Portrait de Clémentine Maurice, lauréate du prix Femme Cyber Chercheuse 2022
Que représente le prix Femme Cyber Chercheuse 2022 pour vos recherches ?
Clémentine Maurice : J’aimerais vivre dans un monde où les prix dédiées aux femmes ne sont pas nécessaires mais dans ce contexte actuel, où les femmes sont souvent invisibilisées, ils sont importants pour reconnaître l’apport des travaux des femmes dans le domaine de la cybersécurité et de manière plus globale, en science.
A quoi correspondent les attaques par canaux auxiliaires sur la micro-architecture des processeurs ?
Clémentine Maurice : Les attaques par canaux auxiliaires ciblent les composants du processeur qui est en quelque sorte le cerveau du système, tels que les mémoires caches, les prédicteurs de branchement, et les unités d’exécution du processeur. Elles se distinguent des attaques logicielles classiques, comme les attaques par ransomware, qui s’appuient sur les vulnérabilités des logiciels liées à un code non sécurisé.
Pour lancer une attaque sur la micro-architecture, le pirate a besoin d’exécuter un logiciel sur la machine victime, contrairement aux attaques physiques qui nécessitent un accès physique à la machine. On retrouve ces vecteurs d’attaques dans différents scénarios tels que le cloud, où plusieurs machines virtuelles peuvent s’exécuter sur une même machine physique, les smartphones, où plusieurs applications s’exécutent en même temps sur le téléphone, ou encore les navigateurs web, où des scripts s’exécutent sur la machine victime.
Concrètement, le pirate exécute un logiciel et regarde en temps réel ce qu’il se passe au niveau du processeur. En effet, chaque exécution laisse des traces dans les composants micro-architecturaux (par exemple des données dans le cache, de bonnes ou de mauvaises prédictions de branchement) et ce sont ces traces que l’attaquant cherche à retrouver. Quand on parle de traces, il s’agit en réalité de l’état du composant qui a changé et non de fichiers sur le système. Ces traces donnent un aperçu de ce qui est exécuté sur la machine, et si un programme, par exemple un logiciel de cryptographie, est lancé en même temps que l’attaque et présente des vulnérabilités, alors le pirate peut accéder au travers de la micro-architecture à des données secrètes.
S’agit-il d’un phénomène récent et fréquent ?
Clémentine Maurice : Il est difficile de détecter si de telles attaques par canaux auxiliaires ont lieu sur une machine car elles opèrent très différemment des attaques logicielles classiques et ne laissent pas d’empreinte. Elles ne sont pas détectées par les anti-virus classiques par exemple. Elles sont également plus difficiles à reproduire et à déployer massivement car les composants du processeur changent d’une machine à l’autre. Il est possible qu’une attaque fonctionne sur une machine, mais pas sur une autre. Il s’agit d’attaques ciblées.
Les premières recherches dans ce domaine datent de 2005, avec une nette accélération ces dix dernières années, c’est donc un domaine assez jeune. Ces attaques tirent parti des optimisations dans les processeurs. La course à la performance des processeurs à laquelle se livrent les fabricants induit des changements très rapides dans les composants, et donc dans leurs vulnérabilités.
On peut citer par exemple l’attaque Meltdown, révélée en 2018, qui s’appuie sur les optimisations dans le processeur bien qu’elle soit différente des attaques par canaux auxiliaires. Pour être plus rapide, le processeur ne se contente pas d’exécuter les opérations les unes après les autres, il en anticipe certaines, les amorce et les réordonne pour que le résultat final soit correct, voire supprime des opérations si la prédiction était mauvaise. Cette attaque vise ainsi à induire le processeur en erreur pour lancer une opération qu’il n’était pas censé exécuter. Celle-ci sera supprimée par le processeur mais laissera des traces dans les composants, que le pirate va chercher à récupérer avec les mêmes méthodes citées plus haut. L’attaque Meltdown permet de récupérer de la mémoire vive qui n’était pas censée être accessible. Cette attaque est plus dangereuse que celles par canaux auxiliaires car elle est plus directe, elle ne nécessite pas une faille du logicielle en plus d’une vulnérabilité au niveau matériel. Un enjeu de la recherche dans ce domaine consiste à développer des méthodes pour trouver automatiquement ces vulnérabilités.
Par quelles approches étudiez-vous ces attaques au sein du projet ANR MIAOUS ?
Clémentine Maurice : Dans le cadre du projet ANR JCJC MIAOUS que je coordonne, nous étudions ces attaques par la rétro-ingénierie qui consiste à comprendre le fonctionnement d’un système, qu’il soit logiciel ou matériel, sans sa documentation. Cette approche est essentielle car les composants ne sont pas bien documentés par les fabricants de processeurs.
De manière générale, la rétro-ingénierie est le processus inverse d’une attaque. Lors d’une attaque on a un certain modèle, parfois imprécis, d’un composant et on cherche à comprendre les entrées de la victime. Quand on effectue la rétro-ingénierie, on maîtrise les entrées dans ces composants et on cherche à modéliser le fonctionnement du composant en observant finement les sorties. Cela n’est pas toujours évident car ces derniers peuvent être très complexes. On obtient parfois des modèles partiels mais qui peuvent tout de même aider à améliorer des attaques existantes, et donc, à identifier de nouvelles vulnérabilités au niveau matériel pour permettre à la communauté scientifique en cybersécurité de les corriger.
Nous avons étudié plus spécifiquement le fonctionnement des caches de dernier niveau, de l’Interconnect, et des prédicteurs de branchement dans les processeurs Intel, ainsi que le fonctionnement des prédicteurs de voie dans les processeurs AMD : des processeurs grands public.
Avez-vous identifié des vulnérabilités ?
Clémentine Maurice : En utilisant les informations obtenues par rétro-ingénierie, nous avons pu élaborer deux nouvelles primitives d’attaques par canaux auxiliaires sur le prédicteur de voie du processeur AMD. Ces attaques permettent de créer un canal caché, de réduire l'entropie de l'ASLR (technique qui contre certaines attaques logicielles) et donc de rendre possible d'autres attaques logicielles, et d'attaquer des implémentations cryptographiques vulnérables.
Nous avons par ailleurs amélioré une attaque connue en utilisant l’interconnect CPU d’Intel, mettant ainsi en lumière une vulnérabilité de ce composant. L’interconnect relie les différents cœur du processeur, nous avons donc étudié comment les messages passent d’un cœur à l’autre selon le type du message, ce qui correspond à l’état de cohérence du cache. En prenant en compte le rôle de ce composant et du protocole de cohérence de cache dans les attaques sur le cache, nous avons amélioré l'attaque Flush+Flush, la rendant pratiquement exempte d'erreurs et aussi rapide que Flush+Reload, une attaque connue.
Après avoir regardé le côté matériel je m’intéresse maintenant aux vulnérabilités logicielles qui peuvent être exploitées par ces mêmes vecteurs. Nous recherchons des méthodes qui permettent de les repérer automatiquement, et à terme de les corriger automatiquement.
Clémentine Maurice est chargée de recherche CNRS au sein de l’unité mixte de recherche de recherche CRIStAL (Centre de Recherche en Informatique, Signal et Automatique de Lille) sous la tutelle du CNRS, de l’Université Lille, de Centrale Lille, en collaboration avec Inria et l’IMT Nord Europe.
L’ANR, engagée pour la valorisation des femmes de science
Afin d’encourager les jeunes femmes à investir pleinement les sciences, notamment les domaines dans lesquelles elles sont minoritaires, l’ANR s’engage à valoriser les parcours de coordinatrices de projets, de présidentes-référentes et de membres de comité d’évaluation.
Cet engagement s’inscrit dans le cadre de son Plan d’action. Aux côtés des acteurs de la recherche, l’ANR s’engage également à contribuer au développement d’une politique qui vise à réduire les inégalités entre les femmes et les hommes dans l’enseignement supérieur et la recherche. L’Agence mène plusieurs actions afin d’éviter les biais potentiels de genre dans l’évaluation des projets, contribuer à l’évolution de la culture scientifique vers une prise en compte systématique de la dimension sexe et/ou genre dans les travaux de recherche et dans l’évaluation.
