elle comporte un volet sur les PME
et l'intelligence économique. Au vu des informations dont je dispose
désormais concernant la situation de Validy, il me semble qu'indépendamment
des initiatives que vous pourriez être amené à prendre au niveau français,
vos efforts devraient être tournés vers l'Europe (sans pour autant négliger,
bien sûr, les opportunités de contacts et d'investissements que vous semblez
avoir à l'international).
Je vous souhaite bonne chance dans vos entreprises et espère qu'en 2007,
lorsque débutera le 7ème PCRD, vous aurez l'occasion d'entrer dans un
consortium pour concevoir et mettre en oeuvre un projet intégré sur les
technologies de sécurité.
Cordialement,
RE: Validy Courrier au Premier Ministre le 17 Novembre 2005
1 sur 2 17/02/2012 15:24
38. Gérald Santucci
Head of Unit
ICT for Enterprise Networking
DG Information Society and Media
European Commission - BU29 02/20
BE-1049 Brussels
Tel.: +32-(0)2-296.89.63
Fax: +32-(0)2-296.83.87
e-mail: Gerald.Santucci@ec.europa.eu
-----Original Message-----
From: Gilles Sgro [mailto:gilles.sgro@validy.com]
Sent: Monday, June 19, 2006 5:56 AM
To: SANTUCCI Gerald (INFSO)
Subject: Validy Courrier au Premier Ministre le 17 Novembre 2005
Bonjour,
Voici le courrier que j'ai envoyé au premier ministre le
17 Novembre 2005.
Resté sans réelle réponse à ce jour...
Nous aurons probablement besoin de l'Europe pour faire respecter le droit!!!
Cordialement,
Gilles Sgro
Le message est prêt à être envoyé avec le fichier suivant ou les liens
joints :
courrierpremierministreVillepin.pdf
Remarque : pour se protéger de virus informatiques, il se peut que les
programmes de messagerie électronique évitent d'envoyer ou de recevoir
certains types de pièces jointes. Vérifiez les paramètres de sécurité de
votre messagerie électronique pour déterminer de quelle manière les
pièces jointes sont gérées.
--
******************************
Gilles SGRO - VALIDY
ZI - 5, rue Jean Charcot
26100 Romans - FRANCE
Tel. : +33 (0)4 75 717 717
Fax : +33 (0)4 75 717 718
www.validy.com <http://www.validy.com>
RE: Validy Courrier au Premier Ministre le 17 Novembre 2005
2 sur 2 17/02/2012 15:24