Bienvenue sur le podcast Artisan Developer, l'émission pour les programmeurs qui veulent
vivre une carrière épanouissante.
Prêt à passer au niveau supérieur ? C'est parti !
Aujourd'hui, je suis avec Bruno Grider, Bruno, bonjour.
Bonjour.
Enchanté d'avoir sur le podcast, est-ce que tu peux te présenter en quelques mots pour
ceux qui ne te connaissent pas ?
Oui, je suis Bruno Grider, je suis le directeur technique de Cosmian.
Cosmian est une entreprise dite de deep tech, on fait de la cryptographie.
En fait, on prend des maths, la crypto qu'on amène dans du cobb et le but de tout ça,
c'est de protéger les données, en particulier dans les espaces publics, dans le cloud.
Ça, c'est l'intérêt.
Comment est-ce que tu peux nous donner des cas d'usage un petit peu concrets de ce que
tu fais et de vos technos ?
Oui, bien sûr.
L'idée, nous, on fait un truc qu'on appelle le chiffrement ubiquitaire.
C'est un mot un peu désuet, même si c'était utilisé dans la formatique des années 70,
mais on essaie de remettre un peu à la mode.
L'idée, c'est de, on chiffre les données partout tout le temps.
L'intérêt de ça, c'est de pouvoir aller bouger des données dans des endroits où
elles ne sont pas forcément très sécurisées ou mal sécurisées parce que justement,
on les chiffre, on les garde chiffrés, on essaie de ne jamais les remettre en clair.
Donc, les exemples pratiques, c'est d'aller mettre, par exemple,
il y a eu un attaque sur des hôpitaux récemment en France qui ont fait pas mal de bruit,
en particulier à Corbeille et Somme, où il y a du rençon giciel qui a été installé.
Le rençon giciel, c'est embêtant parce que ça bloque tous les systèmes.
Donc, si on a des bons backups, priori, pour restaurer assez rapidement.
Mais ce qui a été beaucoup plus embêtant dans cette histoire, c'est que les pirates,
pour mettre la pression sur le paiement de leur rençon, ont commencé à fuiter des données
parce qu'ils ont récupéré des données en clair dans l'hôpital.
Et certaines de ces données, c'était des données de patients atteintes,
des patients en l'occurrence, atteintes du cancer.
Et là, on peut comprendre à quel point ça peut être dommageable pour ces gens
d'avoir leur données de santé, comme ça, qui sont déjugulés,
surtout pour des maladies chroniques qui peuvent infecter clairement leur vie,
si vous voulez obtenir un pré-hérobilier, je ne sais pas,
une promotion peut-être dans une grande entreprise.
Donc, les données impersonnelles, c'est quelque chose de très important.
Et la seule façon de les protéger, de manière ferme, définitive, absolue,
c'est de les chiffrer et de les garder chiffrés tout le temps.
C'est-à-dire qu'on repasse vraiment en clair que c'est vraiment nécessaire.
Et donc, nous, cosmeur, on déploie des technos qui permettent de faire ça,
de manipuler la donnée tout le temps, tout le temps protégé.
Alors, il y a plein de questions qui me viennent en tête.
Alors, la première qui va être facile, à mon avis, c'est la gestion du...
Comment tu gères le processing ? Est-ce que c'est gourmand, pas gourmand ?
Est-ce que ça ralentit un petit peu les éxécutions ?
Quand tu commences à manipuler de la grosse donnée, comment tu fais ?
Comment tu fais pour faire des recherches là-dedans ?
Comment tu gères tes clés ?
Parce qu'une clé, il faut gérer son cycle de vie,
il faut qu'on puisse l'annuler si elle est corrompue,
et si tu rechiffres des gigas de données, comment tu fais ?
Comment tu gères tout ça ?
Oui, tout ça, c'était une très bonne question.
Donc, en fait, pour faire du chiffrement en diubicutère,
à garder la donnée chiffrée tout le temps, il faut trois choses.
D'abord, il faut être capable de chiffrer.
Ça, c'est la première chose.
Donc, je vais reparlé, mais on a développé des algorithmes de chiffrement,
parce que nous, on est très proche de normales-sup, du labo de crypto,
qui est un des meilleurs du monde, qui est dirigé par quelqu'un
qui s'appelle le professeur David Poinscheval,
qui est un des grands mathématiciens au monde.
Et on a de très bons cryptologues en France, très bons cryptographes.
David fait partie des mathiciens top-modiômes.
Donc, on travaille, et on a des cryptologues aussi en interne qui sont ici normales-sup.
Donc, on développe des algorithmes de chiffrement,
donc d'abord, on essaie de protéger la donnée.
Ça, c'est la première chose.
La deuxième chose, c'est qu'une fois qu'on a protégé la donnée,
si on a des très gros volumes de données,
donc, on travaille par exemple des établissements bancaires
où on va chiffrer des transactions bancaires.
Donc là, on parle de volumes colossaux de données.
Évidemment, après, il faut être capable de ce magma de données chiffrées
qu'on ne peut plus voir, plus lire, qui est plus visible,
d'aller retrouver rapidement des informations,
une transaction particulière, des choses comme ça.
Donc, on a une deuxième type de crypto qu'on a développée,
de cryptographie, aussi avec normales-sup,
qui permettent d'aller rechercher de la donnée très rapidement dans les chiffrées,
en fait, d'aller trouver rapidement.
Donc, on construit des index chiffrés qu'on interroge en chiffrée,
qui donnent des réponses chiffrées,
ou même les indexes eux-mêmes,
et les requêtes qu'on envoie vers ces index,
tout ça sont chiffrées, ça, c'est la deuxième chose.
Puis, la troisième chose,
c'est une fois qu'on a extrait les informations qui nous intéressent.
Donc, par exemple, un load transaction bancaire ou données médicales,
on voudrait continuer à calculer dessus, mais en les gardant chiffrés,
de manière à ce que ça permet de faire des calculs dans le cloud,
par exemple, dans le genre de choses.
Donc là, c'est encore un autre type de cryptographie.
Alors là, il y a plusieurs systèmes cryptos qui existent.
Certains sont l'état de recherche.
Donc, il y a différentes technologies.
On parle beaucoup de chiffrements totalement au moment, des choses comme ça.
On a surtout développé des technologies avec, on partenaire avec Intel,
autour de l'utilisation d'un hardware un peu particulier,
qui s'appelle des enclaves.
Alors, c'est un peu particulier,
parce que ce n'est pas quelque chose d'utilisé par tout le monde aujourd'hui,
mais c'est par contre très courant.
Tous les processeurs Intel,
Géon, des dernières générations,
ont cette capacité, à un moment ou un autre,
d'aller chiffrer la mémoire quand ils opèrent.
Et donc, on exploite cette capacité des processeurs Intel
pour aller en rajoutant pas mal de crypto aussi par-dessus,
pour pouvoir continuer à opérer sur les données,
calculer sur les données en gardant la mémoire chiffrée,
donc même pendant la phase d'opération, tout est chiffré.
Donc en fait, le chiffrement ubiquitaire, c'est ça.
C'est ces trois choses-là.
D'abord, chiffrer les données,
ensuite être capable d'extraire les données chiffrées,
en interrogeant, en faisant des recats de chiffrée,
et la troisième chose, calculer sur des données de chiffrée.
Donc, la confiance, c'est ça.
C'est de la recherche crypto, parce que tout ça, c'est la crypto un peu moderne,
on veut des propriétés intéressantes,
une post-quantique, comme ça.
On développe cette crypto, on la met dans du code,
et le code, on le transforme dans des librairies ou des applicatifs
qui sont utilisables par des développeurs,
qui ne sont pas des cryptologues,
et qui peuvent leur permettre de faire ces trois choses,
donc d'atteindre le graal qui est chiffrement ubiquitaire.
Écoute, c'est assez passionnant et incroyable,
moi, juste pour te dire,
à l'école d'ingé,
j'allais pas toujours en cours, j'avoue.
Je passais plus de temps dans la startup,
dans laquelle j'étais que sur les bancs de l'école.
Les cours étaient pondérés par leurs coefficients,
mais j'allais de toute façon pas forcément en cours,
et il y a un cours, par contre, que je ne ratais jamais.
C'était le cours de cryptographie.
J'adorais ce cours, je trouvais ça fantastique,
et l'idée d'utiliser des maths pour fabriquer des secrets,
pour chiffrer des choses, je trouvais ça assez incroyable,
et je garde un grand souvenir de ces moments.
Je dis que je n'en ratais pas une miette,
et c'est même là que je pense que j'ai atteint un peu ma limite en maths,
et que je vais regretter à ce moment-là de ne pas être plus costant en maths.
Et voilà, c'est un des rares moments de ma vie
où j'ai regretté par avoir un meilleur niveau en maths.
Oui, c'est des maths, de l'algebra.
Nous, on a de la chance de travailler avec des cryptologues,
des mathémédecins incroyables, des gens de normales subtlums.
Donc ça, c'est vraiment très sympa.
Ça demande un peu un niveau de maths.
Si on a, sans leur atteindre même la chui,
mais en connaissant un peu les maths, on arrive à discuter avec eux.
Il n'y a pas de problème.
Ce qui est intéressant, c'est qu'il y a un espèce de continuum
de la recherche jusqu'au développement.
Parce que nos amis mathémédecins sont très forts,
mais ils travaillent dans un univers et un temps
qui n'est pas forcément celui d'un utilisateur d'aller à l'héronyne machine.
Pour avoir pas mal, essayer de monter des projets avec des universitaires,
je me rappelle que cette notion de temporalité, c'était à l'enfer.
Parce que tu... On avait essayé de monter des bourses-siffres, je crois que ça s'appelle.
Les gars te parlaient de 1 an pour mettre en place un truc qui allait durer 3 ans,
et nous, on était en startup et on avait 6 mois de vie.
On était tellement décalés sur ces sujets-là.
Et ça m'avait un peu sensibilisé à cette question du transfert de la recherche dans l'industrie.
Et ce que je trouve génial, c'est que vous, vous avez l'air d'y arriver, en fait.
Oui, alors ça aussi parce qu'il y a de la bonne volaté de tous les acteurs de tous les côtés.
C'est-à-dire, je me souviens des premiers rencontres qu'on a fait avec David Pointcheval.
Il nous a dit, il nous a partagé sa frustration quelque part,
que dans les cartons de la recherche,
il y avait plein de choses qui finalement n'étaient pas utilisées,
et qui de son point de vue étaient utilisables.
Donc il y a d'abord une volonté des chercheurs
d'aller donner cette recherche et de la diffuser de manière à ce qu'elle soit appliquée.
Donc il y a une démarche dans leur sens.
Je crois que nous, dans notre sens, on a fait aussi la démarche d'essayer d'aller vers eux.
Et un truc qui est super intéressant qu'on a établi maintenant,
parce que ça fait 4 ans qu'on bosse avec eux,
c'est qu'on va prendre de la recherche qu'ils ont fait eux.
On va mettre des développeurs, alors qu'ils sont des devs cryptos.
J'ai un nombre de gens qui connaissent un petit niveau de maths,
et qui sont aussi des développeurs, on va y avoir des développeurs,
qui vont aller prendre ça, puis qui vont essayer de coder ça assez rapidement.
Et la première chose qu'on va aller coder les maths,
et la première chose qu'on va essayer d'établir,
c'est est-ce que le résultat de l'algo, il va se faire dans les secondes qui viennent,
ou une seconde qui vient n'est pas dans 5 ans,
en faisant tourner tout Google Cloud dessus.
Donc ça, c'est le premier truc, c'est est-ce que c'est des maths
qui sont utilisables dans un temps de...
Est-ce que c'est...
Oui, oui, oui. Est-ce que c'est utilisable tout de suite, oui.
La réponse n'est pas toujours triviale en regardant juste les maths, en fait.
Ah ouais, c'est ouf. Rien qu'en a priori,
tu n'arrivais pas forcément à vous dire celui-là,
il va bien passer ou celui-là, ou ça va...
Oui, alors avec l'expérience de plus en plus,
mais ce n'est pas totalement trivial,
il y a vraiment des algos qui sont compliqués,
encore en le moment, on va prendre des trucs de chiffre,
on va vraiment m'amorfer, il y a des algos très compliqués.
C'est difficile d'établir, même en faisant de l'analyse comme ça,
sur ce qu'on a, les bigos, la complexité,
l'algorithmique, etc.
C'est difficile de se donner des idées,
parce qu'il y a beaucoup de paramètres qui viennent en compte,
en particulier des paramètres qui a la sécurité, en fait,
ce qu'on fait, et des attaques qui existent.
Donc il y a beaucoup, beaucoup, beaucoup de paramètres
qui font que c'est difficile d'évaluer a priori.
On a une idée de est-ce que ça va être lourd ou pas lourd.
On se fait un feeling, mais mettre un nombre en face,
un chiffre, un temps, c'est compliqué.
Donc généralement, c'est cette première chose qu'on va faire,
c'est implémenter l'algog et voir ce qu'il donne en termes de temps de réponse.
Alors, c'est pas parce qu'on a implémenté un algog
qu'on a un produit informatique qui est utilisable par la société X.
Il y a encore une autre étape derrière qui est de,
si on se distruque et intéressant de le transformer dans un produit utilisable
par un développeur ou une entreprise directement.
Mais on a cette première étape,
et puis justement, des développeurs vont remonter et dire,
« Non, mais votre truc, là, c'est super, mais là, ça, c'est trop lent.
Finalement, moi, cette fonctionnalité incroyable
que t'as mis, mais pas utile, parce que c'est trop sophistiqué pour les cas d'usage.
Et donc, on va avoir un retour vers le labo
qui du coup va se remettre sur la planche à des seins mathématiques
et essayer de redesigner un algog
dans lequel ils vont incorporer, finalement, ces contraintes qu'on leur donne,
mais qui permettent, eux, parfois, du coup,
de s'affranchir de certaines choses dont ils ont besoin sur le plan sécurité,
parce qu'on leur donne des cadres un peu plus les choses,
et puis vont nous refaire un algog, et puis on a cette boucle qui se fait.
Et alors, pour donner un exemple concret,
on a développé un algog de chiffrement
qui permet d'aller chiffrer des attributs à l'intérieur.
Et l'intérêt de faire ça, c'est qu'on peut émettre des clés de déchiffrement
quand on est politique d'accès.
Donc, on peut prendre une donnée, par exemple, et dire,
ça, c'est une donnée qui est mise par la filiale France
et qui est de niveau confidentiel,
ou ça, c'est une donnée qui est mise par la filiale espagnole et de niveau top secret.
Et puis après, on peut émettre des clés aux gens qui disent,
« Bah toi, t'as le droit de te faire toutes les données français de tous les niveaux,
que les données d'Espagne et de France,
mais du niveau confidentiel n'est pas top secret.
Donc, en fait, on peut avoir des politiques d'accès dans les chiffrées.
Donc ça, c'est très intéressant,
parce que ça permet d'aller déployer des données dans le cloud,
par exemple, et s'assurer que des gens qui vont les piocher,
vont les viner directement,
qui contournent les systèmes d'authentification et d'autorisation par ailleurs,
parce que peut toujours faire le cloud provider, d'ailleurs,
parce qu'ils ont accès physique aux machines.
Ça leur permet de s'assurer que s'ils ont une clé, ils ne peuvent des chiffrées,
qu'est-ce qu'ils peuvent des chiffrées ? »
Cet algo, au départ, qu'on a démarré,
on était sur des temps de chiffrement,
où on était au-dessus de la seconde,
où on était dans les secondes.
Aujourd'hui, on est à 200 microsecondes,
pas sur la photovoltaire,
donc on a amélioré de manière, mais dramatique, la vitesse,
parce que justement, il n'y a pas seulement de l'optimisation
fait par des développeurs, qui est réel,
mais la meilleure optimisation, c'est toujours d'optimiser l'algo.
Et donc de revenir au mat' et de se dire,
« Bon, en incorporant ces nouvelles contraintes,
ou quelque chose que je peux relâcher à droite à gauche,
est-ce que je peux améliorer les mat' et de redescendre
en fait vers les développeurs ? »
Et en faisant cette boucle,
on arrive vraiment à accélérer la performance de ce qu'on peut faire.
Et les chercheurs, eux, n'ont pas cette vision,
parce que eux, ils travaillent dans un modèle assez théorique,
où ils essaient de se protéger de toute façon,
de tout toujours, tout le temps, partout, etc.
Mais la réalité du terrain fait parfois qu'il y a des choses
qui ne sont pas d'une importance capitale,
où il y a des cas d'usage, où on n'a pas besoin de cette propriété.
Et ils n'ont pas cette vision.
Et l'avantage de travailler avec des startups comme nous,
qui derrière ont des clients,
c'est de pouvoir remonter cette vision
et du coup optimiser pour les besoins concrets qu'il y a derrière.
Donc c'est super intéressant, cette boucle est vraiment passionnante.
Et ça fonctionne, ça demande de la bonne volonté de tous les côtés.
En fait, c'est presque regrettable,
c'est comme ça qu'est né Google, c'est Stanford,
la recherche à Stanford, une startup,
avec les deux qu'on connaît,
et des Vici qui ont financé ça au départ,
c'était la Deep Tech.
Nous, en France, ça a mis 25 ans à arriver,
mais on en a de plus en plus maintenant,
il y a un écosystème à changer et on voit ce triptique
qui est nécessaire du chercheur,
des développeurs qui vont rendre concrets du produit informatique
et des gens qui financent, parce que ça coûte cher quand même,
c'est long, on a dit peut-être, il faut arriver, ça met du temps.
Et des gens qui vont les financer en fait, c'est développement.
Et c'est la combinaison des trois qui font que ça marche.
Moi, c'est vrai que dans les projets que j'ai fait,
il y avait parfois un petit peu un côté artificiel
dans le fait d'aller chercher un universitaire,
parce qu'il fallait pour avoir tel bourse ou ceci ou cela,
avoir deux entreprises plus d'un universitaire.
Il y avait des fois, il y avait un petit côté ou l'universitaire,
lui, tout ce qui l'intéressait, c'est sa bourse pour financer son labor.
Toi, tout ce qui t'intéressait, c'était la sub pour financer ton projet.
Quitte de la collaboration réelle,
je ne peux pas dire parce qu'on n'a jamais réussi à concrétiser ce genre de chose,
mais dans le montage du dossier, déjà, il y avait de quoi se poser des questions.
Et là, ce que je comprends et ce qui a l'air très cool,
c'est que ça a l'air opérationnel et concret et c'est chouette.
Et du coup, aujourd'hui, on innove encore sur la crypto.
Désolé, c'est la question par et bête,
mais tout ce qui est cryptographie, c'est quoi les chambres recherches actuelles,
c'est quoi un petit peu la point du top en termes de crypto ?
Oui, ça paraît toujours étonnant qu'on puisse inventer des choses en maths,
parce qu'on a l'impression que c'est un univers un peu fini,
mais pas du tout.
Oui, c'est absolument incroyable, mais c'est comme ça.
Et dans la cryptographie, il y a énormément d'innovation
et surtout en ce moment, puisque là,
justement, les besoins de protection, les attaques sont de plus en plus fréquentes.
Et donc, ça encourage, en fait, ce champ de recherche.
Il y a une pression qui remonte du marché, qui remonte des autorités.
J'ai vu que le Sénat américain, il y a la semaine, cette semaine,
a publié une recommandation d'aller chiffrer des choses
avec de la crypto-posquantique.
En fait, c'est incroyable.
Alors, avant que le Parlement français fasse ça,
on va voir combien de temps ça va prendre.
Mais le Sénat américain, ils ne sont pas des cryptologues,
mais on a mis une recommandation demandant aux entreprises
et globalement à l'État américain de 6 mètres.
Donc, du coup, ça encourage évidemment tout ça à la recherche.
Ça déclenche des moyens.
Le département de la défense aux États-Unis l'avait fait un mois ou deux mois.
Ils avaient décidé d'accélérer leur programme de cryptographie.
Et de déploiement de la cryptographie par rapport à leur planning original.
Tout ça, c'est des documents en ligne.
D'ailleurs, c'est absolument incroyable.
On a leur roadmap du département de la défense.
Elle est complètement publique et en ligne.
C'est un document hallucinant avec des milliers de lignes de Gantt chartes.
Là, comme ça.
Et ils ont accéléré toute la partie crypto.
Donc, il y a une pression aujourd'hui à encourager cette recherche.
Du coup, elle est très active.
Et en l'échange de recherche actuel,
on a un peu plus d'attaque question,
c'est un de supporter les menaces
que posent les ordinateurs quantiques qui arrivent,
qui sont au coin de la rue.
Et en fait, on est obligé de le faire tout de suite, ça.
Parce qu'il y a des données qu'on veut garder chiffrées très longtemps.
Si je reprends mes données de cancer, par exemple,
et imaginons que j'ai 20 ans et qu'on me découvre une maladie chronique ou un cancer,
j'ai pas du tout envie qu'à 40 ans, 20 ans plus tard,
on puisse déchiffrer le fait que parce que quelqu'un est tombé
sur un repos de données et qu'il a accès à un ordinateur quantique,
on n'a pas du tout envie qu'il puisse déchiffrer le fait
que j'ai eu un cancer à 20 ans.
Encore une fois, cette révélation peut avoir des impacts énormes
sur la vie de quelqu'un,
sur ces aspirations au niveau de la carrière,
des assurances, tout, de ces relations avec ses proches.
Oui, tu me parles le sujet,
médecine, et je comprends, et il y a une réalité.
Après, je pense que le département de la défense américaine
ne s'intéresse pas tellement au cancer des Américains,
mais plus à leur propre données de sécurité nationale
et militaire.
Les données militaires, c'est la même chose.
Par exemple, s'il y a des données militaires sur l'Ukraine,
je sais pas, liées à des opérations...
Plus pure spéculation, on sait qu'il n'y a pas de soldats américains
sur l'Ukrainien.
Voilà, exactement.
Donc prenons ça, par exemple.
Imaginons qu'il n'y a officiellement pas de soldats américains.
Là, t'es plus crédible pour me dire
que la défense américaine s'intéresse au sujet.
Voilà, donc on n'a peut-être pas envie que dans 10 ans,
parce que ce sera trop tôt, quelqu'un soit capable de déchiffrer le fait
que si-ci, il y avait des soldats américains.
Et donc, il y a toute cette partie post-quantique,
même si l'ordinateur quantique,
on sait qu'aujourd'hui, il n'y a pas d'ordinateur quantique a priori
qui est vraiment capable de casser de la crypto à grande échelle,
parce qu'ils ne sont pas encore suffisamment stables,
pas assez gros, etc.
Pas assez répandus.
Dans 10 ans ou 20 ans, ça peut être différent.
Et donc, on a envie de se prévenir, dès aujourd'hui,
en fait d'une menace potentiellement future.
Donc déjà, on cherche des algos post-quantiques.
C'est ça que t'appelles le post-quantique,
c'est-à-dire que tu anticipes son ordinateur quantique
en te disant quelles sont les algos qu'on va pouvoir créer
qui vont empêcher l'ordinateur quantique de casser les trucs.

Donc ça, c'est un champ de recherche très important.
C'est bon ?
Oui, mais comment tu fais pour anticiper sur un truc
qui n'est pas encore au point ? C'est dingue.
Oui, alors en fait, les ordinateurs quantiques,
la difficulté des ordinateurs quantiques, c'est de les réaliser.
C'est très compliqué de faire des qubits, les femmes.
Oui.
Ok, le modèle théorique est bien connu,
mais c'est l'implementation qui est compliquée.
C'est ça, qui est compliqué.
D'ailleurs, il y a une start-up française, même d'eux.
Une s'appelle Alice et Bob.
Il y a Pascal.
En fait, leur objectif, c'est vraiment ça, c'est de faire des qubits stables.
Donc ça, c'est le problème.
Il est là aujourd'hui, ce ordinateur quantique.
C'est arrivé à avoir beaucoup de qubits les uns à côté des autres stables.
Et des mantiens tous stables en même temps.
Parce qu'il y en a un qui ne devient pas stable, c'est mort.
Donc ça, c'est le champ de recherche.
Par contre, il y a un algos qu'on connaît déjà depuis un bon moment,
qui s'appelle l'algô de Grover, qui n'existe que sur les ordinateurs quantiques.
Et cet algos, il est très problématique parce qu'en fait,
il augmente très fortement les capacités de recherche exhaustives.
En gros, beaucoup d'attaques cryptos, c'est de la recherche exhaustive.
On va essayer tout le clé possible jusqu'à ce...
Ce qu'on appelle la brute force, quoi.
Ouais, exactement.
Pour les monopasses, c'est pareil, etc.
Donc on va essayer de faire de l'attaque de la recherche exhaustive.
Avec des ordinateurs quantiques, on peut faire une racine de n.
Donc si on a un algos, on exprime généralement la résistance
d'un système de suffrement en termes de bits,
en fait, pour dire que ces deux puissances, quelque chose.
Donc si, en règle générale, on considère que si un algos est résistant
à deux puissances 128 opérations, donc 128 bits,
c'est comme ça qu'on l'exprime, donc s'il faut deux puissances 128 opérations,
il est incassable parce qu'arriver à faire deux puissances 128 opérations.
Ouais, je crois qu'en termes de qubits, on est autour des 20, je crois, une vingtaine,
un truc comme ça.
C'est ça.
Donc là, deux puissances 128 opérations, je crois qu'il faut en gros
mobiliser toutes les bactéries de l'univers qui se mettent à faire des opérations.
Enfin, c'est impossible.
Donc, par contre, quand on a un ordinateur quantique,
le deux puissances 128, comme on a une racine qui vient avec l'algorithme de Grover,
ça devient deux puissances 64.
Et deux puissances 64, c'est un nom beaucoup plus petit que deux puissances
128, beaucoup, beaucoup plus petit.
Beaucoup, beaucoup, beaucoup plus petit.
Et donc, ça devient faisable.
Et ça, c'est problématique, ça casse du coup la crypto.
Donc, il faut trouver des moyens de lutter contre l'algorithme de Grover,
qui est connu.
Sans compter les futurs algos qui vont forcément émerger sur ces sujets-là,
parce que j'imagine que vous n'êtes pas les seuls à faire de la recherche
sur ces sujets-là et qu'il y a des gens qui seraient très intéressés
de pouvoir lire les données des uns et des autres.
Bien sûr.
Donc, il y a sûrement des gens qui vont sortir des trucs,
qui vont encore améliorer ça.
Ah bah, casser, par exemple, Bitcoin, c'est pas mal.
Il y a quand même pas mal de milliards dans Bitcoin.
C'est protégé par un algode cryptographique et des courbes éliptiques
qui est cassé, la crypto sur courbes éliptiques, qui utilise Bitcoin,
qui utilise les connexions TLS, la classique HTTPS.
Aujourd'hui, elle est basée sur des courbes éliptiques.
Les courbes éliptiques, elles sont attaquées par l'algorithme de Grover.
On n'a pas moyen de lutter simplement contre cet algode,
on va être obligé de remplacer ces courbes éliptiques.
Donc voilà, j'aurais un algorithme quantique aujourd'hui,
un ordinateur quantique.
Bitcoin, ça pourrait être une cible assez sympa,
déjà, pour commencer.
C'est clair.
On va essayer d'en choper quelques-uns.
Voilà.
Donc, ça, c'est un gros parti de la recherche qui est très active.
C'est protéger de la menace quantique, mais désaujourd'hui,
parce qu'encore une fois, il y a des données qu'on veut garder chiffrées très longtemps.
Après, un autre grand sujet de recherche,
c'est comment calculer une manière efficace en gardant les données chiffrées.
Donc ça, c'est aussi un énorme sujet de recherche.
C'est de dire qu'on est capable de calculer, même s'il a donné encore chiffrées,
on n'a pas passe pas en clair, on est capable de faire des calculs sur la donnée chiffrée.
Oui, ça paraît incroyable.
Quand tu parles de calculs, tu parles d'opérations mathématiques
ou même de la manipulation de strings ou des trucs comme ça.
Oui, absolument.
Donc, il y a plusieurs moyens de faire ça mathématiquement
ou une combinaison de hardware et de maths.
Et là, il y a énormément de recherche aussi sur le sujet.
Donc, de manière plus moins mathématique,
c'est ce qu'on appelle la cryptomorph, enfin, totalement homomorph.
Donc, l'idée, à la base, c'est assez simple, mathématiquement.
C'est qu'on prend un chiffré d'une valeur A,
on prend un chiffré d'une valeur B,
on additionne des chiffrés de A avec le chiffré de B
et on se retrouve avec le chiffré de A plus B.
Donc, quand on déchiffre, on a le résultat A plus B,
mais on ne connaît pas A et on ne connaît pas B.
En fait, tout le monde a fourni des chiffrés,
un de A, l'autre de B.
On récupère en addition et chiffré le chiffré de A plus B
et on récupère quand on déchiffre.
Oui, ça paraît assez incroyable, dit comme ça quand même.
Oui, mais bon, ça marche.
Donc, ça, c'est des maths qui existent.
Le seul problème de cette crypto pour faire des algorithmes totalement...
Alors, ça, c'est simple.
De faire de l'addition serait simple.
Faire de la multiplication, ça devient plus compliqué.
Et alors faire chose...
C'est jamais que de l'addition...
Mais quand on veut faire un nombre de 64 bits,
ça en fait des additions.
Oui, c'est pas fort.
Donc, faire des multiplications de manière efficace,
ça devient plus compliqué.
Et puis, alors faire des choses non linéaires,
avoir un if, machin, égal, 42, faire ça, sinon ça,
ça devient encore plus compliqué.
Alors, théoriquement, c'est faire et c'est faisable.
Alors, on a réussi à prouver, c'est récemment,
que mathématiquement, on peut faire sur des chiffrés,
on a une machine de turingue complète,
donc pour paraver un terme plus d'heves.
Donc, on est capable de faire n'importe quel algo non linéaire sur des chiffrés.
Mathématiquement, on sait faire en pratique,
quand on implément de ça, d'ailleurs,
il y a une start-up française qui ne fait que ça
avec un des meilleurs cryptologues du monde aussi,
que ça ne s'appelle pas ce qu'elle payait, la boîte, ça s'appelle Zama.
Donc, eux, ils ne font que ça, travailler là-dessus.
En gros, la performance aujourd'hui,
c'est que ça prend, c'est 1000 fois plus lent que de faire la calcul en clair.
En gros, pour donner un nombre de grandeur.
Et 1000 fois, c'est déjà beaucoup plus rapide qu'à 5 ans,
c'était plutôt 1 million de fois plus lent.
Mais en gros, aujourd'hui, faire ces opérations mathématiques
avec ces schémas-là sur des chiffrés, c'est en gros 1000 fois plus lent.
Donc, il y a des trucs pour lesquels c'est pas très gênant,
mais il y a quand même, c'est très gênant dans beaucoup de cas.
Bon, puis il y a un deuxième problème, c'est que les chiffrés,
en temps, c'est très gros, alors ça occupe beaucoup plus d'espace,
du coup, ça fait plus de communication, ça aussi, c'est un autre problème.
Mais théoriquement, on sait le faire.
Donc maintenant, il y a plein de boîtes, plein de gens, plein de rechercheurs
qui sont en train de travailler à fond là-dessus pour essayer d'améliorer ça, par exemple,
et de réduire ces chiffres, en fait, ces milles, etc.
Et d'améliorer, voilà.
Donc ça va devenir probablement, ça va finir dans du hardware, tout ça.
Mais ça, c'est un volant de recherche qui est énorme.
Alors il y a d'autres techniques,
secure multiparticles computation, function encryption, qui fait alénaise d'ailleurs.
Et puis il y a des techniques qui mélangent
ce que je disais Intel, du hardware, qu'on a chez AMD, qu'on a chez ARM aussi.
Où là, on a du chiffrement de la mémoire en temps réel.
Donc ça permet aussi de faire ce genre de choses en addition de la crypto.
Mais c'est un champ de recherche ultraactif, parce que c'est évidemment très tentant
de se dire qu'on ne déchiffent pas la donnée,
ce qui permet d'opérer dans le cloud, c'est de donner une trace sensible.
Tout simplement, ça te permet d'opérer sans filer de clics, quoi.
Exactement.
Parce que le point faible de tout système de chiffres,
un des points faibles au-delà de l'algo en lui-même,
après, c'est la gestion des clés.
Exactement.
Si tu es obligé de faire circuler dans la mémoire de l'ordinateur
une clé pour qui puisse lui bosser,
ça veut dire qu'à un moment donné, quelqu'un qui rentre sur l'ordi
est capable de récupérer cette clé.
Voilà. Et donc c'est exactement...
Et donc c'est tout le principe du chiffrement ubiquitaire,
c'est qu'on chiffre avant de pousser les données vers le cloud,
donc on chiffre en local, le plus proche possible de la source.
On envoie les données chiffrées sur le cloud.
On est capable de rechercher dans un gros répertoire de données
avec du sortiable encryption.
C'est aussi du chiffré qu'on envoie pour les faire des recherches.
Et on est capable de continuer à calculer en chiffré dans le cloud.
Et c'est seulement quand on récupère le résultat du calcul qu'on déchiffre
et on déchiffe le plus proche possible de la cible,
donc on va les déchiffrer dans le mobile, dans le navigateur.
Donc, par exemple, nous, c'est un truc comme Cosmo,
sur lequel on a beaucoup travaillé,
c'est d'être capable de faire de la crypto un peu avancée,
comme ça, dans du J.S., en fait.
Donc là, ça veut dire on va aller prendre des algos
qu'on développe souvent en Rost,
parce que c'est le langage le plus approprié pour les développer de la crypto.
Puis on va traduire ça en WebAssembly.
Le WebAssembly, maintenant, les moteurs,
les VM WebAssembly sont disponibles dans tous les navigateurs,
Chrome, Firefox, Ressent, etc.
Et donc, on va aller faire de la crypto en WebAssembly, dans le navigateur,
mais de manière à déchiffrer tout proche de l'utilisateur, en fait,
tout au bout, au bout, au bout de la chaîne.
Et donc, c'est vraiment l'idée, c'est qu'on chiffre le plus trop possible.
On essaie de tout faire en chiffré tout le long,
mais on déchiffe vraiment que le résultat...
...à l'affichage.
Alors moi, j'ai deux questions que j'ai envie de poser.
La première, c'est...
Tu nous parles de quelque chose qui est dynamique,
qui est tracté par un petit peu le contexte.
C'est qui tes clients aujourd'hui ?
C'est quoi ton marché, en fait ?
Ah, les clients, il y a le secteur bancaire, beaucoup.
Et alors ça, c'est pas étonnant.
Alors c'est pas étonnant pour plusieurs raisons.
D'abord, c'est un secteur fortement réglementé
où, le coût de fuite des données peut être très calme.
Ah bah on l'a vu, hein.
Ça dérange des gens importants, en fait.
Et voilà.
Ça peut être catastrophique.

Et puis il y a de la réglementation
qui les oblige à faire des choses.
Les Panama papers nous l'ont bien montré, quoi.
Ouais, absolument.
Et puis historiquement, il faut pas oublier que les banques...
Donc moi, je suis plus tout jeune,
donc je fais partie des vieux développeurs.
Et les banques, c'était les premiers à développer de l'informatique, en fait.
C'est donc...
C'est des gens qui ont cette culture de la...
Oui, puis ils sont capables de mettre des moyens, en plus.
Absolument.
Et puis ils sont de cette culture,
c'est important si on interne de faire confiance à l'informatique
pour résoudre des problèmes.

Parce que c'est pas vrai partout, ça.
Moi, j'ai travaillé dans la Grande-Distrie aussi.
C'est beaucoup moins vrai, par exemple.
Je suis...
Je pense que beaucoup plus d'ailleurs.
Donc il n'y a pas cette peur dans les banques.
Je ne dis pas que c'est des aventuriers de la technologie,
je ne sais pas en train de dire ça.
Mais il y a cette espèce de confiance
qu'on investit dans la technologie,
ça peut améliorer les choses.
Il y a des secteurs qui sont beaucoup plus suiveurs,
clairement là-dedans.
Donc on va retrouver souvent des secteurs,
soit qui ont cette culture de la techno,
donc typiquement les banques, la finance.
C'est moins vrai dans l'assurance, par exemple.
Ils sont tendants à être plus suiveurs.
On va...
Dans les secteurs qui ont confiance en la techno, les militaires,
évidemment, on est tous qui autour de la défense,
parce que eux, en toute façon,
on voit bien d'ailleurs,
les dernières guerres, ça ne va plus technologique.
Donc ce sont des gens qui, de toute façon,
mangent de la techno à tour de bras,
donc ils ont aussi cette culture.
Et puis tous les gens,
et les gens du militaire ont aussi ça,
tous les gens qui manipulent des données ultra sensibles,
donc les militaires,
et la partie médicale,
où là, on commence à prendre conscience
de l'ultra sensibilité des données.
D'ailleurs, la plupart des attaques qu'on regarde
qui visent à capturer des données
sont faites sur des systèmes de santé, en fait.
Massivement.
Oui, parce que je pense que
tu n'as pas la sécurité d'un niveau militaire,
mais tu as une sensibilité qui est quand même très forte,
et puis en plus publiquement,
et quand même gênante,
assez gênante pour faire bouger les lignes.
Oui, absolument.
Donc c'est ce qu'est ce que tu as là,
avec le général sur lequel on va trouver des choses.
Maintenant, je dis ça,
mais on voit des clients industriels,
maintenant arrivés,
qui ont des données qui ne sont pas forcément
des données personnelles,
mais qui ont des données industrielles,
et qui ont une certaine sensibilité.
Alors, par exemple, je disais un exemple
où on a eu deux fois,
c'est des gens qui fabriquent des machines
très sophistiquées,
et donc leurs clients,
c'est des gens qui utilisent leurs machines,
et leurs clients,
ils utilisent leurs machines
pour faire des trucs sensibles.
Donc ça va être à les graver,
c'est souvent de l'électronique,
à les faire des cartes à puces spéciales,
pour les cartes spéciales,
pour la cyber sécurité,
justement pour des applications militaires
ou des choses comme ça.
Et alors le problème de ces fabricants,
de ces machines très sophistiquées,
dont les clients ont des utilisations
qui elles sont sensibles,
c'est qu'ils n'ont pas de retour,
ils n'ont pas de feedback de leurs clients,
parce que leurs clients ne veulent pas dire
ce qu'ils font avec les machines.
Oui, ça paraît curant.
T'as pas le trockeur Google Analytics.
Exactement.
Et donc, c'est compliqué pour
faire du service à ces clients
ou améliorer la machine, en fait.
Si je prends l'exemple d'un avion,
par exemple, qui est une belle machine technologique,
c'est prévu,
maintenant tous les fabricants font ça,
ils ont même normé ça,
l'avion envoie des données de retour
aux fabricants à Airbus, par exemple,
qui permet à Airbus Boeing, etc.,
d'améliorer, de vérifier la sécurité,
d'aller vérifier si il y a des choses, etc.
Un avion militaire, par exemple, c'est plus compliqué.
Parce qu'on n'a pas eu à dire qu'il allait se balader en Ukraine,
pour continuer sur un filet de transport.
Ah ouais, il n'y a pas d'avion français
ni américain en Ukraine, on a vu.
Oui, oui.
Donc, il y a des machines comme ça,
dont l'utilisation en fait est un peu complexe.
Et donc, ton système permet de crypter les données,
du coup, le fabricant peut y accéder
et l'utilisateur est sûr.
C'est ça ?
C'est ça.
Alors, l'intérêt d'avoir des données chiffrées,
c'est aussi le deuxième effet qui se coule
de la protection des données,
c'est que comme les données sont chiffrées,
le fabricant ne voit pas l'utilisation en clair,
et on peut limiter les opérations
qui fressent sur les données.
On sait quel algorithme il va aller appliquer,
donc on peut limiter les calculs qu'il peut faire.
Et donc, ça permet de dire,
vous pouvez faire juste les calculs
qui permettent éventuellement d'améliorer la machine,
mais qui ne vous permettent pas de révéler
ce que je fais vraiment à l'heure.
C'est génial.
Mais ça veut dire que du coup,
quand même le client fait assez confiance en ta techno
pour se dire que tu n'as pas mis un truc derrière
pour quand même récupérer les données qui passent par eux.
Oui, absolument.
Alors, l'histoire de la confiance et de la sécurité,
c'est un sujet ultra important qu'on ait dans notre monde, d'autres façons.
Parce que moi, dans ma tête,
tous les gens qui fabriquent des algos de crypto
ou qui vendent des produits de crypto, je veux dire,
tu as forcément la petite backdoor qui va bien
pour ton gouvernement ou un truc comme ça.
Alors, là-bas, la solution, elle est assez simple,
c'est ce qu'on fait, tout est open source.
Donc nous, le moindre algo crypto, d'ailleurs,
si on va sur notre GitHub, on verra,
les algos crypto qu'on utilise,
toute la crypto qu'on met en route,
les papiers de crypto sur lesquels on s'appuie,
tout est open source parce que justement,
on veut que nos clients puissent vérifier,
ils sachent exactement ce qu'ils font tourner.
Donc pour ceux qui sont vraiment très sensibles à ça,
ils peuvent rebulder, même, ils peuvent reconstruire les...
Ça veut dire que tu libères toute ta techno,
mais comment tu fais pour te défendre, là ?
Ah bah...
C'est-à-dire qu'un concurrent peut venir prendre ta techno
et vendre des produits équivalents, ou tiens ?
Alors, la licence, tu ne permets pas de faire ça en théorie.
Il y a rien qui, techniquement, n'empêche de le faire.
Mais en théorie, c'est des licences open source,
mais ça ne donne pas pour autant le droit
d'aller faire une commerciale avec sur les licences.
Mais c'est de l'open source, donc on est vraiment...
Tout est public.
Parce que tu es quand même sur un sujet sensible,
et si quelqu'un prend, il ne va pas...
Il ne va pas sûr que les Chinois qui vont utiliser le truc,
en admettant que les Chinois soient intéressés.
Je ne suis pas sûr qu'il se préoccupe beaucoup de ta licence.
Alors, c'est une bonne question.
Alors, d'abord, bon, moi, franchement,
aujourd'hui, on n'est pas assez gros pour la taquette marchée chinois.
Donc, si ça arrive, ce n'est pas très grave.
On n'a pas l'impression qu'en termes de marchés,
on n'a pas du grand-chose.
Je dirais peut-être pas ça dans 5 ans ou dans 10 ans,
mais aujourd'hui,
donc s'il y a des gens qui trompent notre truc et qui le dérepentent en chine,
j'allais dire presque tant mieux.
Comme ça, ça nous évite, nous, d'avoir évangélisé et d'aller expliquer.
Ils font le bout de la place.
Parce qu'aujourd'hui, le marché chinois, pour nous,
ce n'est pas un marché accessible trop loin.
Donc, bon, tant pis, c'est la vie.
Déjà rien qu'en Europe,
il y a déjà...
D'accord, il y a de quoi faire.
Il y a de quoi faire.
En plus, il y a un sujet qui est assez à la mode en ce moment.
Il y a, à bonne raison, alors,
après, comment les gens l'envisager techniquement,
ce n'est pas toujours correct,
mais c'est l'histoire de la souveraineté.
C'est de se dire que quand même,
toute l'infrastructure qu'on utilise,
c'est beaucoup des sociétés américaines.
C'est AWS, Azure,
des GAFAM,
et qu'il y a le Cloud Act aux États-Unis
qui permet au gouvernement américain,
sans passer devant le juge, d'ailleurs,
d'aller exiger d'une compagnie américaine
d'une manière extra-territoriale,
d'accéder à une machine,
par exemple, qui appartient à AWS en Europe.
La loi américaine permet absolument
d'aller mettre la pression à AWS
pour vous en demander l'accès à une machine
qui se trouve en France.
Il n'y a rien qui les empêche,
c'est le Cloud Act fait ça.
Donc, il y a quand même une réflexion de se dire...
Tout ça, c'est quand même assez gênant.
Pour autant, l'infrastructure d'un Azure,
ou d'un GCP ou d'un AWS, c'est extraordinaire.
C'est dommage de s'en priver,
parce qu'on a OVH,
on a notre champion français,
mais on n'a pas quand même...
Il s'agit d'une taille qui n'est aujourd'hui pas comparable.
Et donc, la crypto, c'est aussi un moyen
de s'affranchir un peu de ce problème,
en disant, de toute façon,
c'est le gouvernement américain avec sa domache,
du verrec du chiffré.
Les clés ne sont jamais dans le cloud,
c'est une idée de base,
ce que j'ai dit, on chiffre toute la source
avant de l'objet et de donner,
et on défuse seulement quand on les a récupérés chez soi.
Donc, la crypto, c'est aussi un moyen
d'allévié ce problème,
d'essayer de regadier de la souveraineté.
Et nous, d'ailleurs, on travaille avec OVH,
on est très contents
pour essayer de faire des solutions,
alors là, totalement souveraines,
totalement couvertes par la loi française,
donc même le cas de légal,
en fait, est bien connu par nos clients,
et ils savent exactement
dans quoi ils mettent les pieds.
Donc voilà, rien que sur notre...
J'ai à dire, rien que sur notre...
Territoire et de quoi ?
...d'un secours, là, territoire,
il y a déjà beaucoup, beaucoup à faire.
L'autre question que j'avais,
l'autre sens que j'avais en termes de marché,
c'est plutôt sur le côté des développeurs.

C'est quoi, les...
Parce que tu as typiquement...
Tu rentres...
Tu rentres officiellement dans mon top 3 des boîtes
que j'irais voir le jour où je chercherai un job.
C'est quoi le marché des développeurs que tu cherches
et c'est quel type de profil ?
C'est quoi les salaires de ces profils-là ?
Est-ce que c'est dur, est-ce que c'est facile,
est-ce que tu es attractif,
est-ce que la crypto fait rêver ?
Parce que moi, ça me fait rêver,
mais pas sûr que ce soit le cas de beaucoup de gens, en fait.
Alors là, je touche tout le bois
que j'ai autour de moi quand je dis ça,
mais pour l'instant,
j'ai pas trop de problèmes à recruter
parce que oui, il y a beaucoup de gens qui sont intéressés.
Ça, c'est plutôt une bonne nouvelle.
Alors maintenant, on a beaucoup de profils
devant l'équipe DEF.
On a des gens qui vraiment développent de la crypto.
Donc, c'est des gens qui prennent des algos de maths
et qui vont les coder ça.
Ce n'est pas forcément des gens
qui ont une expérience monstruse
en termes de développement, ce n'est pas le sujet.
C'est quand même des gens
qui sont capables de lire un papier de maths de normes à de supr.
Donc, à base.
Oui, déjà tu...
Tu filtes trop peu là quand même.
Oui, mais en fait, si on aime les maths,
moi, je suis sûr que tu t'y mets.
Tu dirais quoi ?
La preuve, quand on a l'habitude de lire ces papiers de recherche,
on sait qu'il y a quelques paragraphs qu'il faut lire
et il y en a, c'est pas la peine.
C'est juste des cryptologues entre eux
qui expliquent que ce qu'ils ont fait est bien,
et là, il faut les croire.
Mais les paragraphs qu'on appelait « Mentre nous »
en fait, ils ne sont pas forcément si nombreux.
Il faut quand même être capables de lire les formules mathématiques.
Oui, absolument.
Il faut être capables de lire des formules de maths.
Donc, on a des cryptologues, des cryptodèves,
qui font ça.
Et alors là, l'engagement de prix d'élection, aujourd'hui, c'est Rust.
Donc, c'est un langage dont la courbe d'apprentissage est assez dure.
Quand on n'en a jamais fait avant,
les débuts sont un peu compliqués,
même quand on est un développeur expérimenté.
Mais une fois qu'on l'a appris à utiliser du Rust,
en règle générale, les gens adorent ce langage.
Donc, c'est un langage...
J'ai bouffé 10 ans de C++, donc je pense que je suis blindé.
Oui, c'est ça.
Donc, c'est C++ sans toutes les emmerdes et avec un système de build qui marche.
Il y avait qu'un garbage collector ou pas ?
Non, il n'y a pas de garbage collector, c'est pas du tout.
Ah, à l'ancienne !

Donc, on peut faire du...
Parce que nous, on a besoin de deux choses.
On a besoin de limiter les opportunités d'avoir des bugs,
surtout de type buffer overflow, multisreading, etc.
Parce que c'est comme ça qu'en règle générale,
se font les grosses leaks.
Et ça Rust le garantit formellement.
C'est à dire que ça compille pas
si on a des erreurs dans les allocations mémoires et les sessions mémoires.
Ils ont un modèle de gestion de la mémoire
qui est avec du bon link très, très original.
Mais qui garantit ça.
Donc, on sait que ça compille uniquement si on gère correctement la mémoire.
Et pareil pour le multisreading.
Et ça, une problème de mémoire à multisreading,
70% des CVE, des bugs critiques,
dans des bases de code chez Microsoft et chez Google,
ils ont fait tous des tests
et ils arrivent tous à peu près au même résultat.
Et Linux, pareil.
70% des CVE, en gros,
soit de la gestion mémoire, soit du multisreading.
Donc déjà, ça fait... Il reste 30% à gérer.
Donc déjà, c'est la raison pour laquelle on utilise Rust.
Sur un simple choix de techno d'éliminer 70% de problèmes, c'est pas mal.
C'est pas mal, voilà.
Pour faire un jour de trucs...
Parce que d'une ou plus, c'est vraiment là les problèmes,
le sécurité en général.
La deuxième raison, c'est que Rust,
contrairement à Dubgo, par exemple,
qui fait ça aussi très bien,
c'est qu'on peut faire du binaire optimisé.
On n'a pas de garbage collector,
donc on n'a pas la goût.
Le problème, c'est que le garbage collector, ça bouffe la performance.
Ça simplifie...
Ils ont des grilles de thread, des trucs ultra simples
pour gérer certaines choses.
En Rust, les allocations, la gestion de la mémoire,
est un peu plus complexe,
il y a un système de borrowing,
mais on n'a pas besoin de garbage collector.
Du coup, on peut faire vraiment du code optimisé
qui a la même performance que du code C++ optimisé.
Donc on a la perfe dont on a besoin
quand on fait des algos cryptos,
parce que ce que j'ai expliqué tout à l'heure,
c'est qu'on...
C'est clair qu'il...
Garbage collector se met en route au milieu de...
Une grosse opération, t'es mort, quoi.
Exactement.
Donc on a besoin de perfe,
parce qu'on va les chiffrer des gros volumes de données à la volée.
Donc on a besoin de perfe.
Donc le développement crypto, ça se fait en Rust.
Et encore une fois, je touche beaucoup de bois
comme je dis ça,
j'espère que ça va pas changer,
mais des gens qui sont intéressés par code d'EDMAT
et par le Rust, il y en a pas mal, en fait.
Donc ça, c'est plutôt sympa.
Et c'est quoi les niveaux de salaire
d'un développeur qui va bosser chez toi ?
On paye plutôt bien.
On est plutôt sur le haut du marché.
C'est un peu normal.
Tu me diras en neuf.
De toute façon, le marché français,
il n'y a pas de gros écarts énormes,
mais on est plutôt sur le haut du marché.
Globalement, on a tendance à bien payer,
parce que c'est des profils qui sont intéressants.
On a tendance à plus payer.
Mais non, on n'a pas que ça.
On a aussi des trucs beaucoup plus classiques,
quelques frontaines, pas beaucoup,
mais qui en font...
Des gens qui font du DevOps,
des gens qui sont plutôt des spécialistes,
de l'algorithmie plus classique
qu'on va trouver, server-side,
donc on a à peu près tous les profils dedans.
C'est juste, je dirais, par rapport à l'éditeur classique.
Nous, on a ces gens qui sont crypto-dev,
qui sont à la fois matheux et devs dans le système.
Après, le reste de l'équipe est assez standard.
C'est des profils, on retrouve les mêmes genres de profils.
Sachant que nous, on produit surtout de la librairie.
On a aussi une infrastructure,
SASS, mais on produit aussi de la librairie.
On retrouve les mêmes profils que n'importe quelle boîte
qui fait d'infrastructure.
SASS et de la librairie,
en plus de ces profils crypto-dev.
Écoute, Bruno, c'était top.
Je me suis régalé, merci pour cet épisode.
Je te laisse le mot de la fin.
Qu'est-ce que tu as envie de dire aux auditeurs ?
Ce que j'ai envie de dire aux auditeurs,
d'abord, un, c'est cool d'aller faire
de la dev comme ça.
Plus aux jeunes dev,
c'est sympa de faire des trucs un peu poilus, etc.
Pas avoir peur, il faut y aller.
Il faut pas se bloquer.
C'est vraiment sympa.
Moi, je fais beaucoup de dev dans ma vie.
C'est vraiment de la dev sympa.
Donc, aux dev, n'hésitez pas.
Lancez-vous, jetez-vous, essayez.
Les maths, t'as codé, c'est sympa.
En fait, c'est contrairement ce que vous pourrez penser a priori.
Ça, c'est le premier truc.
Et puis, pas le deuxième,
c'est plutôt le souhait que ce sujet
de la protection des données, etc.
apprennent, qui viennent universel,
que vraiment les gens commencent
à vraiment prendre ça en compte.
Nous, notre volonté, c'est vraiment que ça devienne
des technologies socles,
que, comme on dit, on est de la privacy by default
dans les applications,
que les designs soient dans.
On ne se pose pas la question.
C'est là.
Donc, j'ai envie de dire, aidez-nous.
Dites aux gens, c'est important de protéger les données.
Dites, ouais, moi, c'est pas un problème.
Si, c'est un problème pour tout le monde.
Reflechissez-vous, est-ce que vous pourrez être
une fuite de données pour vous, et dites-vous
que c'est important ?
C'est mon souhait.
Moi, j'ai clairement pas envie de donner
privé, perso, soit fuite.
Au niveau individuel et chez les textes,
je pense qu'il y a une vraie prise de conscience.
Je suis pas sûr, malheureusement,
que l'approche ne soit pas beaucoup plus cynique
au niveau entreprise et dansant.
J'espère qu'il faut qu'il y ait des gens
qui luttent contre ce cynisme de dire de toute façon
« Bon, bien, on aura une amende ».
Il faut vraiment que ce soit un sujet
qui vienne important.
Et je pense que les devs et globalement les techs
sont un gros facteur
à aller porter, je veux dire, le combat
de la protection parce que eux,
comprennent ça.
Bien, hier, j'enregistrais un podcast
avec Romain Fallet, qui a fait
de la protection des données personnelles,
un dada personnel, c'est vraiment...
je sais pas, il a...
Il s'amuse à débanquer à coups de bazookas,
les...
tous les gens qui font des trucs pourris
sur le RGPD, tout comme ça.
Et on est complètement dans cette ligne-là
et je me faisais cette remarquée
de me dire que je suis content d'être en Europe,
c'est même suspicion, c'est même louche
que l'Europe est autant régulée dans ce sens-là,
parce qu'il est tellement pro-citoyen
que ça m'interroge, je me dis, elle est où la douille ?
Mais c'est quand même...
Enfin, moi, je suis content, en fait.
Je suis content d'être dans un cadre légal
qui est en tout cas une direction,
même si la mise en oeuvre
n'est pas forcément exceptionnelle.
Il y a une direction, une impulsion,
une intention qui est donnée légalement, qui est intéressante.
Et avec l'épisode d'aujourd'hui,
je suis carrément content de voir qu'on en fait,
on est en train de soutiller,
on est capable de soutiller technologiquement
pour mettre en oeuvre cette vision-là.
Ah, je suis 100% d'accord avec toi
et je pense qu'il y a deux phénomènes en Europe
qui jouent en cette faveur.
Le premier, c'est qu'il y a des gens
qui, culturellement, en Europe,
sont beaucoup plus suspiciouses
sur la gestion des données.
On vous pensait à nos amis allemands, hein.
Eux, ils ont connu le nazisme et la Stasie.
Oui, voilà, c'est ça.
On a la France et l'Allemagne,
et puis le Rappen général, on a connu
deux, trois épisodes récents qui ont marqué les esprits.
Exactement.
Ça, c'est la première chose.
Et puis la deuxième, c'est que,
aussi, la réalisation,
finalement, beaucoup de la technologie
qu'on utilise n'est pas née ici,
à l'année ultra-atlantique,
ou plus en plus en Chine.
Et donc, oui, se protéger,
ça peut être aussi important.
Et donc, la combinaison de ces deux facteurs,
je pense, fait qu'on devient un peu leader
dans le domaine, parce qu'on a besoin, nous,
pour des raisons historiques et technologiques,
de se protéger un peu plus que les autres.
Merci Bruno, je me suis régalé avec cet épisode.
Je te dis à bientôt.
Si les auditeurs, non, attend,
si les auditeurs veulent en savoir plus
sur ce que tu fais, viens-nous.
Alors, cosmium.com, c'est ce qu'il y a de plus simple.
Il y a notre github.
Comment tu l'écris, cosmium?
Alors, cosmian.com.
Donc, là, c'est un web,
et puis il y a pas mal de trucs d'introduction.
On a un github, github.com,
c'est la chaussonnement, cosmian.com,
pour les plus d'EVE,
qui veulent y toucher de la crypto,
ils ont de quoi jouer,
il y a plein de projets et de choses comme ça.
Puis on a de la doc en ligne,
docs.cosmium.com,
pour ceux qui veulent aller
plus lire des choses un peu techniques.
Donc, il y a pas mal de ressources publiques,
encore une fois, on fait de l'open source
disponible pour aller comprendre
comment ça marche,
que tu sois du use-cage
jusqu'au bas niveau des matins.
Merci Bruno.
Merci beaucoup.
Quant à toi, cher auditeurs,
j'espère que cet épisode t'as plu.
Si tu l'as apprécié,
je t'invite à le partager,
faire connaître un petit peu l'épisode,
montrer que la crypto peut être un sujet intéressant.
Et je te dis à bientôt.
Merci.