Assurer les propriétés de protection de la vie privée de l'internet des objets – Apricot

En combinant la détection des fonctions binaires et le suivi des flux d'informations, il est possible de retracer les données dans les applications tout au long de leur cycle de vie, de suivre leur utilisation et de détecter les atteintes potentielles à la vie privée lorsqu'elles se produisent. En combinant l'analyse binaire de pointe et le suivi dynamique du flux de données dans le cloud grâce à l'instrumentation du compilateur JIT, nous parvenons à un suivi de bout en bout de la confidentialité des données sensibles.

Ce projet vise à automatiser la vérification des objectifs de protection de la vie privée des services IoT, depuis les dispositifs de détection jusqu'aux services cloud - pendant le développement et après le déploiement.

La protection de la vie privée en elle-même n'est pas un avantage financier et, par conséquent, elle n'incite guère les entreprises à investir, en particulier sur le marché actuel où quelques entreprises américaines contrôlent des marchés entiers et d'énormes parts de données en ligne, mais n'ont guère intérêt à poursuivre la protection de la vie privée. Le consortium contribue à la technologie qui peut être appliquée dans les futurs systèmes de certification pour l'IoT et l'application de la confidentialité dans le Cloud dans le cadre de la loi européenne sur la cybersécurité. Les avantages qui en résultent vont au-delà des partenaires du projet et seront disponibles pour la société et le marché européen ouvert, justifiant ainsi le soutien public aux technologies développées.

Résultats principaux:

Wichelmann, J., Pätschke, A., Wilke, L., & Eisenbarth, T. (2023). Cipherfix: Mitigating Ciphertext Side-Channel Attacks in Software. 32nd USENIX Security Symposium, USENIX Security 2023. www.usenix.org/conference/usenixsecurity23/presentation/wichelmann
Wichelmann, J., Peredy, C., Sieck, F., Pätschke, A., & Eisenbarth, T. (2023). MAMBO-V: Dynamic Side-Channel Leakage Analysis on RISC-V. Detection of Intrusions and Malware, and Vulnerability Assessment: 20th International Conference, DIMVA 2023, Proceedings, 3–23. doi.org/10.1007/978-3-031-35504-2_1
Casagrande, M., Losiouk, E., Conti, M., Payer, M., & Antonioli, D. (2022). BreakMi: Reversing, Exploiting and Fixing Xiaomi Fitness Tracking Ecosystem. IACR Trans. Cryptogr. Hardw. Embed. Syst. (TCHES). doi.org/10.46586/tches.v2022.i3.330-366
Wichelmann, J., Sieck, F., Pätschke, A., & Eisenbarth, T. (2022). Microwalk-CI: Practical Side-Channel Analysis for JavaScript Applications. Proceedings of the 2022 ACM SIGSAC Conference on Computer And Communications Security, CCS 2022. doi.org/10.1145/3548606.3560654
TalksPermalink
Marco Casagrande & Daniele Antonioli: BreakMi: Reversing, Exploiting and Fixing Xiaomi (and Fitbit) Fitness Tracking Ecosystems, hardwear.io USA, 2023.

Les systèmes IoT permettent la collecte de données à très grande échelle. Les analyses de données à large échelle permettent alors de créer de nouveaux services. Alors que de tels capteurs sont largement déployés, il devient impossible de ne renoncer à la collecte de telles données. Des objets connectés vont par exemple collecter des données sur tous les passants, résultant en un conflit entre le droit à la vie privée et la possibilité de mettre à disposition de telles technologies innovantes.
Afin que ces objectifs soient conciliables il est nécessaire de prendre un grand soin dans la conception et le développement de tels systèmes IoT dans leur globalité. Ce projet a pour but la vérification d’objectifs de privacy dans de tels systèmes depuis les objets connectés, jusqu'aux services les exploitant dans le “cloud” — et cela pendant le développement ainsi que une fois le système déployé. Ce projet propose d’utiliser des techniques d’analyse binaire pour assurer que les données sensibles soient suivies lors de leur traitement par des programmes et services. De tels systèmes traitant le problème de manière holistique n’existent pas actuellement. En utilisant une combinaison de détection et reconnaissance de fonctions dans les binaires et l’usage de techniques de suivi du flot d’informations, les données peuvent être tracées lors de leur traitement durant le cycle de vie des données, permettant de surveiller l’usage des données et les fuites de données. Le projet combine des techniques à l'état de l’art d’analyse binaire pour l’embarqué et de traçage de flux de données dynamiques dans le code grâce à de l’instrumentation de compilateurs à la volée (JIT), qui permettra de suivre les données de bout en bout. Le consortium comprend des partenaires industriels et académiques avec une importante expérience dans la construction, l’utilisation et l'analyse de systèmes qui traitent des informations privées et ont des compétences complémentaires tout en représentant une part significative du marché de l’internet des objets en Europe. Les outils qui sont proposés, permettront d’assurer que les données sont utilisées comme attendu et que les mesures protectives sont appliquées. Ces méthodes pourraient également être utilisées pour les schémas de certification du règlement sur la cybersécurité.