Soutenance de thèse de Antoine MARCHAND (département informatique)

M. ANTOINE GALLAIS (Université Polytechnique Hauts de France), Directeur de thèse
M. David ESPES (Université de Bretagne Occidentale), Examinateur
Mme Virginie DENIAU (Université Gustave Eiffel), Rapporteure
M. Michaël HAUSPIE (Université de Lille), Rapporteur
M. Hamza OUARNOUGHI (Université Polytechnique Hauts de France), Co-encadrant de thèse
M. Youcef IMINE (Université Polytechnique Hauts de France), Co-encadrant de thèse
M. Yohan WOITTEQUAND (Orange Cyberdefense), Invité

Ces dernières années, avec le développement des capteurs, des véhicules intelligents et d'autres dispositifs embarqués, les microgiciels sont devenus omniprésents. Ces microgiciels sont les éléments logiciels les plus privilégiés pouvant faire fonctionner un système. C'est pourquoi il est primordial de garantir leur intégrité. Certaines des attaques les plus critiques sont des attaques physiques car l'attaquant a un accès complet à la cible.

Dans cette thèse, nous concentrons notre étude sur l'amélioration de la sécurité de l'intégrité des microgiciels lorsque l'accès physique est compromis.

Les ordinateurs à usage général (GPC) sont facilement accessibles physiquement pour un attaquant puisqu'ils sont souvent laissés sans surveillance, ce qui conduit à des attaques de type Evil Maid.

Pour répondre à cette problématique, cette thèse présente tout d'abord une nouvelle racine de confiance matérielle (RoT) pour les ordinateurs à usage général en tenant compte d'un attaquant ayant un accès physique au système.

Notre solution s'appuie sur des mécanismes de démarrage et de mise à jour sécurisés qui assurent non seulement l'intégrité du microgiciel pendant la phase de démarrage, mais qui offrent également un mécanisme de mise à jour sécurisée du microgiciel par les seules personnes autorisées. De plus, dans ce contexte, la confidentialité des secrets est assurée grâce à une Physical Unclonable Function (PUF).

Nous avons ensuite étudié comment mettre en oeuvre notre solution en utilisant uniquement des composants matériels disponibles dans le commerce. Nous garantissons ainsi une facilité d'implémentation sur des plateformes variées et une indépendance vis à vis des fabricants.

Enfin, nous avons évalué l'empreinte matérielle de notre solution, qui s'est révélée être faible, et nous avons constaté que la dégradation de l'expérience de l'utilisateur est négligeable.

Une fois que cette racine de confiance a été validée, nous avons cherché à proposer une nouvelle solution d'intégrité des microgiciels utilisant d'autres mécanismes de sécurité tels que l'attestation et la mise à jour sécurisée.

Nous avons ciblé un contexte applicatif spécifique, à savoir les véhicules connectés, afin de souligner l'importance de sécuriser ces systèmes critiques. En effet, ces véhicules embarquent une multitude d'unités de commande électronique (ECU), chacune contenant au moins un microgiciel. Ces calculateurs sont en charge de toutes les fonctions utiles au fonctionnement du véhicule. Certaines de ces fonctions sont essentielles à la sécurité des occupants du véhicule et il est donc crucial de garantir l'intégrité de leurs microgiciels. C'est pourquoi nous présentons, dans cette thèse, une nouvelle solution assurant l'intégrité des microgiciels dans le contexte véhiculaire grâce à des mécanismes d'attestation et de mise à jour sécurisée.

Le coeur de notre solution est basé sur les mêmes primitives cryptographiques que la solution proposée pour les ordinateurs à usage général et prend donc en compte un attaquant ayant un accès physique au système.

Nous nous sommes ensuite appuyés sur ces fondations pour proposer une nouvelle solution, conçue pour prendre en compte les spécificités des écosystèmes hétérogènes que sont les véhicules connectés afin de garantir l'intégrité des microgiciels à la fois pendant leur exécution et lors de leur mise à jour.

Dans le futur, nous souhaiterions étendre la portée de nos solutions de sécurité en implémentant des mécanismes de sécurité complémentaires tels que des mesures périodiques de réflectométrie sur le Front-side Bus ou intégrer la solution au sein du CPU, ce qui permettrait de s'affranchir de certaines hypothèses que nous sommes actuellement contraints de faire.

Nous prévoyons également d'implémenter la solution de sécurité pour le contexte véhiculaire en utilisant du matériel off-the-shelf afin de qualifier et de quantifier son coût potentiel et sa facilité de mise en oeuvre au sein de ces systèmes hétérogènes.