Attaques par injection de fautes sur les applications embarquées : caractérisation et évaluation
La soutenance aura lieu :
le jeudi 3 février 2022 à 14h30
ESISAR Amphi A042
!!! Un pass sanitaire sera nécessaire pour y assister sur place !!!
La séance sera également accessible en visio à distance par le lien Zoom ci-dessous.
Résumé : L’évaluation de la sécurité des appareils IoT contre les menaces logicielles et matérielles potentielles est désormais une tâche nécessaire pour les développeurs de logiciels embarqués. Avoir un accès physique aux appareils cibles fait de la sécurité du matériel une préoccupation importante à prendre en compte dans les IoT. Parmi les techniques d’attaque de sécurité matérielle, les attaques par injection de fautes telles que les problèmes d’horloge sont l’une des attaques les plus pratiques, non invasives et peu coûteuses. Ils peuvent interférer avec les opérations attendues et provoquer de graves dysfonctionnements dans l’appareil ciblé. À cet égard, un cadre d’évaluation de la sécurité efficace et une méthodologie contre les attaques par injection de fautes sont nécessaires pour évaluer correctement les dispositifs embarqués.
Il est souvent difficile pour le développeur de logiciels d’utiliser correctement une plate-forme d’injection de fautes. Par conséquent, cette thèse s’est concentrée sur la conception d’une plateforme facile à utiliser dédiée aux attaques par défaut d’horloge afin d’évaluer les vulnérabilités des applications logicielles embarquées. Ce travail propose une plateforme d’évaluation open source suivie de méthodologies d’évaluation de haut niveau. Ensuite, un processus de caractérisation basé sur une approche de simulation préliminaire est présenté pour améliorer les paramètres expérimentaux d’injection de fautes. Enfin, les impacts des failles injectées sont analysés et étudiés dans une application médicale open source (Sec-Pump) en tant qu’étude de cas. La plateforme et la méthodologie proposées dans cette thèse peuvent identifier avec succès les vulnérabilités de sécurité dans une application embarquée et guider le développeur de logiciels pour atténuer telles attaques.
Les membres du jury délibérants seront :
M. Jean-Max DUTERTRE, Professeur des universités, École nationale supérieure des Mines de Saint-Étienne, Gardanne (Rapporteur)
M. Pascal BENOIT, Professeur des universités, Université de Montpellier (Rapporteur)
M. Lilian BOSSUET, Professeur des universités, Université Jean Monnet, Saint-Étienne (Examinateur)
Mme Noémie BÉRINGUIER-BOHER, Expert en sécurité matérielle, Brightsight SGS, Delft, Pays-Bas (Examinatrice)
M. Ioannis PARISSIS, Professeur des universités, Grenoble INP (Examinateur)
M. Mahdi FAZELI, Professeur des universités, Université de Halmstad, Suède (Invité)
————————————————————————
Title: Fault Injection Attacks on Embedded Applications: Characterization and Evaluation »
Abstract: The security assessment of IoT devices against potential software and hardware-based threats is now a necessary task for embedded software developers. Having physical access to the target devices makes hardware security a significant concern to consider in IoTs. Among the hardware security attack techniques, fault injection attacks such as clock glitching are one of the most practical attacks which are non-invasive and low-cost. They can interfere with the expected operations and cause serious malfunctions in the targeted device. Regarding this, an efficient security assessment framework and methodology against fault injection attacks are needed to properly evaluate the embedded devices.
It is often difficult for the software developer to use a fault injection platform correctly. Therefore, this thesis focuses on designing an easy-to-use platform dedicated to clock glitching attacks in order to evaluate the vulnerabilities of embedded software applications. This work proposes an open-source evaluation platform followed by high-level assessment methodologies. Then, a characterization process based on a preliminary simulation approach is presented to improve the experimental fault injection parameters. Finally, the impacts of the injected faults are analyzed and studied in an open-source medical application (Sec-Pump) as a case study. The platform and the methodology proposed in this thesis can successfully identify the security vulnerabilities in an embedded application and guide the software developer to mitigate such attacks.
The deliberative jury members will be:
Mr Jean-Max DUTERTRE, University Professor, National School of Mines of Saint-Étienne, Gardanne (Rapporteur)
Mr Pascal BENOIT, University Professor, University of Montpellier (Rapporteur)
Mr Lilian BOSSUET, University Professor, Jean Monnet University, Saint-Étienne (Examiner)
Ms Noémie BÉRINGUIER-BOHER, Material Security Expert, Brightsight SGS, Delft, Netherlands (Examiner)
Mr Ioannis PARISSIS, University Professor, Grenoble INP (Examiner)
Mr Mahdi FAZELI, University Professor, University of Halmstad, Sweden (Guest)
Participer à la réunion Zoom
https://grenoble-inp.zoom.us/j/93049563365
ID de réunion : 930 4956 3365
Code secret : 601350
Une seule touche sur l’appareil mobile
+33170372246,,93049563365#,,,,*601350# France