Imaginez un chirurgien capable d’opérer un patient sans l’endormir entièrement, en n’anesthésiant que l’organe concerné pendant que le reste du corps continue de fonctionner. C’est l’analogie qu’Alain Tchana, professeur à Grenoble INP – Ensimag, UGA et responsable de l’équipe KrakOS au sein du LIG*, utilise pour expliquer GoodKit, le système au cœur de son article accepté à OSDI 2026. Il s’agit du seul article d’une équipe française parmi les 136 retenus cette année dans cette conférence de référence.
Derrière chaque service numérique (site web, application d’intelligence artificielle ou infrastructure d’entreprise) se trouvent des machines virtuelles. Ces « ordinateurs dans l’ordinateur » permettent à un seul serveur physique d’héberger simultanément de multiples environnements cloisonnés. La technologie, inventée en 1970 par IBM, est aujourd’hui au cœur du cloud d’Amazon, Microsoft, Google ou OVH. Elle offre mutualisation des ressources, efficacité énergétique et isolation des données, mais pose aussi des défis importants en matière de sécurité, de supervision et de performance.
C’est précisément sur ces enjeux que travaille Alain Tchana, également directeur adjoint chargé des relations entreprises de Grenoble INP – Ensimag, UGA. Ses recherches portent sur « l’introspection », cette capacité à observer une machine virtuelle depuis l’extérieur pour y détecter des anomalies, des cyberattaques ou des problèmes de performance. Jusqu’ici, cette opération nécessitait de mettre la machine virtuelle entièrement en pause. Une contrainte forte pour des services critiques devant rester disponibles en permanence.
Jusqu’à présent, l’introspection impliquait souvent d’arrêter le système observé. Notre approche permet de l’analyser de façon cohérente tout en le laissant fonctionner
, explique Alain Tchana. GoodKit ne suspend en effet que les éléments (à l’échelle de la structure de données) strictement nécessaires à l’analyse, plutôt que d’immobiliser l’ensemble de la machine virtuelle.
Concrètement, GooKit déploie de petites « machines virtuelles satellites », légères et spécialisées, autour de la machine virtuelle principale. Chaque satellite assure une mission précise : détecter un rançongiciel, surveiller les performances, ou mettre à jour le système d’exploitation à chaud, sans que l’application hébergée ne s’en aperçoive. L’antivirus, exécuté dans un satellite externe, ne peut plus être neutralisé par un attaquant ayant pris le contrôle de la machine cible.
Au-delà du cloud, cette méthode pourrait trouver des applications dans de nombreux domaines où l’introspection était jusqu’ici limitée par la nécessité d’interrompre les systèmes.
Menés pendant deux ans dans le cadre d’une thèse CIFRE associant Grenoble INP – UGA et Orange Innovation, ces travaux ont mobilisé un doctorant, un ingénieur et un stagiaire. La solution a été validée expérimentalement sur 21 cas d’usage réels (détection de rootkits, de rançongiciels et analyse de performances), et a conduit au dépôt d’un brevet.
Ces résultats seront présentés à Seattle (USA) en juillet 2026 lors de la conférence OSDI, constituant une reconnaissance internationale pour les recherches menées à Grenoble INP – Ensimag, UGA, dans le domaine des systèmes informatiques.
Publication : OSDI 2026 (USENIX Symposium on Operating Systems Design and Implementation)
Auteurs : Dufy Teguia, Louis Duval, Teo Pisenti, Kahina Lazri, Daniel Hagimont, Thomas Pasquier, Renaud Lachaize, Alain Tchana.
*CNRS / UGA / Grenoble INP – UGA / Inria
