À 21 ans, Renaud Deraison est connu partout dans le monde. Nessus, son logiciel libre pour tester la sécurité des serveurs informatiques, s’est imposé là où il n’y avait plus grand-chose.
« J’étais là au bon moment, c’est une question de chance. » Renaud Deraison a le triomphe modeste. Dans le monde entier, les spécialistes de sécurité informatique connaissent son bébé, Nessus. Un logiciel libre de test de vulnérabilités. Entamé en janvier 1998 comme un projet informatique privé, Nessus s’est imposé là où il n’y avait plus grand-chose. Satan, programme mythique de détection des failles d’un serveur, n’était plus mis à jour. Sa pertinence déclinait. Saint, son « successeur » est, pour sa part, arrivé six mois après Nessus.
Mais il n’y a pas que la chance ou le timing. Renaud Deraison, 21 ans aujourd’hui, l’admet : Nessus lui a demandé beaucoup de travail et de temps. L’informatique, ce grand brun efflanqué connaît : il en tâte depuis l’âge de douze ans. Et il s’est vite entiché de sécurité, un univers peuplé de backdoors, de virus et de chevaux de Troie. Mais n’allez surtout pas confondre ce Parisien, au look propret d’étudiant de Science-po, avec un vilain pirate (forcément à cheveux longs et boutons...) : « Mon truc, c’est de trouver une faille, pas de l’exploiter », confie-t-il. Et pourquoi avoir choisi de faire un logiciel libre ? « Parce que c’était un moyen de rendre à la communauté ce qu’elle m’avait apporté », répond-il, comme tout bon informaticien qui a tâté du Linux. Mais aussi parce que les logiciels commerciaux bénéficient de millions de dollars d’investissements. Lui ne pouvait pas s’aligner. Alors comment gagner de l’argent avec Nessus ? En montant une société de support, qui aide les entreprises à installer et à personnaliser le programme, selon leurs besoins. Mais le chasseur de bugs a pour l’instant moins de chance avec le business. Faute de pouvoir convaincre les utilisateurs de son logiciel de payer pour améliorer un produit gratuit, Renaud devrait bientôt mettre la clé sous la porte. Plutôt rageant, lorsque l’on sait qu’une quinzaine d’autres boîtes gagnent de l’argent grâce à Nessus : elles vendent comme service le fait de lancer le logiciel à l’assaut des réseaux pour y déceler des failles de sécurité. Certaines n’analysent même pas le rapport fourni par Nessus, ce qui, pour le client, n’a aucun intérêt. Mais Renaud s’en moque. Il a déjà en tête de monter une autre société, sur un filon qui, cette fois, sera le bon. Mais, chut, il n’en dira pas davantage.
De toute façon, il a l’habitude de se débrouiller seul. Si la notoriété de Nessus lui vaut d’intervenir dans de grandes conférences, comme Black Hat en 2001, il n’a jamais reçu d’aide de la communauté Linux. Les fans du pingouin ne s’intéressent guère au développement de Nessus. Linux.com a même refusé de passer des bandeaux publicitaires pour le logiciel. Quant aux spécialistes de la sécurité, certains font valoir des défauts de programmation dans le logiciel de Renaud Deraison. « Il y a trois ans, je n’étais pas un bon programmeur. Je ne sais pas si je suis meilleur aujourd’hui, mais je travaille à l’amélioration du code tant que cela ne remet pas en cause la stabilité de l’ensemble. Nessus marche bien parce que ça ne plante pas. » Pour un logiciel de sécurité, c’est une qualité première.