Academic literature on the topic 'Sécurité logicielle et matérielle'

Ce papier décrit la méthodologie permettant de transformer un campus universitaire en laboratoire ouvert par l’introduction de plateformes expérimentales liées aux thématiques phares de la mobilité, de l’énergie et des mutations sociétales. En particulier, ce papier s’intéressera au volet Mobilité avec la présentation du robot SMART-UHA, un robot mobile autonome tracté par énergie électrique et dont les missions sont d’assurer des livraisons de colis sur le campus, et ce en assurant la totale sécurité des usagers. L’ensemble des capteurs et actionneurs de cette plateforme sont présentés, ainsi que les architectures matérielles et logicielles permettant une navigation sûre le long du campus. L’utilisation de cette plateforme dans le cadre de la formation des futurs techniciens et ingénieurs est détaillée, illustrant l’intérêt du robot SMART-UHA comme démonstrateur du savoir-faire de l’Université de Haute-Alsace et des interactions fortes entre recherche et enseignement.

Cet article présente un nouvel enseignement en cours de mise en place à Grenoble INP dont l'objectif est de former les étudiants à la conception conjointe matérielle-logicielle de systèmes intégrés. L'objectif principal de ce nouvel enseignement est de donner à l'étudiant une vision plus claire de l'interaction entre le matériel et le logiciel et de l'impact d'un changement de l'un sur l'autre. La plateforme utilisée est libre de droit (Rocket Chip développée à Berkeley), elle est basée sur l'utilisation d'un processeur récent, d’architecture RISC-V et elle permet de faire du prototypage rapide et/ou d'aller jusqu'à l'implémentation physique sur FPGA ou ASIC. Cette flexibilité en fait un bon candidat comme outil pédagogique.

L'Internet des objets (IoT) voit l'apparition d'objets de plus en plus connectés. Dans un tel contexte, l’aspect sécurité de ces objets est plus important que jamais. C'est pourquoi nous avons développé plusieurs cours sur la sécurité matérielle. Les cours de sécurité traditionnels commencent souvent par un catalogue de définitions qui peuvent parfois être ennuyeuses pour les étudiants et donc contre-productives. Cette étude décrit un « escape game » utilisé comme séquence pour introduire plusieurs concepts de sécurité. Ce jeu sérieux pourrait être adapté au niveau de diplôme des étudiants.

Le monde de la microélectronique a fait place à l’internet des objets (IoT). Ces objets étant de plus en plus connectés et nomades, ils ont d’abord été conçus avec des fortes contraintes de consommation. Cependant, de récentes attaques ont démontré leur vulnérabilité et la sécurité est devenue une contrainte majeure. Pour répondre à cette problématique, le projet ANR MISTRAL propose de réaliser une implémentation matérielle d’algorithme de cryptographie légère (LWC) en associant CMOS et MRAM. Cet article présente une implémentation pure CMOS d’ASCON, un algorithme de cryptographie légère finaliste du concours du NIST. Cette implémentation servira de référence pour une future implémentation hybride de l’algorithme.

Ce travail a pour but de partager une expérience d’enseignement dédiée à la conception de systèmes numériques embarqués sur cibles reconfigurables de type FPGA en première année de master au sein de l’université de Strasbourg. Cette dernière introduit une méthode d’apprentissage des concepts de la conception conjointe matérielle/logicielle (Hard/Soft) par la pratique. Dans cette méthode, la proportion des enseignements théoriques en cours magistraux est réduite au strict minimum pour laisser place aux travaux pratiques durant lesquels les étudiants sont confrontés à une situation réelle qu’ils doivent réaliser de manière individuelle dans le cadre d’un mini-projet. Ce dernier définit un seuil minimum de réalisation pour valider le projet, pour aller plus loin, des pistes d’amélioration sont suggérées par l’enseignant et au-delà les étudiants peuvent proposer leurs propres améliorations. Les retours, que nous avons eus, montrent que les étudiants sont très satisfaits de ce dispositif et souvent souhaitent la généralisation de la méthode à d’autres enseignements adaptés à un apprentissage par la pratique.

RÉSUMÉ Selon certains historiens du Québec, les stratégies de transmission des patrimoines qui avaient cours chez les Canadiens français ne visaient pas à préserver l'intégrité des patrimoines comme en Europe, où l'espace était saturé et les terres libres, rares. Elles cherchaient à établir sur une terre le plus de fils possible. La problématique qui oppose terroirs vides et terroirs pleins reste valable, mais elle ne rend pas compte de tous les aspects de la réalité. L'impact du marché et l'existence de secteurs d'emploi non agricoles pouvaient inciter les familles à poursuivre d'autres buts. Dans la vallée du Saint-Jean, où une agriculture partiellement commercialisée coexistait avec un secteur forestier important, les familles étaient plus préoccupées par la sécurité matérielle des couples âgés que par l'établissement des fils sur des terres.

Les systèmes informatiques ont évolué rapidement ces dernières années, ces évolutions touchant toutes les couches des systèmes informatiques, du logiciel (systèmes d'exploitation et logiciels utilisateur) au matériel (microarchitecture et technologie des puces). Si ce développement a permis d'accroître les fonctionnalités et les performances, il a également augmenté la complexité des systèmes (rendant plus difficile la compréhension globale du système), et par la-même augmenté la surface d'attaque pour les pirates. Si les attaques ont toujours ciblé les vulnérabilités logicielles, au cours des deux dernières décennies, les attaques exploitant les vulnérabilités matérielles des systèmes informatiques sont devenues suffisamment graves pour ne plus être ignorées. En 2018, par exemple, la divulgation des attaques Spectre et Meltdown a mis sur le devant de la scène les problèmes que peuvent poser certaines optimisations faites dans la microarchitecture des systèmes. Malheureusement, la détection et la protection contre ces attaques se révèlent particulièrement complexes, et posent donc aujourd'hui de nombreux défis : (1) le niveau élevé de complexité et de variabilité de la microarchitecture implique une grande difficulté à identifier les sources de vulnérabilité; (2) les contremesures impliquant une modification de la microarchitecture peuvent impacter significativement les performances globales du système complet; et (3) les contremesures doivent pouvoir s'adapter à l'évolution des attaques. Pour donner des éléments de réponse, cette thèse s'est intéressée à l'utilisation des informations qui sont disponibles au niveau de la microarchitecture pour construire des méthodes de détection efficaces.Ces travaux ont en particulier abouti à la construction d'un framework permettant la détection d'attaques qui laissent des empreintes au niveau de la couche microarchitecturale. Ce framework propose : (1) d'utiliser les informations microarchitecturales pour la détection des attaques, couvrant efficacement les attaques visant les vulnérabilités microarchitecturales; (2) de proposer une méthodologie pour aider les concepteurs dans le choix des informations pertinentes à extraire de la microarchitecture; (3) d'utiliser des connexions dédiées pour la transmission de ces informations microarchitecturales afin de garantir une haute bande passante; et (4) d'utiliser du matériel reconfigurable en conjonction avec du logiciel pour implémenter la logique de détection des attaques. Cette combinaison de logiciel et matériel reconfigurable (constituant le module de détection) permet à la fois de réduire l'impact sur les performances grâce à de l'accélération matérielle, et de mettre à jour la logique de détection afin de s'adapter à l'évolution des menaces par la reconfiguration au cours du cycle de vie du système. Nous présentons en détails les changements requis au niveau de la microarchitecture et du système d'exploitation, la méthodologie pour sélectionner les informations microarchitecturales appropriées, l'intégration de ce framework dans un système informatique spécifique, ainsi que la description du fonctionnement du système final pendant son cycle de vie. Cette thèse décrit pour finir deux cas d'étude menés sur un prototype (basé sur un coeur RISC-V) sur un FPGA, et montre comment des logiques relativement simples implantées dans le module de détection nous ont permis de détecter des attaques de classes différentes (attaque visant les caches et attaques de type ROP) sur un système complet exécutant un système d'exploitation, via l'exploitation d'informations provenant de la microarchitecture
In recent years, computer systems have evolved quickly. This evolution concerns different layers of the system, both software (operating systems and user programs) and hardware (microarchitecture design and chip technology). While this evolution allows to enrich the functionalities and improve the performance, it has also increased the complexity of the systems. It is difficult, if not impossible, to fully understand a particular modern computer system, and a greater complexity also stands for a larger attack surface for hackers. While most of the attacks target software vulnerabilities, over the past two decades, attacks exploiting hardware vulnerabilities have emerged and demonstrated their serious impact. For example, in 2018, the Spectre and Meltdown attacks have been disclosed, that exploited vulnerabilities in the microarchitecture layer to allow powerful arbitrary reads, and highlighted the security issues that can arise from certain optimizations of system microarchitecture. Detecting and preventing such attacks is not intuitive and there are many challenges to deal with: (1) the great difficulty in identifying sources of vulnerability implied by the high level of complexity and variability of different microarchitectures; (2) the significant impact of countermeasures on overall performance and on modifications to the system's hardware microarchitecture generally not desired; and (3) the necessity to design countermeasures able to adapt to the evolution of the attack after deployment of the system. To face these challenges, this thesis focuses on the use of information available at the microarchitecture level to build efficient attack detection methods.In particular, we describe a framework allowing the dynamic detection of attacks that leave fingerprints at the system's microarchitecture layer. This framework proposes: (1) the use microarchitectural information for attack detection, which can effectively cover attacks targeting microarchitectural vulnerabilities; (2) a methodology that assists designers in selecting relevant microarchitectural information to extract; (3) the use of dedicated connections for the transmission of information extracted, in order to ensure high transmission bandwidth and prevent data loss; and (4) the use of reconfigurable hardware in conjunction with software to implement attack detection logic. This combination (composing to the so-called detection module) reduces the performance overhead through hardware acceleration, and allows updating detection logic during the system lifetime with reconfiguration in order to adapt to the evolution of attacks. We present in detail the proposed architecture and modification needed on the operating system, the methodology for selecting appropriate microarchitectural information and for integrating this framework into a specific computer system, and we describe how the final system integrating our detection module is able to detect attacks and adapt to attack evolution. This thesis also provides two use-case studies implemented on a prototype (based on a RISC-V core with a Linux operating system) on an FPGA. It shows that, thanks to the analysis of microarchitectural information, relatively simple logic implemented in the detection module is sufficient to detect different classes of attacks (cache side-channel attack and ROP attack)

Le travail présenté ici s'appuie sur deux éléments : le premier, développé au laboratoire d'informatique Lyon 1, est constitué des logiciels graphiques PATK2D ET PATK3D qui ont servi de support aux solutions proposées en matière de logiciel. Le second élément est le terminal graphique TGI11XX, conçu par la Société SECAPA.

La majorité des solutions apportées aux problèmes de sécurité informatique (algorithmes, protocoles, systèmes d'exploitation sécurisés, applications) s'exécute sur des architectures matérielles non sécurisées et pouvant donc être vulnérables à des attaques physiques (espionnage du bus, modification de la mémoire, etc. ) ou logicielles (système d'exploitation corrompu). Des architectures sécurisées, permettant de garantir la confidentialité et la bonne exécution de programmes contre de telles attaques, sont proposées depuis quelques années. Après avoir présenté quelques bases cryptographiques ainsi qu'un comparatif des principales architectures sécurisées proposées dans la littérature, nous présenterons l'architecture sécurisée CryptoPage. Cette architecture garantit la confidentialité du code et des données des applications ainsi que leur bonne exécution contre des attaques matérielles et logicielles. Elle inclut également un mécanisme permettant de réduire les fuites d'informations via le bus d'adresse, tout en conservant des performances raisonnables. Nous étudierons également comment déléguer certaines opérations de sécurité de l'architecture CryptoPage à un système d'exploitation qui n'est pas digne de confiance, afin de permettre plus de flexibilité, sans pour autant compromettre la sécurité de l'ensemble. Enfin, d'autres mécanismes importants pour le bon fonctionnement de l'architecture CryptoPage sont traités : identification des processus chiffrés, attestation des résultats, gestion des signaux logiciels, gestion des processus légers, gestion des communications inter-processus
The majority of the solutions to the issue of computer security (algorithms, protocols, secure operating systems, applications) are running on insecure hardware architectures that may be vulnerable to physical (bus spying, modification of the memory content, etc. ) or logical (malicious operating system) attacks. Several secure architectures, which are able to protect the confidentiality and the correct execution of programs against such attacks, have been proposed for several years. After the presentation of some cryptographic bases and a review of the main secure architectures proposed in the litterature, we will present the secure architecture CryptoPage. This architecture guarantees the confidentiality of the code and the data of applications and the correct execution against hardware or software attacks. In addition, it also includes a mechanism to reduce the information leakage on the address bus, while keeping reasonable performances. We will also study how to delegate some security operations of the architecture to an untrusted operating system in order to get more flexibility but without compromising the security of thearchitecture. Finally, some other important mechanism are studied: encrypted processid entification, attestations of the results, management of software signals, management of the threads, inter-process communication

Cette thèse s'incrit dans le cadre de l'interaction algorithme/silicium pour la conception de circuits intégrés numériques de haute performance sur FPGA. Elle traite de la conception et de la réalisation d'une plate-forme logicielle et matérielle pour le codage et le décodage des turbo codes duo-binaires à 16 états, appelés codes Turbo2000. Cette plate-forme est constituée de deux parties : une partie matérielle et une partie logicielle. La partie matérielle consiste en un circuit décodeur duo-binaire à 16 états à haut débit et en une interface entre le décodeur et le bus PCI de l'ordinateur, tous deux implémentés dans un même composant FPGA. Le décodage du circuit fait appel à l'algorithme Max-Log-MAP. La partie logicielle, programmée en visual C++, est chargée du processus de codage, de la génération du bruit, de la modulation, de la démodulation, de l'option de décodage logiciel et de la mesure des performances de BER et de FER, ainsi que l'affichage graphique des résultats. La plate-forme de codage/décodage Turbo2000 a été conçue de telle sorte à offrir à l'utilisateur une grande flexibilité dans le maniement des paramètres de codage et de décodage, nécessaires aux nombreux cas de figures envisagés. Le décodage, dans sa version hardware, offre des débits au minimum 20 fois plus élevés qu'avec la version software.

Aujourd’hui les Interfaces Homme-Machine (IHM) sont en pleine mutation : elles passent d’un mode de fonctionnement centralisé à un mode de fonction distribué, du sédentaire au nomade. Cette thèse traite l’infrastructure matérielle et logicielle pour la fusion et fission de l’IHM. En notant la similarité de l’adaptation de l’IHM et celle du contrôle adaptatif, elle propose de décloisonné ces deux domaines. Les travaux réalisés font ressortir les demandes d’estimation continûment le contexte d’usage et l’utilisabilité de l’IHM. Un prototype a été développé pour détecter les changements des ressources d’interaction. Un démonstrateur a été construit pour illustrer la fusion/fission de l’IHM pour des applications d’exploitation des informations. En utilisant un système de capteurs de proximité, l’IHM fournit vers utilisateur des nouvelles capacités comme : interaction dans les deux sens, accès aux services différents et adaptation de l’affichage pour gagner en utilisabilité
Nowadays, the User Interface (UI) Is changlng: it moves from centralization to distribution, from sedentary function mode to nomadic function mode. This thesis deals with the plastlcity of UI focuslng on the hardware and software infrastructure for fusion/fission of Human Computer Interface. Because of the similarity between the adaptation of the UI and the adaptation of the adaptive controls, this thesls proposes to combine these two areas. Our work revealed the requirements of the continuous estimation for context of use and for usability of UI. We have developed a system prototype capturing contexts to detect changes ln UI interaction resources. An application was developed as an Illustration of UI fusion/fission. Using the developed sensor system, the interactive system provides the user new capabilities such as (i) two-way interaction, (ii) accessing to the different services and (iii) adapting the UI

De l'instant de l'attaque logicielle contre le système, jusqu'aux conséquences macro-économiques induites, nous suivrons la propagation du dommage et ses implications juridiques en matière d'obligations et de responsabilité. Cela nous donnera tout d'abord l'occasion d'aborder l'aspect répressif de la sécurité au travers de la sanction pénale de l'acte. Mais tout autant nous nous intéresserons aux relations contractuelles qui vont naître de la prévention du dommage, au travers des mesures prises par la victime, le maître du système, pour protéger ses intérêts. Nous envisagerons les recours qui s'offrent non seulement à ce dernier mais aussi aux utilisateurs du système attaqué, qui subiront parfois un préjudice du fait d'une atteinte, à leurs biens, à la qualité d'un service, ou à leur vie privée. Enfin la sécurité informatique est à nos yeux un impératif d'ordre public et ce sont les dommages potentiels à l'économie dans son ensemble qui concluront donc cette étude.

Le Contrôle intelligente d'un système autonome dans un environnement dynamique et dangereux exige la capacité d'identifier les menaces d'échec et de planifier les réponses temps-réel qui peut assurer la sécurité et l'objectif du système autonome. Nous proposons une architecture pour le contrôle intelligent en temps-réel, appelée ORICA. Elle se compose d'un sous-système de raisonnement IA et d'un sous-système d'exécution temps-réel de réponse. Le sous-système de raisonnement modélise des caractéristiques temporelles et logiques du comportement environnemental et planifie les réponses du système. Le sous-système temps-réel, composé d'une partie logicielle et d'une partie matérielle, exécute ces réponses pour éviter l'échec du système autonome. Il donne une performance inégalée par rapport aux précédentes approches conventionnelles. Le comportement unique de l'intelligence reconfigurable est implanté dans la partie matérielle, avec un circuit logique reprogrammable (FPGA)
Autonomous intelligent control system for a dynamic and dangerous environment necessitates the capacity to identify the failure threats and to plan the real-time responses that ensure safety and goal achievement by the autonomous system. We propose a real-time intelligent control architecture called ORICA. It consists of an AI reasoning subsystem and a real-time response execution subsystem. The AI reasoning subsystem models the temporal and logical characteristics of the environment and plans the system responses. The real-time subsystem, which is composed of a software section and a hardware section, executes these responses to avoid failure of the autonomous system. Its performance behavior is unparalleled by the previous classical approaches (pure hardware or pure software). The software section uses behavior switching according to the frequency of external events and a unique reconfigurable intelligence behavior has been implemented in hardware section, using a reprogrammable chip (FPGA)

Cette these s'inscrit dans le cadre des recherches menees au lifl sur l'utilisation de la quadrique comme primitive de visualisation temps reel. Apres avoir montre les limites de la facette comme primitive de visualisation et l'interet de la remplacer par la quadrique, notre premier travail est de definir exactement une primitive de visualisation pour notre systeme. En effet la quadrique seule n'est pas particulierement pratique a manipuler. Notamment certaines quadriques sont des surfaces infinies comme par exemple le cylindre. Nous definissons donc un objet de base constitue d'une quadrique et de plusieurs plans qui servent a la fois a limiter la quadrique et a la sculpter. Ensuite nous adaptons tous les algorithmes de rendu de base a la quadrique. Pour l'execution de l'algorithme de z-buffer nous calculons les profondeurs de notre objet de base. Pour l'eclairement, nous calculons la normale exacte en tout point. Cette normale est ensuite utilisee dans un post-processeur de calcul d'eclairement selon le modele propose par phong. L'etape suivante consiste a proposer des algorithmes d'amelioration de la qualite. Nous nous attachons a trouver des solutions pour l'anti-aliassage et le placage de texture. Un logiciel de validation des algorithmes a ete developpe qui a servi egalement pour simuler au niveau fonctionnel l'implementation materielle. Cette derniere permet une bonne evaluation de la complexite d'un processeur quadrique, seul moyen pour esperer des performances temps reel. Nous concluons qu'un accelerateur graphique base sur la quadrique offrirait des performances temps reel correcte pour un cout acceptable.

Ce travail présente la méthodologie de développement d'un contrôleur de robot multisensoriel. Ce contrôleur se distingue par son ouverture, sa modularité et son évolutivité qui doivent permettre d'intégrer facilement de multiples capteurs intelligents et avancés. Notre approche consiste essentiellement dans une modélisation des besoins du contrôleur et ceci indépendamment de la réalisation matérielle. Après avoir défini les exigences du robot et de l'environnement vis-à-vis du contrôleur, nous avons choisi la méthode de modélisation Structured Analyses - Real-Time II (Hatley et Pirbhai 1991) qui nous a permis d'établir le modèle des besoins. Parmi les différentes architectures présentées dans la littérature, seule une architecture hiérarchique est adaptée pour répondre aux exigences prédéfinies. Nous avons ensuite retenu la notion des capteurs logiques (Henderson et Shilcrat 1984) que nous avons étendu afin de permettre de commander un système de capteurs extéroceptifs. Les interfaces du contrôleur sont, si possible, des standards existants. L'établissement du modèle des besoins s'est déroulé en deux étapes : le modèle pour un contrôleur minimal a été développé, ensuite nous avons étendu ce modèle à l'utilisation d'un système de vision. L'évaluation des modèles nous a demandé d'étendre la méthode SA-RT par l'utilisation des réseaux de Petri et des diagrammes d'activation de processus. Ces deux outils servent à vérifier la synchronisation des processus. L'estimation de puissance de calcul et des flux d'informations complète l'évaluation. Cette estimation a montré que l'implémentation du contrôleur minimal sur un ordinateur doté d'un processeur Pentium est possible. Nous avons ensuite établi les modèles d'architecture matérielle basés sur un tel ordinateur. Le développement de ces deux modèles suit celui des modèles des besoins : développement du modèle minimal et du modèle étendu.

La sécurité numérique est aujourd’hui un enjeu majeur dans nos sociétés. Communications, énergie, transport, outils de production, Internet des Objets… Les systèmes numériques se multiplient et deviennent toujours plus critiques pour le bon fonctionnement du monde. Depuis un peu plus d’une vingtaine d’années, une nouvelle menace a émergé pour attaquer les systèmes : l’injection de faute. Elle consiste essentiellement à perturber un circuit pendant son fonctionnement, par diverses méthodes comme des perturbations sur l’alimentation du circuit, l’injection électromagnétique, ou l’injection laser ; afin de provoquer des erreurs. Ces erreurs peuvent ensuite être exploitées par un attaquant pour révéler des informations secrètes du circuit, ou passer outre des mesures de sécurité.La complexification des systèmes numériques et les avancées technologiques comme la finesse de gravure rendent particulièrement vulnérables les systèmes numériques face aux attaques par injection de fautes. Pour contrer ces attaques efficacement et à un coût raisonnable, il est nécessaire de penser la sécurité dès la phase de conception du système. Pour cela, il faut comprendre précisément l’impact de ces fautes sur les processeurs. Les effets induits peuvent être modélisés à différents niveaux d’abstraction. Actuellement, si l’impact des fautes est relativement bien connu au niveau matériel, leurs effets au niveau logiciel restent mal compris. Les analyses de vulnérabilité au niveau logiciel se basent donc sur des modèles de faute logiciels simples que sont par exemple le saut d’instruction, la corruption de registre ou l’inversion de test. Ces modèles sont appliqués sans réelle prise en compte de la microarchitecture du processeur attaqué. Cette non-considération de l’aspect matériel pose la question du réalisme des modèles logiciels, qui conduit à deux types de problèmes : certains effets modélisés ne correspondent pas à des vulnérabilités réelles ; et, à l’inverse, certains effets affaiblissant la sécurité ne sont pas modélisés. Ces difficultés se transposent ensuite dans des contremesures sur-dimensionnées, ou, plus grave, sous-dimensionnées.Pour lutter contre ces limitations des modèles de faute logiciels usuels, une étude précise de la microarchitecture des processeurs est requise. Dans cette thèse, nous explorons tout d’abord en quoi différentes structures du processeur, comme le pipeline ou les optimisations de forwarding et d’exécution spéculative, peuvent influer sur le comportement des fautes au sein du processeur et en quoi ces structures peuvent mettre à mal une vision purement logicielle de l’impact des fautes sur l’exécution d’un programme. Des injections au niveau RTL dans un processeur d’architecture RISC-V sont effectuées pour montrer que ces effets pourraient être exploités pour attaquer des contremesures logicielles typiques, ou encore une application de vérification de PIN sécurisée. Dans un deuxième temps est développée une méthode pour étudier plus généralement les effets des fautes dans un processeur. Cette méthode a un intérêt double. Le premier est la modélisation de fautes au niveau logiciel, avec notamment la définition de métriques d’évaluation des modèles. Le second est de conserver un lien avec le niveau RTL afin de pouvoir concrétiser les effets obtenus au niveau logiciel. Pour terminer cette thèse, nous étudions la possibilité d’utiliser des méthodes d’analyse statique pour analyser la sécurité de programmes face aux modèles de faute logiciels définis précédemment. Une analyse par interprétation abstraite et une analyse par exécution symbolique sont abordées.Cette thèse, financée par l’IRT Nanoelec pour le projet Pulse, a été réalisée au sein du laboratoire LCIS de Valence, en collaboration avec le CEA-Leti de Grenoble. Elle a été dirigée par Vincent Beroulle (LCIS) et co-encadrée par Christophe Deleuze (LCIS) et Florian Pebay-Peyroula (CEA-Leti)
Nowadays, digital security is of major importance to our societies. Communications, energy, transport, means of production, Internet of Things… The use of digital systems is ever increasing, making them critical to the correct working of our world. A little more than two decades ago, a new form of attack has risen: fault injection. Essentially, it consists in perturbing a circuit during computation, using various methods such as power glitches, electromagnetic injection or laser injection; in the aim of generating errors. These errors can then be exploited by an attacker to reveal secret information from the circuit, or to bypass some security measures.System complexification and technological advances make digital systems particularly vulnerable against fault injection attacks. In order to thwart these attacks effectively and at a reasonable cost, it is necessary to consider security from the early phases of the design flow. To do that, a better understanding of how faults impact processors is required. Effects provoked by fault injection can be modeled at various levels of abstraction. Currently, if the impact of faults at the hardware level is relatively well known, the same cannot be said for the software level. Security analyses at the software level are based on simple software fault models such as instruction skip, register corruption or test inversion. These models are applied without any serious consideration for the microarchitecture of the attacked processor. This brings the question of the realism of these models, leading to two types of problems: some modeled effects do not correspond to actual attacks; and, conversely, some effects lowering the security of the system are not modeled. These issues then translate to over-engineered, or, worse, under-engineered countermeasures.To face the limitations of typical software fault models, a precise study of processor microarchitectures is necessary. In this thesis, we first explore how various structures of the processor, such as the pipeline or optimization structures like forwarding and speculative execution, can influence the behavior of faults in the inner working of the processor; and how they call into question a pure software vision of how faults impact software execution. RTL injections are conducted in a RISC-V processor, to demonstrate how these effects could be exploited to counter typical software countermeasures and a hardened program that check PIN codes. Then, a method to study more generally the effects of faults in a processor is developed. The point of this method is twofold. The first is about modeling faults at the software level, with the definition of several metrics to evaluate models. The second point is about keeping a link to the RTL level, in order to be able to materialize effects obtained at the software level. Finally, to end this thesis, we study the possibility to use static analysis to analyze the security of programs against software fault models defined previously. Two methods are considered, one using abstract interpretation, and the other using symbolic execution.This thesis, financed by the IRT Nanoelec for the Pulse project, has been conducted within the LCIS laboratory in Valence, in collaboration with the CEA-Leti in Grenoble. It has been supervised by Vincent Beroulle (LCIS), and co-supervised by Christophe Deleuze (LCIS) and Florian Pebay-Peyroula (CEA-Leti)

La récupération d’énergie est une technologie prometteuse pour augmenter la durée de vie des réseaux IoT, en permettant à chaque nœud d’être entièrement alimenté par l’énergie récupérée de son environnement. Pour être durable, chaque nœud doit adapter dynamiquement sa qualité de service en fonction de l’énergie récupérée. Ce chapitre aborde la conception logicielle et matérielle d’objets à récupération d’énergie.