Academic literature on the topic 'Sécurité systèmes embarqués'

Anant-propos « Innover » est un mot d’ordre sociétal qui encourage la communauté des chercheurs à produire des connaissances, des démarches et des outils visant à faire « autrement », à changer de paradigme, ou tout au moins de modèle de production pour ce qui concerne la communauté des agronomes. Pour une grande partie de cette communauté, le débat est centré sur la conception innovante des systèmes agricoles visant de nouveaux compromis entre production (quantité, qualité), protection de l’environnement, maîtrise de la consommation des énergies non renouvelables, tout en contribuant à la sécurité alimentaire globale et à la traçabilité des pratiques. Mais d’autres dimensions doivent être intégrées : la participation des acteurs au processus de conception, la façon dont les différentes sources d’innovations (la recherche, les agriculteurs, les filières, les industriels) interagissent, l’accompagnement de l’engagement dans le changement des exploitants agricoles et le rôle du conseil (public, privé) dans ce cadre, l’étude des verrouillages sociotechniques, etc. La notion d’innovation embarque de fait beaucoup de questions de natures différentes, auxquelles apporter des réponses nécessite une interdisciplinarité entre sciences techniques et sciences sociales. Ce numéro spécial propose une vision de l’innovation dans les systèmes d’élevage centrée sur la contribution des zootechniciens. Il regroupe ainsi huit articles choisis pour traiter des innovations à l’échelle des systèmes d’élevage (et non aux échelles infra – fonctions physiologiques, animal, ou supra – territoire, filière –). Les auteurs ont été sollicités principalement au sein de l’Inra et chez nos partenaires proches (enseignement supérieur agronomique, Instituts techniques et Cirad). A l’Inra, cela concerne les deux départements de recherche au sein desquels des travaux sont conduits sur les systèmes d’élevage, à savoir le département « Sciences pour l’action et le développement » (Sad) et le département « Physiologie animale et systèmes d’élevage » (Phase). Partant des questions générales sur la conception innovante et l’évaluation des systèmes, ce numéro explore différentes leviers de changements radicaux qui sont en germe dans le secteur de l’élevage : l’élevage de précision, l’écologie industrielle, l’agro-écologie, avec leurs déclinaisons (les capteurs appareillés sur les animaux, l’élevage de poissons avec de l’eau recirculée, les systèmes laitiers bas intrants). Deux articles complètent le panorama en s’intéressant au repérage des innovations dans les exploitations d’élevage en France et aux dynamiques diversifiées d’innovation et de changement en Afrique. Les thèmes des articles ont ainsi été pensés pour mixer des réflexions conceptuelles sur l’innovation, en tant qu’objet et en tant que processus, avec des exemples concrets pris soit dans les dispositifs expérimentaux des instituts de recherche, soit chez les éleveurs eux-mêmes. Différentes espèces animales sont concernées par ces exemples, des poissons aux bovins, en passant par les volailles, les ovins et les caprins. Ce numéro spécial souligne ainsi que le secteur de l’élevage n’est pas en reste en matière d’innovations. Mais le champ est vaste et il ne prétend pas en faire le tour, notamment sur le plan des innovations génétiques : il est difficile d’être exhaustif dans un tel exercice ! Pour finir, à la lecture de ce numéro, quelques questions pour l’avenir nous semblent devoir être formulées : - L’innovation dans les systèmes d’élevage se construit aujourd’hui dans des dispositifs partenariaux associant recherche, développement et formation, inventeurs et utilisateurs. Les éleveurs sont au cœur du processus d’innovation et sont bien sûr les acteurs déterminants de sa réussite ou de son échec. Mais le rôle d’autres parties prenantes (filières, conseil public et privé, action publique, acteurs des territoires et industriels) mériterait d’être plus approfondi ; - Dans le secteur de l’agriculture, et en particulier de l’élevage, les applications des innovations portent sur le vivant, en l’occurrence des animaux. Des questions portent sur la considération apportée à ces êtres vivants et aux formes d’interaction entre hommes et animaux dans le travail quotidien. Par exemple, est-il souhaitable, éthique, d’équiper les animaux avec des capteurs divers et variés, au risque de remettre en cause leur bien-être, ou la nature même de l’activité d’élevage ? L’agro-écologie porte-t-elle d’autres formes de considérations des animaux ? Ces questions importantes restent ouvertes ; - L’avenir sera sans doute fait d’une coexistence de deux mouvements qui peuvent apparaître en première approche contradictoires : d’une part, le mouvement vers l’agro-écologie mettant en exergue les propriétés des processus écologiques et d’autre part, le mouvement vers l’automatisation, les nouvelles technologies de l’information et de la communication (NTIC), l’élevage dit « de précision » s’appuyant sur l’écologie industrielle et la recherche de l’efficience. Mais ne faudra-t-il pas tenter de travailler aussi la mise en synergie de ces deux mouvements ? - L’innovation dans les systèmes d’élevage doit être réfléchie en même temps dans le secteur animal et végétal, en particulier quand il s’agit de raisonner les systèmes fourragers de demain, mais aussi le rôle des cultures dans l’alimentation animale et l’autonomie des exploitations. La polycultureélevage, bien plus qu’une tradition désuète, est sans doute une forme intéressante et prometteuse pour mettre en œuvre les principes tant d’agro-écologie que d’écologie industrielle, avec des modes d’organisation et d’interaction à repenser entre ateliers à l’intérieur de l’exploitation et entre exploitations à l’intérieur d’un territoire. L’année 2014 est marquée par la sortie en France de deux numéros spéciaux consacrés à l’innovation en élevage : le présent numéro d’INRA Productions Animales et celui de la revue Fourrages1. Pour nous, cela est le signe d’un enjeu important perçu par la communauté scientifique agronomique autour des questions d’innovation, à l’heure où l’élevage doit relever le défi d’être multi-performant. 1 L'innovation en systèmes fourragers et élevages d’herbivores : un champ de possibles. Fourrages, 217, mars 2014

Around one million people are killed world wide every year in road-traffic accidents. The risks and consequences of accidents increase progressively with speed, which ultimately is determined by the individual driver. The behaviour of the motorist thus affects both her own and other peoples’ safety. Internalisation of external costs of road transport has hitherto been focused on distance-based taxes or insurance premiums. While these means may affect driven distance, they have no influence on driving behaviour. This paper argues that by linking on-board positioning systems to insurance premiums it is possible to reward careful driving and get drivers to self select into different risk categories depending on their compliance to speed limits. We report two economic field experiments that have tested ways to induce car-owners to have technical platforms installed in their vehicle in order to affect the extent of speeding. It is demonstrated that a bonus to remunerate those that have the device installed, tantamount to a lower insurance premium, increases drivers’ propensity to accept the technical devices. In a second experiment the size of the bonus is made dependent on the actual frequency of speeding. We find that this is a second way to discipline users to drive at legal speeds. Environ un million de personnes sont tuées chaque année dans des accidents de la route à l’échelle de la planète. Les risques et les conséquences augmentent progressivement avec la vitesse choisie par chaque conducteur. Le comportement de l’automobiliste a une incidence sur sa propre sécurité, mais aussi sur celle des autres. L’internalisation des coûts externes du transport routier privilégiait jusqu’ici les taxes ou primes d’assurance calculées en fonction de la distance. Mais si de telles mesures sont susceptibles d’avoir un effet sur la distance parcourue, elles n’ont aucune incidence sur le comportement au volant. Cet article démontre qu’en adossant les primes d’assurance à l’installation de systèmes de positionnement embarqués, il est possible de récompenser les conducteurs prudents et de leur permettre de sélectionner eux- mêmes les différentes classes de risque en fonction de leur capacité à respecter les limitations de vitesse. Nous analysons deux expériences de terrain fondées sur une approche économique visant à tester différents moyens pour inciter les propriétaires automobiles à faire installer un dispositif électronique sur leur véhicule susceptible de les encourager à limiter leurs excès de vitesse. Nous montrons qu’une indemnité destinée à rémunérer ceux qui consentent à installer le dispositif proposé, ce qui équivaut à une réduction de leur prime d’assurance, augmente la propension des automobilistes à accepter ce système. La seconde expérience prévoit de lier le montant de l’indemnité au nombre réel d’excès de vitesse commis. Nous considérons qu’il s’agit là d’un autre moyen de contraindre les usagers de la route à respecter les limitations de vitesse en vigueur.

L’automatisation, même partielle, des procédures de contrôle non-destructif des structures dans le domaine du génie civil présente de nombreux avantages. Parmi ses avantages, on peut citer une plus grande répétabilité des mesures, une diminution des erreurs liée au facteur humain ainsi que la réduction du risque de compromettre la sécurité des personnes. Cette étude explore le concept et le développement du projet UACIS (Uncrewed Aerial Concrete Inspection System), en particulier l’intégration d’un système de mesure Impact Echo. Le projet UACIS consiste à embarquer différentes méthodes de CND par ultrasons via des charges utile interchangeable sur un drone à hélice dans le but de faciliter l’inspection de structure en béton. En particulier, UACIS a pour but de faciliter l’inspection de zones en hauteur dont l’accès s’avère dangereux et difficile. Le drone utilisé dans cette étude est un robot commercial développé par ©Voliro Airbone Robotics qui a été conçu spécifiquement pour permettre un contact physique, en cours de vol, entre le système de mesure embarqué et la structure inspectée. Un système d’inspection Impact Echo, comprenant une sonde piézoélectrique et un élément de frappe solénoïde, a été intègre au drone. Cette méthode est communément utilisée pour l’inspection de structure en béton. L’élément de frappe permet de générer des ondes acoustiques dans le matériau, les ondes sont ensuite captées par la sonde piézoélectrique puis converties en signal A-scan et spectre de fréquence. L’analyse du spectre de fréquence et la connaissance de la vitesse des ondes dans le matériau permettent de caractériser la structure. Les différentes contraintes liées à l’intégration du CND impact écho au drone ainsi que les premiers résultats et mesures effectués seront présenter. Parmi les sujets abordés seront notamment les restrictions en matière de poids et de dimensions, la communication entre les différentes interfaces, la mise en place d’un transfert de données sans fil en temps réel entre le système CND/drone et l'interface utilisateur au sol, l’actionnement à distance de l’élément de frappe et de la sonde, les stratégies d'atténuation du bruit et de traitement du signal.

La croissance des flux d'information à travers le monde est responsable d'une importante utilisation de systèmes embarqués temps-réel, et ce notoirement dans le domaine des satellites. La présence de ces systèmes est devenue indispensable pour la géolocalisation, la météorologie, ou les communications. La forte augmentation du volume de ces matériels, impactée par l'afflux de demande, est à l'origine de l'accroissement de la complexité de ces derniers. Grâce à l'évolution du matériel terrestre, le domaine aérospatial se tourne vers de nouvelles technologies telles que les caches, les multi-coeurs, et les hyperviseurs. L'intégration de ces nouvelles technologies est en adéquation avec de nouveaux défis techniques. La nécessité d'améliorer les performances de ces systèmes induit le besoin de réduction du coût de fabrication et la diminution du temps de production. Les solutions technologiques qui en découlent apportent pour majeure partie des avantages en matière de diminution du nombre global de satellites à besoin constant. La densité d'information traitée est parallèlement accrue par l'augmentation du nombre d'exploitants pour chaque satellite. En effet, plusieurs clients peuvent se voir octroyer tout ou partie d'un même satellite. Intégrer les produits de plusieurs clients sur une même plateforme embarquée la rend vulnérable. Augmenter la complexité du système rend dès lors possible un certain nombre d'actes malveillants. Cette problématique autrefois à l'état d'hypothèse devient aujourd'hui un sujet majeur dans le domaine de l'aérospatial. Figure dans ce document, en premier travail d'exploration, une présentation des actes malveillants sur système embarqué, et en particulier ceux réalisés sur système satellitaire. Une fois le risque exposé, je développe la problématique temps-réel. Je m'intéresse dans cette thèse plus précisément à la sécurité des hyperviseurs spatiaux. Je développe en particulier deux axes de recherche. Le premier porte sur l'évolution des techniques de production et la mise en place d'un système de contrôle des caractéristiques temporelles d'un satellite. Le deuxième axe améliore les connaissances techniques sur un satellite en cours de fonctionnement et permet une prise de décision en cas d'acte malveillant. Je propose plus particulièrement une solution physique permettant de déceler une anomalie sur la gestion des mémoires internes au satellite. En effet, la mémoire est un composant essentiel du fonctionnement du système, et ses propriétés communes entre tous les clients la rend particulièrement vulnérable. De plus, connaître le nombre d'accès en mémoire permet un meilleur ordonnancement et une meilleure prédiction d'un système temps réel. Notre composant permet la détection et l'interprétation d'une potentielle attaque ou d'un problème de sûreté de fonctionnement. Cette thèse met en évidence la complémentarité des deux travaux proposés. En effet, la mesure du nombre d'accès en mémoire peut se mesurer via un algorithme génétique dont la forme est équivalente au programme cherchant le pire temps d'exécution. Il est finalement possible d'étendre nos travaux de la première partie vers la seconde
Satellites are real-time embedded systems and will be used more and more in the world. Become essential for the geo-location, meteorology or communications across the planet, these systems are increasingly in demand. Due to the influx of requests, the designers of these products are designing a more and more complex hardware and software part. Thanks to the evolution of terrestrial equipment, the aero-space field is turning to new technologies such as caches, multi-core, and hypervisor. The integration of these new technologies bring new technical challenges. In effect, it is necessary to improve the performance of these systems by reducing the cost of manufacturing and the production time. One of the major advantages of these technologies is the possibility of reducing the overall number of satellites in space while increasing the number of operators. Multiple clients softwares may be together today in a same satellite. The ability to integrate multiple customers on the same satellite, with the increasing complexity of the system, makes a number of malicious acts possible. These acts were once considered as hypothetical. Become a priority today, the study of the vulnerability of such systems become major. In this paper, we present first work a quick exploration of the field of malicious acts on onboard system and more specifically those carried out on satellite system. Once the risk presentation we will develop some particular points, such as the problematic real-time. In this thesis we are particularly interested in the security of space hypervisors. We will develop precisely 2 lines of research. The first axis is focused on the development of production technics and implementing a control system of a satellite temporal characteristics. The objective is to adapt an existing system to the constraints of the new highly complex systems. We confront the difficulty of measuring the temporal characteristics running on a satellite system. For this we use an optimization method called dynamic analysis and genetic algorithm. Based on trends, it can automatically search for the worst execution time of a given function. The second axis improves the technical knowledge on a satellite in operation and enables decision making in case of malicious act. We propose specifically a physical solution to detect anomalies in the management of internal memory to the satellite. Indeed, memory is an essential component of system operation, and these common properties between all clients makes them particularly vulnerable to malicious acts. Also, know the number of memory access enables better scheduling and better predictability of a real time system. Our component allows the detection and interpretation of a potential attack or dependability problem. The work put in evidence the complementarity of the two proposed work. Indeed, the measure of the number of memory access that can be measured via a genetic algorithm whose shape is similar to the program seeking the worst execution time. So we can expand our work of the first part with the second

Dans un monde défiant, l'augmentation du nombre et de la diversité des applications numériques ont rendu nécessaire l'existence d'un objet pratique intégrant les fonctions cryptographiques requises pour les besoins quotidiens de sécurité des transactions, de confidentialité des échanges, d'identification du porteur ou encore d'authentification pour l'accès à un service. Parmi les dispositifs cryptographiques embarqués aptes à proposer ces fonctionnalités, la carte à puce est certainement le plus utilisé de nos jours. Sa portabilité (un porte-feuille peut en contenir une dizaine) et sa capacité à protéger les données et programmes qu'elle contient contre les attaques intrusives, lui confèrent naturellement sa fonction essentielle de ``bunker'' pour le stockage de clés et l'exécution d'algorithmes cryptographiques dans les usages mobiles nécessitant un haut degré de sécurité. Évidemment nécessaire, la conception de schémas cryptographiques mathématiquement robustes, voire prouvés sûrs dans certains modèles, s'est malgré tout révélée insuffisante depuis la publication en 1996 des premières attaques physiques. Exploitant des vulnérabilités liées à la mise en oeuvre concrète des routines de sécurité et à leur implémentation, ces menaces comprennent l'analyse de canaux auxiliaires permettant d'obtenir de l'information sur l'état interne d'un processus, et l'exploitation de fautes provoquées ouvrant la voie à certaines cryptanalyses autrement impossibles. Cette thèse présente une série de travaux de recherche dans le domaine de la sécurité physique des crypto-systèmes embarqués. Deux parties de ce document sont consacrées à la description de certaines attaques et à l'étude de l'efficacité de possibles contre-mesures. Une troisième partie aborde le domaine particulier, et encore très peu exploré, de l'applicabilité des attaques physiques dans le cas où la fonction cryptographique considérée est en grande partie, voire totalement, inconnue de l'adversaire
In a world full of threats, the development of widespread digital applications has led to the need for a practical device containing cryptographic functions that provide the everyday needs for secure transactions, confidentiality of communications, identification of the subject or authentication for access to a particular service. Among the cryptographic embedded devices ensuring these functionalities, smart cards are certainly the most widely used. Their portability (a wallet may easily contain a dozen) and their ability to protect its data and programs against intruders, make it as the ideal ``bunker'' for key storage and the execution of cryptographic functions during mobile usage requiring a high level of security. Whilst the design of mathematically robust (or even proven secure in some models) cryptographic schemes is an obvious requirement, it is apparently insufficient in the light of the first physical attacks that were published in 1996. Taking advantage of weaknesses related to the basic implementation of security routines, these threats include side-channel analysis which obtains information about the internal state of the process, and the exploitation of induced faults allowing certain cryptanalysis to be performed which otherwise would not have been possible. This thesis presents a series of research works covering the physical security of embedded cryptosystems. Two parts of this document are dedicated to the description of some attacks and to a study of the efficiency of conceivable countermeasures. A third part deals with that particular and still mainly unexplored area which considers the applicability of physical attacks when the cryptographic function is, partly or totally, unknown by the adversary

Depuis plusieurs années, l'utilisation et le déploiement de systèmes embarqués est en plein essor. Ces systèmes complexes, autrefois isolés les uns des autres, peuvent aujourd'hui communiquer entre eux afin de répondre à de nouveaux besoins. L'échange de données entre ces dispositifs et la facilité de les administrer à distance présentent deux avancées technologiques importantes. Par contre, d'un point de vue de la sécurité, cela les rend plus susceptibles de subir les attaques de pirates informatiques et de voir l'intégrité de leur micrologiciel compromise. Cette réalité est particulièrement vraie pour les systèmes embarqués réseautés domestiques qui sont en général moins bien protégés que leurs homologues en milieux industriels. L'objectif de ce travail de recherche consiste à identifier et éliminer les failles de sécurité dans les systèmes embarqués réseautés domestiques. La phase d'analyse est primordiale, puisque les vulnérabilités dans ces systèmes ne peuvent être contrôlées et éliminées que si elles sont bien identifiées. Cette analyse permettra ensuite de mieux comprendre le déroulement ainsi que l'ampleur de telles attaques afin de mieux s'en prémunir. Une fois cette phase complétée, une exploration de diverses technologies pouvant mener à la protection et à l'intégrité de ces systèmes sera réalisée. Quelques-unes de ces technologies de protection seront finalement employées lors d'une tentative de sécurisation d'un système embarqué réseauté domestique.

Les systèmes embarqués sont utilisés dans de nombreux systèmes critiques, depuis les automobiles jusqu'aux les systèmes de contrôle industriels. La plupart des recherches sur ces systèmes embarqués se sont concentrés sur l'amélioration de leur fiabilité face à des fautes ou erreurs de fonctionnent non intentionnelles, moins de travaux on été réalisés considérant les attaques intentionnelles. Ces systèmes embarqués sont de plus en plus connectés, souvent à Internet, via des réseaux sans fils, par exemple pour leur administration à distance. Cela augmente les risques d'attaques à distance ou d'injection de code malicieux. Les fautes de fonctionnement de ces équipements peuvent causer des dommages physiques comme par example rendre des appareils médicaux dangereux. Par conséquent, il est primordial de protéger ces systèmes embarqués contre les attaques. Dans cette thèse nous présentons des attaques et défenses contre les systèmes embarqués contraints. Nous présentons plusieurs attaques contre des techniques d'attestation logicielle utilisées dans les systèmes embarqués. Puis nous présentons la conception et l'implémentation d'une technique d'attestation logicielle qui est résistante aux attaque présentées précédemment. Finalement, nous présentons la conception d'une solution permettant de réaliser l'attestation de code ainsi que la création d'une racine de confiance dynamique (dynamic root of trust) pour les systèmes embarqués. Cette solution est prouvée sure et ne dépend pas d'assomptions fortes faites dans le cas de l'attestation logicielle.

L'équipement électronique de bord est maintenant devenue partie intégrante de l'architecture réseau des véhicules. Elle s’appuie sur l'interconnexion de microcontroleurs appelés ECUs par des bus divers. On commence maintenant à connecter ces ECUs au monde extérieur, comme le montrent les systèmes de navigation, de divertissement, ou de communication mobile embarqués, et les fonctionnalités Car2X. Des analyses récentes ont montré de graves vulnérabilités des ECUs et protocoles employés qui permettent à un attaquant de prendre le contrôle du véhicule. Comme les systèmes critiques du véhicule ne peuvent plus être complètement isolés, nous proposons une nouvelle approche pour sécuriser l'informatique embarquée combinant des mécanismes à différents niveaux de la pile protocolaire comme des environnements d'exécution. Nous décrivons nos protocoles sécurisés qui s'appuient sur une cryptographie efficace et intégrée au paradigme de communication dominant dans l'automobile et sur des modules de sécurité matériels fournissant un stockage sécurisé et un noyau de confiance. Nous décrivons aussi comment surveiller les flux d'information distribués dans le véhicule pour assurer une exécution conforme à la politique de sécurité des communications. L'instrumentation binaire du code, nécessaire pour l’industrialisation, est utilisée pour réaliser cette surveillance durant l’exécution (par data tainting) et entre ECUs (dans l’intergiciel). Nous évaluons la faisabilité de nos mécanismes pour sécuriser la communication sur le bus CAN aujourd'hui omniprésent dans les véhicules. Une preuve de concept montre aussi la faisabilité d'intégrer des mécanismes de sécurité dans des véhicules réels
Electronic equipment has become an integral part of a vehicle's network architecture, which consists of multiple buses and microcontrollers called Electronic Control Units (ECUs). These ECUs recently also connect to the outside world. Navigation and entertainment system, consumer devices, and Car2X functions are examples for this. Recent security analyses have shown severe vulnerabilities of exposed ECUs and protocols, which may make it possible for attackers to gain control over a vehicle. Given that car safety-critical systems can no longer be fully isolated from such third party devices and infotainment services, we propose a new approach to securing vehicular on-board systems that combines mechanisms at different layers of the communication stack and of the execution platforms. We describe our secure communication protocols, which are designed to provide strong cryptographic assurances together with an efficient implementation fitting the prevalent vehicular communication paradigms. They rely on hardware security modules providing secure storage and acting as root of trust. A distributed data flow tracking based approach is employed for checking code execution against a security policy describing authorized communication patterns. Binary instrumentation is used to track data flows throughout execution (taint engine) and also between control units (middleware), thus making it applicable to industrial applications. We evaluate the feasibility of our mechanisms to secure communication on the CAN bus, which is ubiquitously implemented in cars today. A proof of concept demonstrator also shows the feasibility of integrating security features into real vehicles

" [...] Puis, l'on ferra des récepteurs de télévision bijoux, comme il y a des postes de TSF bijoux. Des postes de poches, grands comme une lampe électrique. Plus besoin d'acheter un journal, l'on se branchera sur l'émission d'information, ou sur l'éditorial politique, ou sur la chronique de mode, ou sur le compte rendu sportif. Voir même sur un problème de mots croisés. Et la rue présentera un singulier spectacle. " R. Barjavel, " La télévision, oeil de demain ", 1947. C'est ainsi que l'auteur de romans de science fiction et d'anticipation René Barjavel, avait prédit dés la fin des années 40 l'avènement de ce que nous connaissons sous le nom de smartphones. Drôle de scène, en effet, que de voir des individus déambuler dans les rues, les yeux rivés sur l'objet au creux de leur main. Pour le meilleur et pour le pire, l'avènement de la mise en réseau à l'échelle mondiale a rendu les systèmes embarqués omniprésents dans notre quotidien. Désormais dans le nuage, le nombre d'information personnel en transit et les vitesses de transfert toujours plus importants, imposent une sécurité adéquate. Cependant, le coût en général associé est économiquement dissuasif. Proposer des solutions de sécurité ad-hoc pour ces systèmes restreints en ressources, est le propos de nos travaux. S'appuyant sur des techniques à la fois anciennes et récentes, nous montrons que le couple embarqué/sécurité peut s'accorder, et éviter ainsi, une inévitable procédure de divorce.

La cryptographie est désormais un terme quasi omniprésent dans notre quotidien quel que soit l'intérêt que tout un chacun puisse porter à cette science. Elle représente aujourd'hui un rempart entre nous et les intrusions des pirates ou des institutions sans retenues qui ne se préoccupent guère du respect de notre vie privée. La cryptographie peut protéger nos données personnelles que nous stockons sur de multiples supports numériques solides, voire nuageux pour les plus téméraires. Mais utiliser des mécanismes cryptographiques ne suffit pas. Il faut également les implémenter de telle sorte que leur utilisation soit résistante à une catégorie d'attaques particulière nommées les attaques physiques. Depuis 1996, date de leur divulgation dans le domaine public, ces techniques d'attaques se sont diversifiées et continuellement améliorées donnant notamment lieu à de nombreuses publications et brevets. Nous présentons dans les travaux qui suivent, de nouvelles techniques d'attaques physiques que nous avons pu valider et tester de manières théorique et pratique. Nous introduirons des techniques d'attaques par canaux auxiliaires innovantes tirant parti au maximum de l'information fournie par une seule exécution d'un calcul cryptographique. Nous détaillerons également de nouvelles attaques CoCo (Collision Correlation) appliquées à deux des standards cryptographiques les plus utilisés : l'AES et le RSA. Nous utiliserons les techniques d'injection de fautes pour monter de nouvelles attaques combinées sur des implémentations de l'AES et du RSA. Nous introduirons ensuite des méthodes de génération de nombres premiers dites générations prouvées qui s'avèrent efficaces et propices à un usage dans des composants de type carte à puce. Et enfin nous conclurons ce mémoire par la première méthode d'exponentiation sécurisée Carré Toujours
Cryptography has become a very common term in our daily life even for those that are not practising this science. It can represent today an efficient shield that prevent us from hackers' or other non-respectable entities' intrusions in our privacy. Cryptography can protect the personal data we store on many physical numerical supports or even cloudy ones for the most intrepid people. However a secure usage cryptography is also necessary. Cryptographic algorithms must be implemented such that they contain the right protections to defeat the category of physical attacks. Since the first article has been presented on this subject in 1996, different attack improvements, new attack paths and countermeasures have been published and patented. We present the results we have obtained during the PhD. New physical attacks are presented with practical results. We are detailing innovative side-channel attacks that take advantage of all the leakage information present in a single execution trace of the cryptographic algorithm. We also present two new CoCo (Collision Correlation) attacks that target first order protected implementations of AES and RSA algorithms. We are in the next sections using fault-injection techniques to design new combined attacks on different state of the art secure implementation of AES and RSA. Later we present new probable prime number generation method well suited to embedded products. We show these new methods can lead to faster implementations than the probabilistic ones commonly used in standard products. Finally we conclude this report with the secure exponentiation method we named Square Always

L'équipement électronique de bord est maintenant devenue partie intégrante de l'architecture réseau des véhicules. Elle s’appuie sur l'interconnexion de microcontroleurs appelés ECUs par des bus divers. On commence maintenant à connecter ces ECUs au monde extérieur, comme le montrent les systèmes de navigation, de divertissement, ou de communication mobile embarqués, et les fonctionnalités Car2X. Des analyses récentes ont montré de graves vulnérabilités des ECUs et protocoles employés qui permettent à un attaquant de prendre le contrôle du véhicule. Comme les systèmes critiques du véhicule ne peuvent plus être complètement isolés, nous proposons une nouvelle approche pour sécuriser l'informatique embarquée combinant des mécanismes à différents niveaux de la pile protocolaire comme des environnements d'exécution. Nous décrivons nos protocoles sécurisés qui s'appuient sur une cryptographie efficace et intégrée au paradigme de communication dominant dans l'automobile et sur des modules de sécurité matériels fournissant un stockage sécurisé et un noyau de confiance. Nous décrivons aussi comment surveiller les flux d'information distribués dans le véhicule pour assurer une exécution conforme à la politique de sécurité des communications. L'instrumentation binaire du code, nécessaire pour l’industrialisation, est utilisée pour réaliser cette surveillance durant l’exécution (par data tainting) et entre ECUs (dans l’intergiciel). Nous évaluons la faisabilité de nos mécanismes pour sécuriser la communication sur le bus CAN aujourd'hui omniprésent dans les véhicules. Une preuve de concept montre aussi la faisabilité d'intégrer des mécanismes de sécurité dans des véhicules réels
Electronic equipment has become an integral part of a vehicle's network architecture, which consists of multiple buses and microcontrollers called Electronic Control Units (ECUs). These ECUs recently also connect to the outside world. Navigation and entertainment system, consumer devices, and Car2X functions are examples for this. Recent security analyses have shown severe vulnerabilities of exposed ECUs and protocols, which may make it possible for attackers to gain control over a vehicle. Given that car safety-critical systems can no longer be fully isolated from such third party devices and infotainment services, we propose a new approach to securing vehicular on-board systems that combines mechanisms at different layers of the communication stack and of the execution platforms. We describe our secure communication protocols, which are designed to provide strong cryptographic assurances together with an efficient implementation fitting the prevalent vehicular communication paradigms. They rely on hardware security modules providing secure storage and acting as root of trust. A distributed data flow tracking based approach is employed for checking code execution against a security policy describing authorized communication patterns. Binary instrumentation is used to track data flows throughout execution (taint engine) and also between control units (middleware), thus making it applicable to industrial applications. We evaluate the feasibility of our mechanisms to secure communication on the CAN bus, which is ubiquitously implemented in cars today. A proof of concept demonstrator also shows the feasibility of integrating security features into real vehicles

La présence de systèmes et d'objets embarqués communicants dans notre vie quotidienne nous a apporté une myriade d'avantages, allant de l'ajout de commodité et de divertissement à l'amélioration de la sûreté de nos déplacements et des soins de santé. Cependant, les défauts et les vulnérabilités de ces systèmes exposent leurs utilisateurs à des risques de dommages matériels, de pertes financières, et même des dommages corporels. Par exemple, certains véhicules commercialisés, qu'ils soient connectés ou conventionnels, ont déjà souffert d'une variété de défauts de conception entraînant des blessures et la mort. Dans le même temps, alors que les véhicules sont de plus en plus connectés (et dans un avenir proche, autonomes), les chercheurs ont démontré la possibilité de piratage de leurs capteurs ou de leurs systèmes de contrôle interne, y compris l'injection directe de messages sur le bus CAN.Pour assurer la sûreté des utilisateurs et des passants, il faut considérer plusieurs facteurs. La sûreté conventionnelle suggère qu'un système ne devrait pas contenir de défauts logiciels et matériels qui peuvent l'empêcher de fonctionner correctement. La "sûreté de la fonction attendue" consiste à éviter les situations que le système ou ses composants ne peuvent pas gérer, comme des conditions environnementales extrêmes. Le timing peut être critique pour certains systèmes en temps réel, car afin d'éviter des situations dangereuses, le système devra réagir à certains événements, comme l'évitement d'obstacles, dans un délai déterminé. Enfin, la sûreté d'un système dépend de sa sécurité. Un attaquant qui peut envoyer des commandes fausses ou modifier le logiciel du système peut changer son comportement et le mettre dans diverses situations dangereuses. Diverses contre-mesures de sécurité et de sûreté pour les systèmes embarqués, en particulier les véhicules connectés, ont été proposées. Pour mettre en oeuvre correctement ces contre-mesures, il faut analyser et vérifier que le système répond à toutes les exigences de sûreté, de sécurité et de performance, et les faire la plus tôt possible dans les premières phases de conception afin de réduire le temps de mise sur le marché, et éviter les reprises. Cette thèse s'intéresse à la sécurité et la sûreté des les systèmes embarqués, dans le contexte du véhicule autonome de l'Institut Vedecom. Parmi les approches proposées pour assurer la sûreté et la sécurité des les systèmes embarqués, l'ingénierie dirigée par modèle est l'une de ces approches qui couvre l'ensemble du processus de conception, depuis la définition des exigences, la conception du matériel et des logiciels, la simulation/vérification formelle et la génération du code final. Cette thèse propose une méthodologie de modélisation pour une conception sûre et sécurisée, basée sur la méthodologie SysML-Sec, qui implique de nouvelles méthodes de modélisation et de vérification. La modélisation de la sécurité est généralement effectuée dans les dernières phases de la conception. Cependant, la sécurité a un impact sur l'architecture/allocation; les décisions de partitionnement logiciel/matériel devraient être prises en fonction de la capacité de l'architecture à satisfaire aux exigences de sécurité. Cette thèse propose comment modéliser les mécanismes de sécurité et l'impact d'un attaquant dans la phase de partitionnement logiciel/matériel. Comme les protocoles de sécurité ont un impact négatif sur le performance d'un système, c'est important de mesurer l'utilisation des composants matériels et les temps de réponse du système. Des composants surchargés peuvent entraîner des performances imprévisibles et des retards indésirables. Cette thèse traite aussi des mesures de latence des événements critiques pour la sécurité, en se concentrant sur un exemple critique pour les véhicules autonomes : le freinage/réponse après la détection d'obstacles. Ainsi, nos contributions soutiennent la conception sûre et sécurisée des systèmes embarqués
The presence of communicating embedded systems/IoTs in our daily lives have brought a myriad of benefits, from adding conveniences and entertainment, to improving the safety of our commutes and health care. However, the flaws and vulnerabilities in these devices expose their users to risks of property damage, monetary losses, and personal injury. For example, consumer vehicles, both connected and conventional, have succumbed to a variety of design flaws resulting in injuries and death. At the same time, as vehicles are increasingly connected (and in the near future, autonomous), researchers have demonstrated possible hacks on their sensors or internal control systems, including direct injection of messages on the CAN bus.Ensuring the safety of users or bystanders involves considering multiple factors. Conventional safety suggests that a system should not contain software and hardware flaws which can prevent it from correct function. `Safety of the Intended Function' involves avoiding the situations which the system or its components cannot handle, such as adverse extreme environmental conditions. Timing can be critical for certain real-time systems, as the system will need to respond to certain events, such as obstacle avoidance, within a set period to avoid dangerous situations. Finally, the safety of a system depends on its security. An attacker who can send custom commands or modify the software of the system may change its behavior and send it into various unsafe situations. Various safety and security countermeasures for embedded systems, especially connected vehicles, have been proposed. To place these countermeasures correctly requires methods of analyzing and verifying that the system meets all safety, security, and performance requirements, preferably at the early design phases to minimize costly re-work after production. This thesis discusses the safety and security considerations for embedded systems, in the context of Institut Vedecom's autonomous vehicle. Among the proposed approaches to ensure safety and security in embedded systems, Model-Driven Engineering is one such approach that covers the full design process, from elicitation of requirements, design of hardware and software, simulation/formal verification, and final code generation. This thesis proposes a modeling-based methodology for safe and secure design, based on the SysML-Sec Methodology, which involve new modeling and verification methods. Security modeling is generally performed in the last phases of design. However, security impacts the early architecture/mapping and HW/SW partitioning decisions should be made based on the ability of the architecture to satisfy security requirements. This thesis proposes how to model the security mechanisms and the impact of an attacker as relevant to the HW/SW Partitioning phase. As security protocols negatively impact performance, it becomes important to measure both the usage of hardware components and response times of the system. Overcharged components can result in unpredictable performance and undesired delays. This thesis also discusses latency measurements of safety-critical events, focusing on one critical to autonomous vehicles: braking as after obstacle detection. Together, these additions support the safe and secure design of embedded systems

Au cours des dix dernières années, l’impact des questions de sécurité sur le développement et la mise en oeuvre des systèmes embarqués distribués n’a jamais cessé de croître. Ceci est principalement lié à l’interconnexion toujours plus importante de ces systèmes qui les rend vulnérables aux attaques, ainsi qu’à l’intérêt économique d’attaquer ces systèmes qui s’est simultanément accru. Dans un tel contexte, méthodologies et outils d’ingénierie des exigences de sécurité sont devenus indispensables pour prendre des décisions appropriées quant a` la sécurité, et ce le plus tôt possible. L’ingénierie des exigences devrait donc fournir une aide substantielle à l’explicitation et à la spécification des problèmes et solutions de sécurité des logiciels bien avant que concepteurs et développeurs ne soient engagés dans une implantation en particulier. Toutefois, et c’est particulièrement vrai dans les systèmes embarqués, les exigences de sécurité ne doivent pas être considérées seulement comme l’expression abstraite d’un ensemble de propriétés indépendamment de l’architecture système ou des menaces et des attaques qui pourraient y survenir. Nous estimons que cette considération est d’une importance capitale pour faire de l’ingénierie des exigences un guide et un moteur de la conception et de la mise en œuvre d’un système sécurisé. Notre approche s’appuie en particulier sur une approche centrée sur les connaissances de l’ingénierie des exigences de sécurité, applicable dès les premières phases de conception du système jusqu’à la mise en application des exigences de sécurité dans l’implantation
During the last ten years, the impact of security concerns on the development and exploration of distributed embedded systems never ceased to grow. This is mainly related to the fact that these systems are increasingly interconnected and thus vulnerable to attacks, and that the economic interest in attacking them has simultane- ously increased. In such a context, requirement engineering methodologies and tools have become necessary to take appropriate decisions regarding security early on. Security requirements engineering should thus strongly support the elicitation and specifica- tion of software security issues and solutions well before designers and developers are committed to a particular implementation. However, and that is especially true in embedded systems, security requirements should not be considered only as the abstract expression of a set of properties independently from the system architecture or from the threats and attacks that may occur. We believe this consideration is of utmost importance for security requirements engineering to be the driving force behind the design and implementation of a secure system. We thus describe in this thesis a security engineering requirement methodology depending upon a constant dialog between the design of system functions, the requirements that are attached to them, the design and development of the system architecture, and the assessment of the threats to system assets. Our approach in particular relies on a knowledge-centric approach to security requirement engineering, applicable from the early phases of system conceptualization to the enforcement of security requirements