Si de nombreuses entreprises se sont spécialisées dans la cybercriminalité au sens large, les menaces pesant sur le cœur même des systèmes - les cartes à puces - sont peu, voire pas adressées. A cet égard, "c'est nous qui sommes dans la jungle avec les machettes pour ouvrir le chemin", sourit Clarisse Ginet, co-dirigeante de Texplained. Fondée en 2013, l'entreprise de 10 personnes est en effet une des rares organisations à traquer, depuis son laboratoire de Sophia Antipolis, les failles de sécurité hardware en employant les mêmes techniques que les pirates, basées sur la rétroconception. Une expertise proposée dans un premier temps aux fabricants et intégrateurs de puces électroniques dans le cadre de la lutte contre le piratage, avant de se déployer plus largement auprès des agences gouvernementales et des polices scientifiques pour lesquelles le chiffrement de plus en plus complexe des smartphones s'apparente à un véritable casse-tête. "Nous intervenons souvent en dernier ressort car les techniques que nous utilisons sont assez coûteuses et longues, mais ils ne peuvent pas en faire l'économie".

Projet européen Exfiles

Il faut dire que ces quatre dernières années, la jeune pousse a mis sur la table près de 400 000 euros pour se doter d'un laboratoire désormais complet, permettant de réaliser en interne toutes les étapes de la rétroconception et de l'extraction de données des puces. "Une puce, c'est comme un sandwich à plusieurs niveaux qu'il s'agit de séparer les uns des autres à l'aide de différents procédés chimiques et mécaniques. Nous prenons en photos ces différentes couches afin de reconstituer la puce virtuellement avec notre logiciel d'analyse Chip Juice, lequel simule ses fonctionnalités dans le but de récupérer le code embarqué et donc les données", résume-t-elle.

Ce savoir-faire, mélange de compétences et d'équipements, a logiquement permis à Texplained de rejoindre le projet européen Exfiles (Extract Forensic Information for LEAs from Encryptes Smartphones). Lancé en juillet 2020, il vise à muscler les capacités d'investigation numériques des services enquêteurs en mettant en place de "nouvelles méthodes, stratégies et outils d'extraction de preuves des smartphones sécurisés dans le cadre de la lutte contre le terrorisme et la criminalité", explique Clarisse Ginet. Texplained y côtoie le CEA (Commissariat à l'énergie atomique) ainsi que différentes polices scientifiques européennes. C'est d'ailleurs le partenaire privé du projet doté de la plus forte enveloppe, 701 000 euros, sur un budget de 7 millions d'euros.

Du service au licensing

"Nous sommes dans une activité de service que nous souhaitons faire évoluer", reprend la dirigeante. L'entreprise s'est en effet attelée au développement d'une version commercialisable de son logiciel afin d'élargir son business model à la vente de licence auprès des clients qui souhaitaient monter en compétence et réaliser eux-mêmes l'extraction des données. A savoir, "les gouvernements et le secteur du digital forensic (médecine légale numérique, NDLR) essentiellement, qui travaillent sur des données ultra sensibles et veulent avoir un meilleur rendement". Effectif fin 2019, le lancement dudit logiciel a malheureusement pâti de la crise sanitaire. Toutefois, selon Clarisse Ginet, ce n'est que partie remise. "Les demandes de tests reprennent depuis le début de l'année, c'est encourageant".

L'objectif pour Texplained, qui a réussi à maintenir son chiffre d'affaires (non communiqué) en 2020 malgré l'arrêt de son activité formation, consiste donc à pousser cette partie licence, tout en continuant à développer le logiciel comme le service. "L'idée, avance-t-elle, est d'être capable de travailler sur n'importe quelle puce" et donc de répondre à n'importe quelle application. Des applications que la jeune pousse découvre "au fil de l'eau". A l'instar du traitement d'obsolescence des composants, à destination notamment du domaine de la défense, où il s'agit de maintenir les anciens équipements en condition opérationnelle en modifiant les composants devenus obsolètes, ce qui suppose d'en extraire les données.