Détection d'Attaques Microarchitecturales dans des Dispositifs à Ressources Limitées avec un Mécanisme de Sécurité Local-Distant
Auteur / Autrice : | Nikolaos Foivos Polychronou |
Direction : | Vincent Beroulle |
Type : | Thèse de doctorat |
Discipline(s) : | Nanoélectronique et nanotechnologie |
Date : | Soutenance le 16/01/2023 |
Etablissement(s) : | Université Grenoble Alpes |
Ecole(s) doctorale(s) : | École doctorale électronique, électrotechnique, automatique, traitement du signal (Grenoble ; 199.-....) |
Partenaire(s) de recherche : | Laboratoire : CEA Tech |
Jury : | Président / Présidente : Gilles Sassatelli |
Examinateurs / Examinatrices : Laure Gonnord | |
Rapporteur / Rapporteuse : Guy Gogniat, Lilian Bossuet |
Mots clés
Mots clés contrôlés
Résumé
Les dispositifs de l'internet des objets (IoT) et de l'IoT industriel (IIoT) sont de plus en plus présents dans le monde, notamment dans applications critiques, telles que les appareils médicaux ou les systèmes industriels. Pour des raisons de coûts et de temps de développements optimisés, la mise en place de sécurité dans ces solutions est souvent mal ou pas prise en compte. Ce manque de sécurité et leur connexion à des réseaux de grande envergure en font une cible de choix pour des attaquants. Les solutions de sécurité traditionnelles, telles que les logiciels antivirus, peuvent identifier avec succès les menaces connues, mais ne peuvent pas faire face au nombre croissant de logiciels malveillants et à leurs techniques d'obscurcissement. Ces logiciels malveillants sont généralement des applications qui sont insérées discrètement pour compromettre la confidentialité, l'intégrité ou la disponibilité d’un système. L'un des malwares IoT les plus connus est le malware Mirai, qui a infecté de nombreux dispositifs IoT pour créer un botnet et lancer une attaque par déni de service distribué (DDoS). La complexité des architectures de processeurs récents a introduit une nouvelle classe d'attaques logicielles ciblant des vulnérabilités matérielles (SATHV). Cette classe d'attaque, qui vise traditionnellement les ordinateurs haut de gamme comme les ordinateurs de bureau, peut également être appliquée aux dispositifs IoT. En effet, ces appareils sont équipés de processeurs plus complexes pour répondre aux demandes croissantes en matière de ressources de calcul et de mémoire, comme l'émergence de l'edge-computing ou du Machine Learning (ML). Ces nouvelles attaques sont particulièrement dangereuses car elles peuvent extraire des informations sensibles du système et ne peuvent être détectées par des solutions de sécurité traditionnelles comme les antivirus ou par l’analyse dynamique des appels système.Cette situation pousse les concepteurs de sécurité à mettre en œuvre des mécanismes de sécurité plus robustes. Ces dernières années, un état de l’art important s’est constitué sur l'utilisation de données provenant des micro-architectures pour fournir des informations sur le fonctionnement de divers composants matériels afin de détecter des attaques. Ces événements micro-architecturaux peuvent être récupérés à l'aide de registres spéciaux appelés compteurs de performances matérielles (HPC), provenant de l'unité de surveillance des performances (PMU). Grâce à ces informations de bas niveau, il est possible d’établir un profil de fonctionnement du processeur dans des conditions normales et malveillantes à l'aide de techniques de machine learning (ML). Malgré les améliorations en matière de détection de logiciels malveillants, ces solutions de sécurité ne sont pas toujours adaptées aux contraintes des solutions IoT qui disposent de faibles ressources de calcul et de mémoire et une bande passante de communication restreinte pour la remontée de données.Dans cette thèse, nous étudions la capacité des techniques ML-HPCs à détecter les attaques de type SATHV en temps réel. Nous utilisons les informations de bas niveau fournies par les HPCs pour construire un modèle robuste contre cette classe de logiciels malicieux. Nous accordons une attention particulière aux attaques micro-architecturales, qui ont constitué une menace majeure pour la sécurité des systèmes ces dernières années en raison de leur capacité à faire fuiter des informations sensibles sans être détectées. Nous proposons également une nouvelle technique pour détecter avec précision ces logiciels malveillants dans des dispositifs embarqués en prenant en compte leurs limitations en terme de performance, de mémoire et de bande passante. Nous mettons en œuvre et évaluons l'idée proposée et montrons qu'elle est capable de détecter efficacement les logiciels malveillants dans les dispositifs modernes à faibles ressources.