Des chercheurs du MIT ont mis au point Metior, un cadre qui permet d’évaluer quantitativement l’efficacité des schémas d’obscurcissement utilisés pour se protéger contre les attaques par canaux latéraux. En transformant le flux d’informations en variables mathématiques, Metior permet aux ingénieurs de mieux comprendre les performances des mesures de sécurité, ce qui facilite la sélection de stratégies efficaces au cours du processus de conception des puces.
Le nouveau système du MIT analyse la probabilité qu’un attaquant puisse déjouer un certain système de sécurité pour voler des informations secrètes.
Des chercheurs ont créé un système permettant d’examiner comment un pirate informatique peut contourner un type particulier de méthode de cybersécurité, afin de déterminer la quantité d’informations secrètes qu’il pourrait dérober à un programme informatique.
Un pirate informatique avisé peut obtenir des informations secrètes, telles qu’un mot de passe, en observant le comportement d’un programme informatique, par exemple le temps qu’il passe à accéder à la mémoire de l’ordinateur.
Les approches de sécurité qui bloquent complètement ces « attaques par canal latéral » sont si coûteuses en termes de calcul qu’elles ne sont pas réalisables pour de nombreux systèmes du monde réel. Au lieu de cela, les ingénieurs appliquent souvent ce que l’on appelle des schémas d’obscurcissement qui cherchent à limiter, mais pas à éliminer, la capacité d’un attaquant à apprendre des informations secrètes.
Pour aider les ingénieurs et les scientifiques à mieux comprendre l’efficacité des différents schémas d’obscurcissement, les chercheurs du MIT ont créé un cadre permettant d’évaluer quantitativement la quantité d’informations qu’un attaquant pourrait apprendre d’un programme victime avec un schéma d’obscurcissement en place.
Leur cadre, appelé Metior, permet à l’utilisateur d’étudier comment différents programmes victimes, stratégies d’attaquants et configurations de schémas d’obscurcissement affectent la quantité d’informations sensibles qui sont divulguées. Ce cadre pourrait être utilisé par les ingénieurs qui développent des microprocesseurs pour évaluer l’efficacité de plusieurs systèmes de sécurité et déterminer l’architecture la plus prometteuse dès le début du processus de conception de la puce.
« Metior nous aide à reconnaître que nous ne devrions pas considérer ces systèmes de sécurité de manière isolée. Il est très tentant d’analyser l’efficacité d’un schéma d’obscurcissement pour une victime particulière, mais cela ne nous aide pas à comprendre pourquoi ces attaques fonctionnent. En examinant les choses à un niveau plus élevé, nous obtenons une image plus holistique de ce qui se passe réellement », explique Peter Deutsch, étudiant diplômé et auteur principal d’un article en libre accès sur Metior.
Les coauteurs de Deutsch sont Weon Taek Na, étudiant diplômé du MIT en génie électrique et en informatique, Thomas Bourgeat PhD ’23, professeur assistant à l’École polytechnique fédérale de Lausanne (EPFL), Joel Emer, professeur du MIT en informatique et en génie électrique, et l’auteur principal Mengjia Yan, professeur assistant Homer A. Burnell Career Development en génie électrique et en informatique (EECS) au MIT et membre du Laboratoire d’informatique et d’intelligence artificielle (CSAIL). Ces travaux ont été présentés la semaine dernière à l’occasion de l’International Symposium on Computer Architecture.
Sommaire
Éclairer l’obscurcissement
Bien qu’il existe de nombreux schémas d’obscurcissement, les approches les plus courantes consistent généralement à ajouter un élément aléatoire au comportement de la victime afin qu’il soit plus difficile pour un attaquant d’apprendre des secrets. Par exemple, un schéma d’obscurcissement peut impliquer qu’un programme accède à des zones supplémentaires de la mémoire de l’ordinateur, plutôt qu’à la seule zone à laquelle il doit accéder, afin de confondre un attaquant. D’autres dispositifs ajustent la fréquence à laquelle une victime accède à la mémoire ou à une autre ressource partagée, de manière à ce que l’attaquant ait du mal à voir des schémas clairs.
Mais si ces approches compliquent la tâche d’un attaquant, il n’en reste pas moins qu’une certaine quantité d’informations provenant de la victime « fuit ». Yan et son équipe veulent savoir combien.
Ils avaient déjà développé CaSA, un outil permettant de quantifier la quantité d’informations divulguées par un type particulier de schéma d’obscurcissement. Mais avec Metior, ils avaient des objectifs plus ambitieux. L’équipe voulait dériver un modèle unifié qui pourrait être utilisé pour analyser n’importe quel schéma d’obscurcissement – même des schémas qui n’ont pas encore été développés.
Pour atteindre cet objectif, ils ont conçu Metior de manière à ce que le flux d’informations passant par un schéma d’obscurcissement soit représenté par des variables aléatoires. Par exemple, le modèle traduit en une formulation mathématique la manière dont une victime et un attaquant accèdent à des structures partagées sur une puce informatique, comme la mémoire.
Une fois que Metior a dérivé cette représentation mathématique, le cadre utilise des techniques de la théorie de l’information pour comprendre comment l’attaquant peut apprendre des informations de la victime. Une fois ces éléments en place, Metior peut quantifier la probabilité qu’un attaquant parvienne à deviner les informations secrètes de la victime.
« Nous prenons tous les éléments de détail de ce canal latéral microarchitectural et nous les convertissons en un problème mathématique. Une fois que nous avons fait cela, nous pouvons explorer un grand nombre de stratégies différentes et mieux comprendre comment de petites modifications peuvent vous aider à vous défendre contre les fuites d’informations », explique M. Deutsch.
Des idées surprenantes
Ils ont appliqué Metior à trois études de cas afin de comparer les stratégies d’attaque et d’analyser les fuites d’informations des schémas d’obscurcissement les plus récents. Grâce à leurs évaluations, ils ont vu comment Metior peut identifier des comportements intéressants qui n’étaient pas entièrement compris auparavant.
Par exemple, une analyse préalable a déterminé qu’un certain type d’attaque par canal latéral, appelé prime et probe probabiliste, a réussi parce que cette attaque sophistiquée comprend une étape préliminaire au cours de laquelle elle établit le profil d’un système victime afin de comprendre ses défenses.
En utilisant Metior, ils montrent que cette attaque avancée ne fonctionne en fait pas mieux qu’une attaque simple et générique et qu’elle exploite des comportements de la victime différents de ce que les chercheurs pensaient auparavant.
Pour l’avenir, les chercheurs souhaitent continuer à améliorer Metior afin que le cadre puisse analyser de manière plus efficace les schémas d’obscurcissement les plus compliqués. Ils souhaitent également étudier d’autres schémas d’obscurcissement et d’autres types de programmes victimes, ainsi que mener des analyses plus détaillées des défenses les plus populaires.
En fin de compte, les chercheurs espèrent que ces travaux inciteront d’autres personnes à étudier des méthodologies d’évaluation de la sécurité microarchitecturale pouvant être appliquées dès le début du processus de conception des puces.
« Le développement d’un microprocesseur, quel qu’il soit, est extraordinairement coûteux et compliqué, et les ressources de conception sont extrêmement rares. Il est extrêmement important pour une entreprise de disposer d’un moyen d’évaluer la valeur d’une fonction de sécurité avant de s’engager dans le développement d’un microprocesseur. C’est ce que Metior leur permet de faire de manière très générale », explique M. Emer.
Référence : Metior : Un modèle complet pour évaluer les schémas de défense de canal latéral obscurcissant
Cette recherche est financée en partie par la National Science Foundation, l’Air Force Office of Scientific Research, Intel et le MIT RSC Research Fund.