Thématique 
Recherche 
Date
11 décembre 2014

Après deux ans de travail intense, le projet DAVFI – dont l’objectif était de créer un antivirus souverain, ouvert, de confiance et gratuit pour les particuliers, et ce, pour les plates-formes Android, GNU/Linux et Windows – vient de s’achever le 30 septembre 2014 avec la livraison de la version phare, celle de Windows, à la société Nov’IT, chef de file du projet, en présence de la DGA.

Tribune publiée par Eric Filiol, Directeur de Recherche du Laboratoire CNS sur le blog destiné aux experts et professionnels de la sécurité informatique Securitéoff.com

UhuruPour chacune des plates-formes, il s’agissait de livrer un PoC. En effet, les règles de Bruxelles interdisent la livraison d’un produit fini pour ce type de financement public, même si toutes les entités du consortium DAVFI ont dû mobiliser leurs fonds propres pour ce projet (pour l’ESIEA, par exemple cela correspond à environ 60 %). Ces PoC doivent maintenant faire l’objet d’une industrialisation par la société Nov-IT, chef de file du projet et chargée d’assurer le soutien R&D et la commercialisation de cet antivirus (sous la marque Uhuru Mobile ou Uhuru AM). Il reste encore du travail pour les versions Linux et Windows, le travail d’industrialisation est une phase capitale et la stratégie commerciale joue un rôle primordial.

Les PoC livrés par l’ESIEA sont cependant assez proches d’un produit commercialisable et le travail d’industrialisation devrait être rapide pour la majorité des aspects. Certains modules sont déjà en pré-production chez certains membres du comité des utilisateurs DAVFI. Les livraisons des différentes versions ont été réalisées :

  • En octobre 2013 pour les versions Android (la commercialisation a débuté à ce jour sous la marque Uhuru-mobile).
  • Début septembre 2014 pour les versions Linux (filtrage de passerelle, client GNU/Linux avec son IHM, module résident, librairie antivirale). Elle est désormais en cours d’industrialisation et de livraison pour le compte d’une grande administration française.
  • Le 30 septembre 2014 pour la version Windows (7, 64 bits et 8) : client Windows avec IHM, application résidente.

Lors de chaque livraison, les outils et/ou infrastructures de production de signatures, de collecte et d’analyse de malware ont été aussi fournis.

Je suis satisfait d’avoir réalisé le projet exactement comme il était prévu, sans surcoût, en respectant les échéances calendaires. En plus de la propriété industrielle pleine et entière, une partie de l’équipe ayant contribué à la création de ces PoC a été transférée à Nov-IT ; soit 7 ingénieurs pointus, un docteur ingénieur senior (spécifiquement pour la version GNU/Linux) et un personnel administratif senior. Un projet ne peut se résumer à des lignes de codes et une documentation. Dès le départ du projet, il m’est apparu évident qu’il fallait aussi assurer la transition de la manière la plus efficace pour faciliter la phase d’industrialisation et de commercialisation par Nov-IT. Cela passe obligatoirement par un transfert de savoir-faire et de ressources humaines. La société Nov-IT a donc maintenant les meilleures conditions pour transformer cette phase de R&D et en faire un succès commercial.Schema UhuruMobile

Tout en restant humble, je suis très heureux d’avoir pu concevoir et élaborer un produit souverain et donner ainsi à la France la possibilité d’être indépendante dans un domaine technologique éminemment critique et stratégique. Il s’agit avant tout d’un travail collaboratif et j’ai eu la chance de pouvoir constituer une équipe pointue au sein du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA. Dans cette équipe, certains des plus brillants étudiants du campus de Laval ont été associés dès le départ – dans le cadre du dispositif Espoir Recherche et Innovation que j’ai créé à l’ESIEA il y a quelques années. Ces étudiants, tous volontaires et passionnés par le projet, ont reçu des formations spécifiques en plus de leur cursus : en particulier pour la partie Android et surtout Windows, suite au refus final de Microsoft de délivrer des informations techniques nécessaires, et ce malgré l’intervention de l’État.

Merci à cette équipe, car sans elle, il aurait été impossible de passer des concepts et de la technologie à la réalité opérationnelle de ces PoC.
Je voudrais d’ailleurs souligner que cette technologie est née à l’École Supérieure et d’Application des Transmissions (ESAT) – maintenant École des Transmissions – de Rennes, au sein du laboratoire de cryptologie et de virologie opérationnelles que je dirigeais à l’époque. La plupart des concepts utilisés dans le projet DAVFI sont nés à cette époque. Je dois remercier le Colonel Orsini, le Directeur général de la Formation d’alors qui m’a soutenu dans mes travaux en virologie et m’a incité à créer un antivirus français. Je n’aurais jamais osé imaginer entreprendre un tel projet à ce moment-là, conscient de l’ampleur de la tâche. Il a été visionnaire et m’a fait confiance. Ce projet lui doit donc quelque chose, et tout autant à l’ancienne ESAT.

La technologie DAVFI ne doit pas être détournée de son usage unique : la protection.

Je souhaite donc bonne chance pour la suite à l’équipe de Nov’IT et tout le succès possible. Toutes les conditions sont réunies pour que les deux soient au rendez-vous très prochainement. Pour ma part, conservant la seule propriété morale sur cette technologie, je resterai toujours très vigilant sur trois points :

  • Que les intérêts de l’État – et donc également des contribuables qui ont participé au financement de ce projet – ne soient jamais ni oubliés ni amoindris. La technologie DAVFI est française, souveraine et à ce titre doit le rester. Cela ne pourra jamais être un simple projet commercial ;
  • que le grand public ne soit pas oublié dans le processus de commercialisation. Si la protection des entreprises et des administrations est vitale, celle des citoyens, surtout dans le contexte post-Snowden, est tout aussi critique ; il est normalement prévu que pour les trois versions (Androïd, Linux et Windows), une version gratuite soit disponible ;
  • que jamais la technologie DAVFI ne soit détournée de son usage unique : la protection. Elle a été conçue pour protéger les utilisateurs et non les espionner ou leur porter atteinte. S’agissant du marché européen, il est totalement inconcevable qu’elle puisse être le vecteur d’une quelconque backdoor ou fonctionnalité similaire ou même approchante qui ne serait pas clairement documentée ou signalée. C’est pour moi une ligne rouge qui ne doit pas être franchie et le faire constituerait une trahison à mes yeux. Le projet DAVFI a été voulu comme une technologie de confiance dès le départ.

Pour conclure, je souhaiterais remercier les membres du comité des utilisateurs. Il m’était apparu, dès la rédaction technique du projet, que créer un produit antivirus – et plus largement un produit de sécurité – sans y associer les futurs utilisateurs, était un non-sens. C’est la raison pour laquelle j’avais demandé à ce que ce comité soit constitué et participe activement aux discussions techniques. Cela s’est avéré judicieux : les retours ont été riches et constructifs. J’adresse donc mes remerciements à ce comité. Je voudrais tout spécialement remercier le Crédit Agricole SA, et en particulier deux personnes remarquables à plus d’un titre : messieurs Gilles Nérondat et Xavier Creff. Outre leur gentillesse et leur compétence, ils nous ont fait confiance et par leur contribution active, ils nous ont permis de construire et de valider bien des aspects techniques du projet DAVFI, et en particulier de constituer et de tester la base OIV. Mille fois merci à eux. Enfin merci à Jérôme Notin pour cette belle aventure.