Académique Documents
Professionnel Documents
Culture Documents
CNRS, Lab-STICC
Sources : indiquées par du texte souligné permettant d’accéder aux liens
Armor Science, 13 janvier 2017 web (URL) correspondants.
La cybersécurité recouvre tout ce qui porte sur la sécurité dans le Cyberdéfense : ensemble des mesures techniques et non techniques
cyberespace : permettant à un État de défendre dans le cyberespace les systèmes
d’information jugés essentiels.
• lois (politique, compétences dans les tribunaux) ;
• concepts et méthodes (aspects théoriques en informatique, Cybercriminalité (cybercriminel) : actes contrevenants aux traités
électronique, mathématiques, sciences humaines) ; internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes
d’information comme moyens de réalisation d’un délit ou d’un crime, ou les
• outils et dispositifs (aspects technologiques) ; ayant pour cible.
• formations initiales et continues (enseignement) ; Cyberdélinquance / cyberdélinquant.
• sensibilisation des citoyens ; Cyberattaque (cyberattaquant) : acte malveillant envers ou via un dispositif
du cyberespace.
• à tous les niveaux : particuliers, entreprises, administrations, matériels
et ce qui est immatériel (programmes, sites web, bases de données,
Cyberpiratage / cyberespionnage / cybersabotage / cyberharcèlement /
e-services, . . . ).
cyberintimidation / cyberdignité / cyberterrorisme / . . .
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 5/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 6/34
I bidouilleur ;
Menace : cause potentielle d’un incident qui pourrait entraı̂ner des
dommages si la menace se concrétise, ou attaquant. I hacker(s) chevronné(s) ;
I société concurrente ; puissance d’attaque
Attaque : méthode pour exploiter concrètement une vulnérabilité. I mafia ;
I gouvernement.
Protection ou contre-mesure : méthode ou dispositif qui contre une
attaque ou qui supprime/limite une vulnérabilité
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 7/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 8/34
Sécurité et sûreté Quelques estimations
Attention, selon les contextes, ces mots ont des significations différentes : Victimes de cyberattaques 3 : 12 personnes / s.
• protection contre des risques naturels (pannes, accidents, aléas Étude auprès de 70 organisations dans 61 pays 4 : il faut quelques minutes
climatiques, . . . ). pour compromettre la sécurité de données importantes.
Souvent en anglais : safety = sécurité et security = sûreté. Emploi : différentes estimations évaluent à plusieurs centaines de milliers
d’emplois perdus chaque année en Europe du fait de la cybercriminalité.
message
prog. client réseau(x) prog. serveur
bloc 1
bloc 2
bloc 3
programme serveur les données du programme cible
programme serveur
0 1 2 3 4 ...
Exemple d’impact indirect des réseaux sociaux Stockage de textes dans un ordinateur
Caractère = lettre d’un alphabet donné, p. ex. {A,B,. . . ,Z,a,b,. . . ,z},
stocké comme une valeur entière en mémoire de l’ordinateur, p. ex. A=65,
Lors de la création d’un nouveau compte, on vous demande souvent de B=66, C=67, . . . .
choisir un couple question/réponse pour retrouver votre mot de passe (c’est
bien mais attention). Chaı̂ne de caractères = suite de caractères stockés l’un après l’autre en
mémoire.
Exemple : M = “ArmorScience”
Est-ce bien raisonnable de choisir le nom de jeune fille de votre mère si
A r m o r S c i e n c e
ces informations sont disponibles à travers les réseaux sociaux ?
65 114 109 111 114 83 99 105 101 110 99 101
0 1 2 3 4 5 6 7 8 9 10 11
Probablement non, aujourd’hui Big Brother est partout et vous l’aidez ! ! !
M[0] = ’A’, M[1] = ’r’, M[2] = ’m’, . . .
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 15/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 16/34
Nombre de mots de passe possibles Un mauvais programme de vérification de mot de passe
Hypothèses : Entrées/sortie :
• alphabet de ` lettres possibles ; • entrée : M mot de passe donné par l’utilisateur (8 caractères)
• mot de passe = chaı̂ne de n caractères. • entrée : R mot de passe de référence, secret (8 caractères)
• sortie : valeur 1 = “autorisé” / valeur 0 = “pas autorisé”
Nombre de mots de passe possibles = `n = `| × ` ×{z. . . × }`
n fois Programme :
Exemple 1 : {a,b}, ` = 2, n = 3, on a 23 = 8 mots de passe possibles : 1 boucle: pour chaque position p entre 0 et 7 faire
2 | si M[p] 6= R[p] alors sortir(0)
aaa aab aba abb baa bab bba bbb
3 fin de boucle
4 sortir(1)
Exemple 2 : {A,B,. . . ,Z,a,b,. . . ,z}, ` = 52, n = 8 :
Vulnérabilité : variations du temps d’exécution en fonction du nombre de
528 = 53 459 728 531 456
bons caractères durant l’exécution.
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 17/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 18/34
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 19/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 20/34
Attaques par canaux cachés, une nouvelle technique ? Quelles grandeurs physiques mesurer ?
Réponse : tout ce qui entre ou sort dans le ou du circuit
Pas vraiment ! Vous connaissez tous des attaques par canaux cachés... • temps de calcul
• consommation d’énergie
• rayonnement électromagnétique (REM)
• température
+ • bruit
• nombre de défauts de cache d’un ordinateur
• nombre et type des messages d’erreur
clic mauvais numéro • ...
clac bon numéro Les valeurs mesurées peuvent révéler des informations sur :
• le comportement global (conso., REM, température, bruit . . . )
• le comportement local (REM local, nb. déf. cache . . . )
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 21/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 22/34
Attaque par analyse de la consommation d’énergie Banc d’attaque par analyse de consommation
Principe général :
1. mesure du courant i(t) dans le circuit (ou le crypto-système)
2. utiliser ces mesures pour déduire des informations secrètes
i(t)
R
VDD
traces
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 23/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 24/34
Que lire dans les traces ? Exploiter les différences
Un algorithme a une signature en courant et en temps de calcul :
r = c0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 f o r i from 1 to n do
i f ai = 0 then
r = r + c1
else
r = r × c2
t
T+ T×
• algorithme =⇒ découpage en étapes
I
• détection des tours de boucle (calculs répétitifs)
I temps constant dans un tour
I ou pas ? ? ? t
I+ I× i 1 2 3 4 5 6 7 8
ai 0 1 1 0 1 0 0 1
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 25/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 26/34
algorithme
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 27/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 28/34
Attaque par analyse du REM Principales techniques de protection
Principe général : utiliser une sonde pour mesurer le REM
Empêcher une (ou des) attaques par :
VDD • un nouveau dispositif de protection
• la modification/sécurisation du dispositif original
Exemples :
circuit
• blindage
• uniformiser les temps de calcul
• uniformiser la consommation d’énergie
GND • utiliser des codes détecteurs/correcteurs d’erreurs
• introduire du bruit (instructions inutiles)
Mesures du REM : • reconfigurer le circuit
• global avec une sonde large I changer le codage des données
I changer les algorithmes
• local avec une micro-sonde
• cartographie fine du circuit avec une table XY
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 29/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 30/34
Contre-mesure : opérateurs arithmétiques sécurisés Agence nationale de la sécurité des systèmes d’information
250 Mastrovito 233
#transitions
200
150
ANSSI : https://www.ssi.gouv.fr/
Multiplier non protégé 100
50
0 Aspects réglementaires, certifications, recommandations et excellente
0 100 200 300 400 500 200 225 250
cycles cycles source d’informations très accessibles pour les administrations, entreprises
et particuliers.
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 31/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 32/34
Conclusion (très partielle) Fin, des questions ?
Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 33/34 Arnaud Tisserand. CNRS – Lab-STICC. Cybersécurité et puces électroniques 34/34