Les cartes à puce jouent un rôle crucial dans de nombreuses applications que nous utilisons quotidiennement : paiement par carte bancaire, téléphonie mobile, titres de transport électroniques, etc. C'est dans ce contexte que la technologie Java Card s'est imposée depuis son introduction en 1996, réduisant les coûts de développement et de déploiement d'applications pour cartes à puce et permettant la cohabitation de plusieurs applications au sein d'une même carte. La communauté scientifique a rapidement démontré que la possibilité donnée à un attaquant d'installer des applications sur les cartes représente une menace. Mais dans le même temps, la sécurité des systèmes embarqués a également été un sujet d'étude très productif, révélant que des algorithmes cryptographiques considérés comme sûrs pouvaient être facilement cassés si leurs implémentations ne prenaient pas en compte certaines propriétés physiques des composants électroniques qui les accueillent. En particulier, une partie des attaques publiées repose sur la capacité de l'attaquant à perturber physiquement le composant pendant qu'un calcul est exécuté. Ces attaques par injections de fautes n'ont que très peu été étudiées dans le contexte de la technologie Java Card. Cette thèse étudie et analyse la sécurité des Java Cards contre des attaques combinant injections de fautes et installations d'applications malicieuses. Tout d'abord, nous présentons différents chemins d'attaques combinées et exposons dans quelle mesure ces attaques permettent de casser différents mécanismes sécuritaires de la plateforme. En particulier, notre analyse sécuritaire permet de démontrer que la propriété de sûreté du typage, l'intégrité du flot de contrôle, ainsi que le mécanisme d'isolation des applications peuvent être contournés et exploités par des combinaisons adéquates. Puis, nous présentons différentes approches permettant d'améliorer la résistance de la plateforme Java Card ainsi que des applications qu'elle accueille contre des attaques combinées. Ainsi, nous définissons plusieurs contremesures rendant les attaques exposées ainsi que certaines attaques de l'état de l'art inopérantes, et ce en gardant à l'esprit les fortes contraintes inhérentes au monde des cartes à puce.

Depuis les années 2000, la virtualisation a pris une place de plus en plus importante dans l'industrie. Cette technologie permet notamment de résoudre certaines problématiques de coût en rationalisant les ressources matérielles disponibles, en permettant notamment de faire fonctionner plusieurs systèmes d'exploitation en concurrence.

Ces problématiques ont aujourd'hui atteint le domaine de l'aérospatial, où le système doit bénéficier de propriétés « temps-réel » strictes, mais où l'intégrité a jusque-là primé sur la sécurité. Nous présenterons dans un premier temps ce qu'est la virtualisation et quelles sont les techniques disponibles. Puis nous décrirons la plateforme aérospatiale sur laquelle nous travaillons, basée sur le soft core LEON3. Dans une troisième partie, nous chercherons à mettre en avant ce qu'est la sécurité dans les hyperviseurs, avec quelques moyens de test. Enfin, nous présenterons trois cibles d'attaque : l'implémentation du processeur, l'architecture de l'hyperviseur et l'utilisation des périphériques.

Les systèmes d’accréditations anonymes permettent aux utilisateurs d’obtenir des accréditations certifiées par des organisations et de les utiliser plus tard en étant anonyme et non traçable. Par exemple, un étudiant serait ainsi capable de prouver, en utilisant sa carte d’étudiant certifiée par l’université, qu’il est un étudiant habitant par exemple à Limoges, sans révéler l’ensemble des informations présentes sur sa carte d’étudiant.

Par ailleurs, les signatures caméléons permettent à une entité, appelé le délégué, de modifier et/ou cacher, d’une façon contrôlée, certaines parties d’un message signé, de telle sorte que la signature est toujours attribuée au signataire initiale.

Dans cet exposé, nous formalisons l’idée assez simple suivante : un utilisateur obtient d’une organisation un document signé certifiant ses données personnelles (telles que son nom, ses études, etc.) et joue ensuite le rôle du délégué lorsqu’il doit se servir de ces accréditations. Il utilise en effet dans ce cas les techniques des signatures caméléons pour cacher l’information personnelle qu’il ne souhaite pas révéler, et de telle sorte que le résultat correspond toujours à un ensemble de données personnelles certifiées par l’organisation.

Cependant, nous allons montrer que les signatures caméléons existantes ne peuvent pas être directement utilisées dans ce cadre. Nous donnons ainsi les conditions nécessaires et suffisantes pour construire un système d’accréditations anonymes à base de signatures caméléons. Nous donnons ensuite une construction pratique, sûre dans le modèle de l’oracle aléatoire.

Le "sponge model" pour les fonctions de hachage a été introduit en 2008 et s'est rapidement imposé puisque le récent vainqueur du concours SHA3 est une fonction de hachage basée sur ce modèle.

Après avoir expliqué ce modèle et la "lightweight cryptography" (i.e. la cryptographie en environnement contraint, RFID, cartes à puces à bas coût), on présentera une fonction de hachage construite sur ce principe et basée sur les automates FCSR (Feedback with Carry Shift Register) . Ces automates sont assez proches des classiques LFSR et sont naturellement résistants aux attaques SPA.

Les DFA, et notamment sur l'AES, sont maintenant des techniques courantes d'attaque de circuits matériels. Malheureusement, la plupart imposent des contraintes fortes sur les fautes que doit réaliser le moyen d'injection ou bien demandent un très grand nombre de fautes pour trouver la clé secrète. Nous présentons ici une méthodologie simple, basée sur la théorie de l'information, qui permet d'adapter le nombre de faute requis au moyen d'injection. Cela permet de réduire considérablement les contraintes sur le modèle de faute. Une réalisation pratique ainsi que des simulations sont également présentées pour illustrer cette méthodologie.

Le problème du décodage en métrique rang à l'instar du problème classique de décodage en métrique de Hamming peut être utilisé en cryptographie. Par exemple le système GPT est un analogue du cryptosystème de McEliece mais en métrique rang. Un des gros avantages de la métrique rang est que même pour des codes avec des paramètres petits, la complexité du problème de décodage d'un code rang aléatoire devient rapidement très importante. Les meilleures attaques connues de Chabaud-Stern ou de Ourivski-Johansson donnent des complexités dont le terme exponentiel n'est pas conforme à l'intuition que l'on peut avoir de la difficulté du problème. Dans cet exposé on propose deux nouvelles attaques sur le problème du décodage en métrique rang (problème RSD).

La première attaque que nous proposons est une attaque de type combinatoire qui généralise au cas de la métrique rang l'approche qui en métrique de Hamming consiste à retrouver un ensemble de positions qui contient l'erreur associée au syndrome qu'on veut décoder. Cette attaque améliore clairement les complexités connues en introduisant dans la complexité la valeur de la longueur du code, ce qui n'était pas le cas des attaques précédentes.

La deuxième attaque est une attaque algébrique basée sur la théorie des q-polynomes de Ore . On introduit une nouvelle mise en equations du problème RSD pour lequel les inconnues ne sont pas dans le petit corps GF(q) mais directement dans l'extension GF(q^m). Cette approche permet ainsi de réduire considérablement le nombre d'inconnues (mais augmente le degré des equations). On considère alors deux approches pour résoudre cette mise en equations. Les techniques de type linéarisation et la résolution directe à partir de bases de Gröbner (la version F4 de Magma), On considère aussi une résolution hybride de ces equations sur des paramètres concrets. A titre d'exemple d'applications on montre que nos attaques permettent de casser tous les paramètres proposés pour les réparations récentes du système GPT contre les attaques d'Overbeck . Certains paramètres annoncés avec une sécurité de 2^80 sont même cassés concrétement en moins d'une seconde.

Dans un schéma de signature d’anneau, chaque utilisateur possède une paire de clés. Une clé de pour signer (secrète) et une clé publique de vérification. Pour générer une signature, le signataire peut choisir un sous ensemble de l’ensemble de toutes les clés publiques (dit anneau) qui contient sa propre clé publique puis il signe au nom de l’anneau sans la permission ou bien l’aide des autres utilisateurs. La signature peut être vérifiée en utilisant les clés publiques associés à l’anneau mais, il n’est pas possible d’identifier le signataire parmis les membres de l’anneau.

Aujourd’hui, il existe deux familles de signature numérique basée sur les réseaux euclidiens: une basée sur le principe hash and sign de Gentry et al.; et les schémas de Lyubashevsky qui sont de type Fiat-Shamir.
Dans cet exposé, nous rappelons un schéma de signature numérique proposé par Lyubashevsky en 2009. Nous expliquerons ensuite comment comment le transformer en un schéma de signature d’anneau.

Un dispositif cryptographique embarqué effectue des opérations sur des données sensibles et donc, est vulnérable aux attaques par canaux auxiliaires. Cela oblige les fabricants de cartes à puce à examiner attentivement le développement de mécanismes de sécurité. Pour accélérer significativement cette procédure, l'utilisation d'un simulateur de consommation de courant et/ou de rayonnement électromagnétique peut être pertinente. Les simulateurs bas niveau permettent d’obtenir une grande précision sur les fuites qui seront engendrées par une implémentation donnée. Cependant, ce type de simulateur nécessite une connaissance matérielle totale du composant ciblé.

Les simulateurs haut niveau permettent d’obtenir des traces simulées sans connaître précisément le composant, en utilisant des modèles de fuite abstraits. Ces modèles abstraits sont obtenus par profilage des parties d’un dispositif cible, qui est physiquement disponible par l'évaluateur, en utilisant la méthode des modèles stochastiques (Schindler et al., 2005). Basé sur un simulateur haut niveau (comme celui proposé par Thuillet et al. en 2009), nous proposons d'utiliser ces modèles abstraits profilés pour obtenir une meilleure précision sur les traces simulées. Dans le contexte matériel, le simulateur aidera à déterminer quelles modifications matérielles pourraient améliorer la robustesse d’un composant. Une autre possibilité est d'analyser comment un microcontrôleur fuite dans un contexte d’attaques par canaux auxiliaires. À partir d'un code connu et d'un dispositif réel, le simulateur haut niveau peut caractériser chaque partie du microcontrôleur. Cela permet aux développeurs de valider un code modifié sans le charger sur l'appareil cible.

En dépit des efforts conséquents qui ont été investis pour endiguer les problèmes de sécurité, nous constatons que les attaques ciblant les systèmes informatiques continuent régulièrement à se multiplier. Ces attaques vont  aujourd'hui au delà de simples logiciels malveillants et impliquent de plus en plus des composants matériels, en particulier les contrôleurs d'entrées-sorties conçus pour soulager le processeur principal en gérant  eux-mêmes, par exemple, les transferts avec la mémoire centrale, les périphériques ou le réseau. Il s’agit alors d'attaques par entrées-sorties. Ces attaques peuvent être menées sur des contrôleurs d’entrées-sorties délibérément conçus pour être malveillants, ou profiter de vulnérabilités présentes dans certains contrôleurs qui peuvent être modifiés par un pirate informatique afin d'y intégrer des fonctions malveillantes. Nous avons étudié cette classe d'attaques selon deux approches complémentaires: une analyse de vulnérabilités traditionnelle, consistant à identifier une vulnérabilité, développer des preuves de concept et proposer des contre-mesures, et une analyse de vulnérabilités par fuzzing sur les bus d'entrées-sorties. Pour cela, nous avons conçu et réalisé un outil, baptisé IronHide, capable de simuler l'ensemble des actions qu'un contrôleur malveillant peut effectuer dans un système informatique : capturer des données transitant sur les bus, émettre des requêtes valides ou invalides, etc.