Tesi sul tema "Attaque par injection de faute"

La cryptographie est le plus souvent contenue dans des cartes à puces ou des composants sécurisés, tels des coffres-forts. Ces cryptosystèmes embarqués sont démontrés sûrs de manière théorique. Par contre, ils interfèrent avec leur environnement proche et lointain. Ainsi les perturbations actives, appelées analyses en fautes, et les écoutes passives, dénommées analyses en canaux auxiliaires, se révèlent être de réelles menaces sur les implémentations logicielles et matérielles. Cette thèse considère l'injection de fautes et de logiciels sur les protocoles cryptographiques. Les analyses en fautes et en canaux auxiliaires fournissent des informations supplémentaires sur les implémentations matérielles et logicielles. Les états intermédiaires des calculs cryptographiques, les clefs secrètes ou privées ou les algorithmes propriétaires sont des cibles potentielles de ces analyses. Dans cette thèse, une analyse statistique issue de l'analyse en fautes sur la retenue d'une opération des schémas de Schnorr donne accès à la clef privée de signature ou de chiffrement asymétrique. Puis, une injection de code pour surveiller le cache mémoire d'un ordinateur lors d'un chiffrement par flot RC4 permet de retrouver la table de permutation secrète grâce à une analyse en temps sur les lignes de caches. Puis, deux analyses différentielles sur les tours internes de l'AES permettent d'obtenir la clef secrète pour les trois variantes de l'AES. Enfin, une nouvelle conséquence du modèle de faute qui passe outre une instruction permet de prendre le contrôle d'un hôte embarqué. Ces analyses ont démontré l'importance de protéger les implémentations cryptographiques par des contre-mesures adaptées face aux analyses en fautes et en canaux auxiliaires
The cryptography is very widespread inside smartcards or secure devices. These embedded cryptoSystems are proved theoretically secure. Nevertheless, they infère in far or near environment. So active perturbations, named fault analysis, or passive eavesdropping, called side-channel analysis, constitute real threats against hardware and software implementations. This thesis dealts with fault and software injections on cryptographie protocols. The fault analysis and side-channnel analysis give some more information on hardware and software implementations. The internai state of cryptographic computations, secret or private keys or private algorithms are all potential targets of this kind of analysis. In this thesis, a statistical analysis based on fault attack on the carry of Schnorr scheme operations gives access to private key in asymmetric signature or ciphering. Then, code injection in order to monitor memory cache of computer allows one to retrieve secret permutation table for stream cipher RC4, due to timing analysis on cache lines. Then, two differential analysis on internai rounds of AES enable to obtain secret key for the three different AES variants. Finally, a new consequence of fault model, which bypasses one instruction, allows one to take over a host. It is proved that it is important to protect cryptographic implémentations with proper countermeasures against fault analysis and side-channel analysis

Cette thèse est dédiée à l’étude des attaques par injection de faute électromagnétique dans les circuits intégrés sécurisés. De premiers travaux de modélisation électrique ont permis de simuler le couplage entre une sonde d’injection électromagnétique et les grilles d’alimentation et de masse du circuit afin de mieux comprendre les effets de l’impulsion EM. Cette modélisation a ensuite été appliquée à une simulation de circuit logique comprenant une bascule D et ses composants. Les résultats de ces simulations ont permis de déterminer les différentes fautes pouvant être induites par ce type d’attaque et d’en expliquer leur formation. Des mesures sur un circuit de test ont mis en évidence l’apparition de fautes de timing et de fautes d’échantillonnage, ainsi que de valider le modèle expérimentalement. Enfin, des contre-mesures issues du modèle développé sont proposées, afin d’augmenter la robustesse d’un circuit face à une attaque par injection de faute électromagnétique
This thesis is devoted to the study of electromagnetic fault injection attack on se-cure integrated circuits. Electrical modeling permits to simulate the coupling between an EM probe injection and the circuit supply and ground grids in order to understand the effect of the EM pulse. This modeling is then applied on a logic circuit simulation with a D flip-flop and its components. The simulation results were used to determine the various faults that could be induced by this attack and to explain their formation. Measurements on a test circuit revealed the appearance of timing and sampling faults and validated ex-perimentally the proposed model. Finally, some countermeasures based on the model are proposed in order to increase the robustness of a circuit against electromagnetic fault in-jection

Les circuits cryptographiques peuvent etre victimes d'attaques en fautes visant leur implementation materielle. elles consistent a creer des fautes intentionnelles lors des calculs cryptographiques afin d'en deduire des informations confidentielles. dans le contexte de la caracterisation securitaire des circuits, nous avons ete amenes a nous interroger sur la faisabilite experimentale de certains modeles theoriques d'attaques. nous avons utilise un banc laser comme moyen d'injection de fautes.dans un premier temps, nous avons effectue des attaques en fautes dfa par laser sur un microcontroleur implementant un algorithme de cryptographie aes. nous avons reussi a exclure l'effet logique des fautes ne correspondants pas aux modeles d'attaque par un jeu precis sur l'instant et le lieu d'injection. en outre, nous avons identifie de nouvelles attaques dfa plus elargies.ensuite, nous avons etendu nos recherches a la decouverte et la mise en place de nouveaux modeles d'attaques en fautes. grace a la precision obtenue lors de nos premiers travaux, nous avons developpe ces nouvelles attaques de modification de rondes.en conclusion, les travaux precedents constituent un avertissement sur la faisabilite averee des attaques par laser decrites dans la litterature scientifique. nos essais ont temoigne de la faisabilite toujours actuelle de la mise en place des attaques mono-octets ou mono-bits avec un faisceau de laser qui rencontre plusieurs octets ; et egalement reveler de nouvelles possibilites d'attaque. cela nous a amenes a etudier des contre-mesures adaptees.

Les attaques par injection de faute représentent une menace considérable pour les systèmes cyber-physiques. Dès lors, la protection contre ces attaques est une nécessité pour assurer un haut niveau de sécurité dans les applications sensibles comme l'internet des objets, les téléphones mobiles ou encore les voitures connectées. Élaborer des protections demande au préalable de bien comprendre les mécanismes d'attaque afin de proposer des contre-mesures efficaces. En matière de méthodes d'injection de faute, celle par interférence électromagnétique s'est vu être une source de perturbation efficace, en étant moins intrusive et avec une configuration à faible coût. Outre l'ajustement des paramètres d'injection, l’efficacité de cette méthode réside dans le choix de la sonde qui génère le rayonnement électromagnétique. L'état de l'art propose déjà des travaux par rapport à la conception et la caractérisation de ce type d'injecteur. Cependant, les résultats correspondant rapportent une différence entre ceux issus de la simulation et ceux à partir des tests expérimentaux.La première partie de la thèse aborde la question de l'efficacité des sondes magnétiques, en mettant l'accent sur l'implication de leurs propriétés. Afin de comparer les sondes, nous proposons d'observer l'impact des impulsions électromagnétiques au niveau logique, sur des cibles particulières de type FPGA.La caractérisation est aussi établie suivant la variation des paramètres d'injection comme l'amplitude et la polarité de l'impulsion, le nombre d'impulsions ou encore l'instant de l'injection. Ces résultats ont permis de converger sur les paramètres optimaux qui maximisent l'effet des sondes magnétiques. La caractérisation est par la suite étendue au niveau architecture sur des cibles de type microcontrôleur. L'objet de la seconde contribution consiste à présenter une démarche d'analyse, basée sur trois méthodes génériques, qui servent à déterminer les vulnérabilités des microcontrôleurs sur les instructions ou les données. Ces méthodes portent sur l'identification des éléments vulnérables au niveau architecture, l'analyse des modèles de faute au niveau bit, et enfin la définition de l'état des fautes, à savoir transitoire ou semi-persistent.Le travail de dresser les modèles de faute, ainsi que le nombre d'instructions ou données impactées, est un jalon important pour la conception de contre-mesures plus robustes. Concernant ce dernier point, des contre-mesures au niveau instruction ont été proposées contre les modèles de faute logiciels. Actuellement, le mécanisme le plus répandu se résume à appliquer une redondance dans l'exécution du programme à protéger. Toutefois, ce type de contre-mesure est formulé sur l'hypothèse qu'une injection de faute équivaut un seul saut d'instruction. Vis-à-vis de nos observations, ces contre-mesures basées sur de la duplication au niveau instructions présentent des vulnérabilités, que nous identifions, puis corrigeons
Fault injection attacks represent a considerable threat to cyber-physical systems.Therefore, protection against these attacks is required to ensure a high level of security in sensitive applications such as the Internet of Things, smart devices or connected cars.Developing protection requires a good understanding of the attack mechanisms in order to propose effective countermeasures.In terms of fault injection methods, electromagnetic interference has proven to be an effective source of disruption, being less intrusive and with a low cost setup.Besides the adjustment of the injection parameters, the effectiveness of this attack mean lies in the choice of the probe that generates the electromagnetic radiation.The state of the art already proposes many works related to the design and characterization of this type of injector.However, the corresponding results point out to some difference between those from simulation and those from experimental tests.The first part of the thesis addresses the question of the efficiency of magnetic probes, with a focus on their properties.In order to compare the probes, we propose to observe the impact of electromagnetic pulses at the logic level, on particular targets such as FPGA.The characterization is also established according to the variation of the injection parameters such as the amplitude and the polarity of the pulse, the number of pulses or the injection time.These results allowed to converge on the optimal parameters that maximize the effect of the magnetic probes.The characterization is then extended to the architecture level on microcontroller targets.The purpose of the second contribution is to present an analysis approach, based on three generic methods, which are used to determine the vulnerabilities of microcontrollers with respect to instructions or data.These methods concern the identification of vulnerable elements at the architecture level, the analysis of fault models at the bit level, and finally the definition of the temporal fault status, i.e. transient or semi-persistent.Establishing the fault patterns, as well as the number of the impacted instructions or data, is an important milestone for the design of more robust countermeasures.Regarding the latter, instruction-level countermeasures have been proposed against software fault models.Currently, the most common mechanism is to apply a redundant execution of the program to be protected.However, this type of countermeasure is based on the assumption that a fault injection imply a single instruction jump.With respect to our observations, these countermeasures based on instruction-level duplication present vulnerabilities, which we identify and then correct

Cette thèse se situe dans la cryptanalyse physique des algorithmes de chiffrement par blocs. Un algorithme cryptographique est conçu pour être mathématiquement robuste. Cependant, une fois implémenté dans un circuit, il est possible d'attaquer les failles de ce dernier. Par opposition à la cryptanalyse classique, on parle alors d'attaques physiques. Celles-ci ne permettent pas d'attaquer l'algorithme en soi, mais son implémentation matérielle. Il existe deux grandes familles d'attaques physiques différentes : les attaques par observation du circuit durant le chiffrement, et les attaques par injections de fautes, qui analysent l'effet d'une perturbation intentionnelle sur le fonctionnement du circuit. Les attaques physiques ont deux types d'objectifs : rechercher la clé ou faire de la rétro-conception (retrouver une partie d'un algorithme de chiffrement privé, ex : s-boxes modifiées). Bien que leurs principes semblent distincts, cette thèse présente un formalisme qui permet d'unifier toutes ces attaques. L'idée est de décrire les attaques physiques de façon similaire, afin de pouvoir les comparer. De plus, ce formalisme a permis de mettre en évidence de nouvelles attaques. Des travaux novateurs ayant pour objet de retrouver la clé de chiffrement d'un AES, uniquement avec la consommation de courant ont été menés. Une nouvelle attaque de type FIRE (Fault Injection for Reverse Engineering) pour retrouver les s-boxes d'un pseudo DES est également présentée dans la thèse. Ce travail a abouti sur une réflexion plus générale, sur les attaques par injections de fautes dans les schémas de Feistel classiques et généralisés
The main subject of this work is the physical cryptanalysis of blocks ciphers. Even if cryptographic algorithms are properly designed mathematically, they may be vulnerable to physical attacks. Physical attacks are mainly divided in two families: the side channel attacks which are based on the observation of the circuit behaviour during the computation, and the fault injection attacks which consist in disturbing the computation in order to alter the correct progress of the algorithm. These attacks are used to target the cipher key or to reverse engineer the algorithm. A formalism is proposed in order to describe the two families in a unified way. Unifying the different attacks under a same formalism allows to deal with them with common mathematical tools. Additionally, it allows a comparison between different attacks. Using this framework, a generic method to assess the vulnerabilities of generalized Feistel networks to differential fault analysis is presented. This work is furthermore extended to improve a FIRE attack on DES-like cryptosystems with customized s-boxes

Cette thèse s'intéresse à la sécurité des programmes embarqués face aux attaques par injection de fautes. La prolifération des composants embarqués et la simplicité de mise en œuvre des attaques rendent impérieuse l'élaboration de contre-mesures.Un modèle de fautes par l'expérimentation basé sur des attaques par impulsion électromagnétique a été élaboré. Les résultats expérimentaux ont montré que les fautes réalisées étaient dues à la corruption des transferts sur les bus entre la mémoire Flash et le pipeline du processeur. Ces fautes permettent de réaliser des remplacements ou des saut d'instructions ainsi que des modifications de données chargées depuis la mémoire Flash. Le remplacement d'une instruction par une autre bien spécifique est très difficile à contrôler ; par contre, le saut d'une instruction ciblée a été observé fréquemment, est plus facilement réalisable, et permet de nombreuses attaques simples. Une contre-mesure empêchant ces attaques par saut d'instruction, en remplaçant chaque instruction par une séquence d'instructions, a été construite et vérifiée formellement à l'aide d'outils de model-checking. Cette contre-mesure ne protège cependant pas les chargements de données depuis la mémoire Flash. Elle peut néanmoins être combinée avec une autre contre-mesure au niveau assembleur qui réalise une détection de fautes. Plusieurs expérimentations de ces contre-mesures ont été réalisées, sur des instructions isolées et sur des codes complexes issus d'une implémentation de FreeRTOS. La contre-mesure proposée se révèle être un très bon complément pour cette contre-mesure de détection et permet d'en corriger certains défauts
This thesis focuses on the security of embedded programs against fault injection attacks. Due to the spreadings of embedded systems in our common life, development of countermeasures is important.First, a fault model based on practical experiments with a pulsed electromagnetic fault injection technique has been built. The experimental results show that the injected faults were due to the corruption of the bus transfers between the Flash memory and the processor’s pipeline. Such faults enable to perform instruction replacements, instruction skips or to corrupt some data transfers from the Flash memory.Although replacing an instruction with another very specific one is very difficult to control, skipping an instruction seems much easier to perform in practice and has been observed very frequently. Furthermore many simple attacks can carried out with an instruction skip. A countermeasure that prevents such instruction skip attacks has been designed and formally verified with model-checking tool. The countermeasure replaces each instruction by a sequence of instructions. However, this countermeasure does not protect the data loads from the Flash memory. To do this, it can be combined with another assembly-level countermeasure that performs a fault detection. A first experimental test of these two countermeasures has been achieved, both on isolated instructions and complex codes from a FreeRTOS implementation. The proposed countermeasure appears to be a good complement for this detection countermeasure and allows to correct some of its flaws

Le domaine de la cryptanalyse a été marqué ces dernières années par la découverte de nouvelles classes d’attaques, dont font partie les attaques par injection de fautes. Le travail de thèse vise à développer des outils et des techniques destinés à rendre les circuits robustes face aux attaques par injection de fautes (Differential Fault Analysis : DFA). On s’intéresse en particulier à étudier la modélisation et la conception de circuits asynchrones résistants à ces attaques. Le travail porte dans un premier temps sur l'analyse de la sensibilité aux fautes de ces circuits, puis sur le développement de contre-mesures visant à améliorer leur résistance et leur tolérance. Les résultats sont évalués en pratique sur des circuits cryptographiques asynchrones par une méthode d'injection de fautes par laser. Ces résultats valident les analyses théoriques et les contre-mesures proposées, et confirment l'intérêt des circuits asynchrones pour la conception de systèmes sécurisés
New hardware cryptanalysis methods such as fault-based attacks have shown their efficiency to break cryptosystems. This work is focused on the development of new techniques and tools that enable the design of robust circuits against fault injection attacks (Differential Fault Analysis: DFA). The study and the design of resistant asynchronous circuits against these attacks are particularly addressed. We first specify a faults sensitivity evaluation of asynchronous circuits. Then, hardening techniques are proposed in order to improve circuits resistance and tolerance. Practical results are evaluated on asynchronous cryptographic circuits using a laser beam fault injection system. These results validate both the theoretical analysis and the hardening techniques, and confirm that asynchronous technology is an efficient solution to design secure systems

Cette thèse s'intéresse à la sécurité des programmes embarqués face aux attaques par injection de fautes. La prolifération des composants embarqués et la simplicité de mise en œuvre des attaques rendent impérieuse l'élaboration de contre-mesures.Un modèle de fautes par l'expérimentation basé sur des attaques par impulsion électromagnétique a été élaboré. Les résultats expérimentaux ont montré que les fautes réalisées étaient dues à la corruption des transferts sur les bus entre la mémoire Flash et le pipeline du processeur. Ces fautes permettent de réaliser des remplacements ou des saut d'instructions ainsi que des modifications de données chargées depuis la mémoire Flash. Le remplacement d'une instruction par une autre bien spécifique est très difficile à contrôler ; par contre, le saut d'une instruction ciblée a été observé fréquemment, est plus facilement réalisable, et permet de nombreuses attaques simples. Une contre-mesure empêchant ces attaques par saut d'instruction, en remplaçant chaque instruction par une séquence d'instructions, a été construite et vérifiée formellement à l'aide d'outils de model-checking. Cette contre-mesure ne protège cependant pas les chargements de données depuis la mémoire Flash. Elle peut néanmoins être combinée avec une autre contre-mesure au niveau assembleur qui réalise une détection de fautes. Plusieurs expérimentations de ces contre-mesures ont été réalisées, sur des instructions isolées et sur des codes complexes issus d'une implémentation de FreeRTOS. La contre-mesure proposée se révèle être un très bon complément pour cette contre-mesure de détection et permet d'en corriger certains défauts
This thesis focuses on the security of embedded programs against fault injection attacks. Due to the spreadings of embedded systems in our common life, development of countermeasures is important.First, a fault model based on practical experiments with a pulsed electromagnetic fault injection technique has been built. The experimental results show that the injected faults were due to the corruption of the bus transfers between the Flash memory and the processor’s pipeline. Such faults enable to perform instruction replacements, instruction skips or to corrupt some data transfers from the Flash memory.Although replacing an instruction with another very specific one is very difficult to control, skipping an instruction seems much easier to perform in practice and has been observed very frequently. Furthermore many simple attacks can carried out with an instruction skip. A countermeasure that prevents such instruction skip attacks has been designed and formally verified with model-checking tool. The countermeasure replaces each instruction by a sequence of instructions. However, this countermeasure does not protect the data loads from the Flash memory. To do this, it can be combined with another assembly-level countermeasure that performs a fault detection. A first experimental test of these two countermeasures has been achieved, both on isolated instructions and complex codes from a FreeRTOS implementation. The proposed countermeasure appears to be a good complement for this detection countermeasure and allows to correct some of its flaws

Les systèmes embarqués numériques sont omniprésents dans notre environnement quotidien. Ces systèmes embarqués, par leur caractère nomade, sont particulièrement sensibles aux attaques dites par injection de fautes. Par exemple, un attaquant peut injecter une perturbation physique dans un circuit électronique pour compromettre les fonctionnalités de sécurité du système. Originellement utilisées pour compromettre des systèmes cryptographiques, ces attaques permettent aujourd'hui de cibler n'importe quel type de système. Ces attaques permettent notamment de compromettre l'exécution d'un programme. Dans ce manuscrit, nous introduisons une nouvelle propriété de sécurité pour protéger l'exécution des instructions dans la microarchitecture: l'intégrité d'exécution. À partir de cette propriété, nous décrivons le concept de SCI-FI, une contre-mesure qui assure la protection de l'intégralité du chemin d'instructions en assurant l'intégrité du code, du flot de contrôle et d'exécution. Pour cela, nous construisons un vecteur de bits que nous appelons pipeline state à partir de signaux de contrôle dans la microarchitecture. À partir du pipeline state, deux modules s'articulent pour assurer les propriétés de sécurité. Le premier module calcule une signature à partir du pipeline state assurant ainsi l'intégrité du code, du flot de contrôle et une partie de l'intégrité d'exécution. Le second module complète l'intégrité d'exécution dans la microarchitecture en utilisant un mécanisme de redondance. Nous proposons également le support et la sécurisation des branchements indirects et des interruptions, nécessaires pour la conception de systèmes embarqués. Nous réalisons deux imPlémentations de SCI-FI, l'une construite sur une primitive cryptographique assurant un niveau de sécurité maximal et l'autre plus légère construite sur une fonction CRC privilégiant les performances. Pour cela, nous intégrons SCI-FI dans un processeur RISC-V 32 bits et modifions la chaîne de compilation LLVM. Nous réalisons une analyse de sécurité des différents éléments qui composent SCI-FI dans chaque implémentation. Nous montrons ainsi que SCI-FI, même avec l'implémentation privilégiant les performances, est robuste face à un attaquant disposant de moyens d'injection de fautes à l'état de l'art. Enfin, nous évaluons les performances de nos implémentations par une synthèse dans un flot de conception ASIC et par l'exécution en simulation de la suite de test Embench-IOT. Nous montrons ainsi que SCI-FI a des performances équivalentes aux contre-mesures de l'état de l'art tout en assurant une propriété de sécurité supplémentaire, l'intégrité d'exécution
Embedded systems are ubiquitous in our everyday life. Those embedded systems, by their nomadic nature, are particularly sensitive to the so-called fault injection attacks. For example, an attacker might inject a physical perturbation in an integrated circuit to compromise the security features of the system. Originally used to compromise cryptographic systems, those attacks can now target any kind of system. Notably, those attacks enable to compromise the execution of a program. In this manuscript, we introduce a new security property to protect the execution of instructions in the microarchitecture: execution integrity. From this property, we describe the concept of SCI-FI, a counter-measure that ensures the protection of the whole instruction path thanks to code, control-flow and execution integrity properties. We build SCI-FI around a bit vector that we call pipeline state and that is composed of microarchitecture control signals. Two modules interact around the pipeline state to ensure the security properties. The first module computes a signature from the pipeline state to ensure code and control-flow integrity and partially execution integrity. The second module completes the execution integrity support in the microarchitecture thanks to a redundancy mechanism. We also propose a solution for indirect branches and interrupts that are required to design embedded systems. We implement two versions of SCI-FI, one built around a cryptographic primitive which provides the best security level and another lighter one built around a CRC to maximize the performances. We integrate SCI-FI into a 32 bits RISC-V processor, and we modify the LLVM compiler. We analyze the security provided by our two implementations and we show that SCI-FI, even with the lightweight implementation, is robust against state-of-the-art attacker. Finally, we evaluate the performances of our implementations through an ASIC synthesis and through the execution of the benchmark suite Embench-IoT. We show that SCI-FI has comparable performances to state-of-the-art counter-measures while ensuring a new security property: execution integrity

Les circuits microélectroniques sécuritaires sont de plus en plus présents dans notre quotidien (carte à puce, carte SIM) et ils renferment des informations sensibles qu'il faut protéger (numéro de compte, clé de chiffrement, données personnelles).
Récemment, des attaques sur les algorithmes de cryptographie basées sur l'utilisation de fautes ont fait leur apparition. L'ajout d'une faute lors d'un calcul du circuit permet d'obtenir un résultat faux. À partir d'un certain nombre de résultats corrects et de résultats faux correspondants, il est possible d'obtenir des informations secrètes et dans certains cas des clés cryptographiques complètes.
Cependant, les perturbations physiques utilisées en pratique (impulsion laser, radiations, changement rapide de la tension d'alimentation) correspondent rarement aux types de fautes nécessaires pour réaliser ces attaques théoriques.
Dans ce travail, nous proposons une méthodologie pour tester les circuits face aux attaques par faute en utilisant de la simulation. L'utilisation de la simulation permet de tester le circuit avant la réalisation physique mais nécessite beaucoup de
temps. C'est pour cela que notre méthodologie aide l'utilisateur à choisir les fautes les plus importantes pour réduire significativement le temps de simulation.
L'outil et la méthodologie associée ont été testés sur un circuit cryptographique (AES) en utilisant un modèle de faute utilisant des délais. Nous avons notamment montré que l'utilisation de délais pour réaliser des fautes permet de générer des fautes correspondantes à des attaques connues.

La minimisation de la consommation d'énergie est primordiale lors de la conception de circuits. Cependant, il est nécessaire de s'assurer que cela ne compromette pas la sécurité des circuits. Et ce particulièrement face aux attaques physiques, les appareils mobiles étant des cibles idéales pour ces dernières.Ce travail vise à évaleur l'impact du body-biasing sur la résistance des circuits aux attaques laser. Ces techniques permettent d'ajuster dynamiquement le ratio consommation/performance d'un circuit en modifiant la tension de polarisation des caissons. Le manuscrit se découpe en quatre chapitres. Il commence par un état de l'art. Puis, le banc de test laser utilisé est présenté ainsi que le travail effectué pour permettre son automatisation et une première étude sur l'impact des impulsions laser de courte durée sur les mémoires SRAM. Le troisième chapitre rapporte les résultats d'une campagne d'injection de faute laser sur des mémoires soumises au body-biasing. Celle-ci permet de mettre en évidence une augmentation de la sensibilité au laser des circuits lorsque leur tension d'alimentation est réduite et que le Forward Body Biasing est utilisé. A partir de ces résultats, le dernier chapitre propose une méthode utilisant les capacités basse-consommation d'un microcontrôleur pour durcir un AES matériel. Ces travaux permettent ainsi de montrer que les techniques de réduction de la consommation peuvent constituer un risque sécuritaire potentiel si elle ne sont pas prises en compte correctement. Cependant, les capacités apportées au circuit dans ce cadre peuvent être détournées pour améliorer sa résistance aux attaques
The increasing complexity of integrated circuits and the explosion of the number of mobile devices today makes power consumption minimisation a priority in circuit design. However, it is necessary to make sure that it does not compromise the security of sensitive circuits. In this regard, physical attacks are a particular concern, as mobile devices are ideal targets for these attacks.This work aims at evaluating the impact of body-biasing on circuit vulnerability to laser attacks. These methods allow to dynamically adjust the performance/consumption ratio of a circuit by modifying the bias voltage of the body. It is divided in four chapters. It begins by introducing cryptography, physical attacks and low power design methods. Then the test bench used during this thesis is described, as well as the developpement work done in order to allow its automation. Then an initial study of the impact of short duration laser pulses on SRAM memories is presented. The third chapter reports the results of a laser fault injection campaign on memories subjected to Forward Body-Biasing. The results show a sensitivy increase of the circuits when supply voltage is lowered and FBB is activated. Based on these results, the last chapter introduces a method using the body-biasing and voltage scaling capabilities of a microcontroller to harden a hardware AES embedded on the latter.In conclusion, this works shows that low-power design methods can induce additional security risks if they are not carefully taken into account. However the additional capabilities of the circuits intended for power consumption reduction can be used in a different way to enhance device resillience to attacks

Au cours de cette thèse, nous nous sommes concentrés sur la sécurité des appareils mobiles. Pour cela, nous avons exploré les attaques physiques par perturbation (injection de fautes) ainsi que par observation, toutes deux basées sur les émissions électromagnétiques. Nous avons sélectionné deux types de cibles représentant deux catégories d'appareils mobiles. D'une part les microcontrôleurs qui équipent les appareils de type IoT. Et d'autre part les System-on-Chip (SoC) que l'on retrouve sur les smartphones. Nous nous sommes concentrés sur les puces conçue par ARM. Au travers d'attaques physiques nous avons voulu montrer qu'il était possible d'affecter la microarchitecture sur laquelle repose tout le fonctionnement de ces systèmes. Toutes les protections pouvant être mises en place par la suite au niveau logiciel, sont basées sur la microarchitecture et deviennent donc inopérantes lorsque l'on s'attaque à celle-ci. Pour les appareils de type IoT, nous avons mis en évidence la possibilité d'obtenir des informations ou un contrôle total de l'appareil à l'aide d'une injection de faute. Les injections de fautes sont dans ce cas les déclencheurs d'attaques logicielles et permettent d'outrepasser des protections logicielles. Pour les appareils de type smartphone, nous avons dans un premier temps été capable d'extraire des informations contenue à l'intérieur d'un SoC, à l'aide d'une écoute électromagnétique et de la caractérisation du comportement de celui-ci. Dans un deuxième temps, nous avons pu montrer qu'en cas de faute des comportements aléatoire peuvent se produire, tout en caractérisant ces comportements. Démontrant ainsi que sur des systèmes plus complexes, il est tout de même possible d'avoir recours à des attaques physiques. Enfin nous avons proposé des pistes d'améliorations en lien avec nos différentes constatations au cours de ces travaux
During this thesis, we focused on the security of mobile devices. To do this, we explored physical attacks by perturbation (fault injections) as well as by observation, both based on electromagnetic emissions. We selected two types of targets representing two categories of mobile devices. On the one hand, the microcontrollers that equip IoT devices. And on the other hand the System-on-Chip (SoC) that can be found on smartphones. We focused on the chips designed by ARM. Through physical attacks we wanted to show that it was possible to affect the microarchitecture on which the entire functioning of these systems is based. All the protections that can be implemented later at the software level are based on the microarchitecture and therefore become ineffective when it is attacked. For IoT devices, we have highlighted the possibility of obtaining information or total control of the device by means of a fault injection. In this case, fault injections are used as software attack triggers. They also allow software protection to be bypassed. For smartphone devices, we were initially able to extract information contained within a SoC, using electromagnetic listening and characterization of its behavior. In a second step, we were able to show that in the event of a fault, random behaviours can occur, we characterized and proposed explanations for these behaviours. Demonstrating and on systems more advanced than IoT, it is still possible to use physical attacks. Finally, we proposed possible improvements in relation to our various findings during this work

La minimisation de la consommation d'énergie est primordiale lors de la conception de circuits. Cependant, il est nécessaire de s'assurer que cela ne compromette pas la sécurité des circuits. Et ce particulièrement face aux attaques physiques, les appareils mobiles étant des cibles idéales pour ces dernières.Ce travail vise à évaleur l'impact du body-biasing sur la résistance des circuits aux attaques laser. Ces techniques permettent d'ajuster dynamiquement le ratio consommation/performance d'un circuit en modifiant la tension de polarisation des caissons. Le manuscrit se découpe en quatre chapitres. Il commence par un état de l'art. Puis, le banc de test laser utilisé est présenté ainsi que le travail effectué pour permettre son automatisation et une première étude sur l'impact des impulsions laser de courte durée sur les mémoires SRAM. Le troisième chapitre rapporte les résultats d'une campagne d'injection de faute laser sur des mémoires soumises au body-biasing. Celle-ci permet de mettre en évidence une augmentation de la sensibilité au laser des circuits lorsque leur tension d'alimentation est réduite et que le Forward Body Biasing est utilisé. A partir de ces résultats, le dernier chapitre propose une méthode utilisant les capacités basse-consommation d'un microcontrôleur pour durcir un AES matériel. Ces travaux permettent ainsi de montrer que les techniques de réduction de la consommation peuvent constituer un risque sécuritaire potentiel si elle ne sont pas prises en compte correctement. Cependant, les capacités apportées au circuit dans ce cadre peuvent être détournées pour améliorer sa résistance aux attaques
The increasing complexity of integrated circuits and the explosion of the number of mobile devices today makes power consumption minimisation a priority in circuit design. However, it is necessary to make sure that it does not compromise the security of sensitive circuits. In this regard, physical attacks are a particular concern, as mobile devices are ideal targets for these attacks.This work aims at evaluating the impact of body-biasing on circuit vulnerability to laser attacks. These methods allow to dynamically adjust the performance/consumption ratio of a circuit by modifying the bias voltage of the body. It is divided in four chapters. It begins by introducing cryptography, physical attacks and low power design methods. Then the test bench used during this thesis is described, as well as the developpement work done in order to allow its automation. Then an initial study of the impact of short duration laser pulses on SRAM memories is presented. The third chapter reports the results of a laser fault injection campaign on memories subjected to Forward Body-Biasing. The results show a sensitivy increase of the circuits when supply voltage is lowered and FBB is activated. Based on these results, the last chapter introduces a method using the body-biasing and voltage scaling capabilities of a microcontroller to harden a hardware AES embedded on the latter.In conclusion, this works shows that low-power design methods can induce additional security risks if they are not carefully taken into account. However the additional capabilities of the circuits intended for power consumption reduction can be used in a different way to enhance device resillience to attacks

Nous confions de plus en plus d'informations confidentielles à nos cartes à puces, comme les codes d'accès à notre banque, ou les clés de démarrage de la voiture. Ces circuits sécuritaires deviennent la cible de personnes malintentionnées qui cherchent à récupérer ces informations à leur profit. Ces attaquants utilisent des techniques de pointe comme la perturbation du fonctionnement des circuits, pour parvenir à leurs fins. Pour répondre aux besoins d'un marché très concurrentiel, les concepteurs doivent se protéger de ces perturbations tout en minimisant les coûts de conception. Ces contraintes imposent un compromis entre coût et efficacité, et justifient des techniques automatiques de conception adaptées. La première partie de ce mémoire est consacrée à l'étude des différentes sources de perturbation d'un circuit intégré, où nous mettons en évidence les similitudes entre une attaque laser et l'impact de particules. Nous montrons ensuite les spécificités de la conception de circuits sécuritaires et les différents types d’attaque à la disposition des pirates. La troisième partie est dédiée à la caractérisation des perturbations. Une méthodologie de conception est proposée et utilisée sur deux circuits, l'un mesurant la durée des perturbations d'un tir laser sur des portes logiques 130nm MOS, l'autre mesurant la sensibilité de portes aux neutrons. Nous finissons par une présentation des résultats obtenus sur le premier circuit après une campagne de tests
More and more sensitive data are stored inside smart cards, like bank account or car access codes. Recently, these security circuits have become a target for hackers who try to abuse these data. To achieve this goal, these attackers use the state of the art technologies like fault injection. To comply with the smart card market requirements, designers have to build protections against these attacks while keeping design costs as low as possible. These constraints should lead to a cost-efficient design and benefit from dedicated automatic protection methodologies. In this thesis we first study radiation sources able to tamper with silicon circuit behavior, and then we reveal similarities between laser attacks and radiation effects on a circuit. Then we show the specificities of secure circuit design and the spectrum of attacks used by hackers. The third part characterizes Single Event Transients (SET). A design methodology is proposed and implemented in two circuits, one dedicated to measuring laser-induced SET duration in logic gates, the other dedicated to measuring gate sensitivity to neutrons. This work concludes the review of results obtained after a laser shooting experiment campaign

Une classe d'attaque par canal auxiliaire particulièrement efficace est celle des attaques caches, qui exploitent une différence de temps entre les mémoires caches et la mémoire principale, qui sont considérées dans cette thèse d'un point de vue cryptographique. Un des objectifs de cette thèse est alors de mieux comprendre ces attaques. D'un autre côté, l'attaque Rowhammer est une attaque par faute qui induit des perturbations dans les condensateurs des modules DRAM dans le but de créer des erreurs appelées aussi fautes qui sont aussi considérées dans cette thèse d'un point de vue cryptographique. Cette thèse explore différentes fonctionnalités micro-architecturales en relation avec les attaques temporelles utilisant les mémoires caches et des attaques par fautes proches de l'attaque Rowhammer. Par la suite, cette thèse est ensuite divisée en deux parties.La première partie porte sur les attaques temporelles utilisant les mémoires caches. Cette partie décrit aussi les fonctionnalités matérielles et logicielles devant être considérées pour effectuer des mesures de temps précis. Ces fonctionnalités ont été utilisées pour améliorer une attaque existante. Un résultat de cette thèse fournit le lien entre des techniques générales d'attaques sur les mémoires caches et l'exploitation d'une vulnérabilité en détaillant une méthode de recherche de vulnérabilités dans un fichier binaire grâce à l'analyse dynamique. Dans la seconde partie de cette thèse, les attaques par fautes proches de l'attaque Rowhammer seront étudiées. Une méthode d'analyse logicielle est proposée. Finalement, une étude et une amélioration d'une attaque connue sous le nom de fautes persistantes sont proposées. Cette thèse se concentre essentiellement sur les améliorations d'attaques existantes et sur de nouvelles approches pour effectuer des analyses d'attaques temporelles utilisant les mémoires caches et des analyses des attaques en lien avec l'attaque Rowhammer dans l'objectif de répondre à un besoin réel des industriels de protéger leurs produits de ces attaques
A particularly efficient attack class is the class of cache timing attacks, that exploit the difference of time between cache memories and main memory, and are considered in this thesis with a cryptographic point of view. One aim of this thesis is to understand better such attacks.In other hand, the Rowhammer attack that induces perturbations in the capacitors of the DRAM modules in order to create an error called a fault that are also considered in this thesis with a cryptographic point of view.This thesis explores different microarchitectures features before exploring cache timing attacks and fault attack with the Rowhammer attack in mind. Based on the knowledge about these features, the thesis is split in two parts.The first part is about cache timing attacks. It gathers useful hardware and software features that should be considered to perform precise timing measurements. Those considerations were used to improve an existing attack on ECDSA on a known vulnerability.One result of this thesis will fill the gap between the general techniques used for the attacks and the exploitation of a vulnerability by searching such vulnerability in a binary by using dynamic analysis.In the second part of this thesis, fault attacks closed of the Rowhammer attack are considered. Like the first part, a way to perform software analysis is given.Eventually, in the second part a result about a so called persistent fault attack is improved.This thesis mainly focuses on improving existing attacks and on new ways to perform software analysis of cache timing attacks and attacks related to the Rowhammer attack in order to fill the needs of manufacturers to protect theirs products against those attacks

Les applications grand public comme la téléphonie mobile ou les cartes bancaires manipulent des données confidentielles. A ce titre, les circuits qui les composent font de plus en plus l'objet d'attaques qui présentent des menaces pour la sécurité des données. Les concepteurs de systèmes sur puce (SoC) doivent donc proposer des solutions sécurisées, tout en limitant le coût et la complexité globale des applications. L’analyse des attaques existantes sur les circuits numériques nous a orienté vers celles se basant sur la tension d'alimentation, dans des nœuds technologiques avancés.Dans un premier temps, nous avons déterminé la signature électrique d’un circuit en phase de conception. Pour cela, un modèle électrique a été proposé, prenant en compte la consommation en courant et la capacité de la grille d'alimentation. L'extraction de ces paramètres ainsi que l'évaluation du modèle sont présentées. L’utilisation de ce modèle a permis de mesurer la vulnérabilité d’un circuit mais aussi d’évaluer quantitativement des contremesures, notamment celle utilisant des capacités de découplage. Ensuite, l’étude se consacre à l’injection de fautes par impulsions de tension d’alimentation. Les mécanismes d’injection de fautes sur des circuits numériques ont été étudiés. Dès lors, des solutions de détection d’attaques ont été proposées et évaluées à la fois en simulation et par des tests électriques sur circuit. Les résultats ont permis de confirmer les analyses théoriques et la méthodologie utilisée.Ce travail a ainsi montré la faisabilité de solutions à bas coût contre les attaques actives et passives en tension, utilisables dans le cadre d’un développement industriel de produits
General use products as mobile phones or smartcards manipulate confidential data. As such, the circuits composing them are more and more prone to physical attacks, which involve a threat for their security. As a result, SoC designers have to develop efficient countermeasures without increasing overall cost and complexity of the final application. The analysis of existing attacks on digital circuits leads to consider power attacks, in advanced technology nodes.First of all, the power signature of a circuit was determined at design time. To do so, an electrical model was suggested based on the current consumption and the overall power grid capacitance. The methodology to extract these parameters, as well as the evaluation of the model are presented. This model allows designers to anticipate information leakage at design time and to quantify the protection of countermeasures, as the use of integrated decoupling capacitors. Then, the study was dedicated to power glitch attacks. The different fault injection mechanisms were analyzed in details. From then on, a set of detection circuits were suggested and evaluated at design time and on silicon by electrical tests. Both the theoretical analysis and the given methodology were confirmed by the test campaigns.This work demonstrated that the design of low-cost solutions against passive and active power attacks can be achieved, and used in a large scale product development

Le cloud computing est un modèle de délivrance à la demande d’un ensemble de ressources informatiques distantes, partagées et configurables. Ces ressources, détenues par un fournisseur de service cloud, sont mutualisées grâce à la virtualisation de serveurs qu’elles composent et sont mises à disposition d’utilisateurs sous forme de services disponibles à la demande. Ces services peuvent être aussi variés que des applications, des plateformes de développement ou bien des infrastructures. Afin de répondre à leurs engagements de niveau de service auprès des utilisateurs, les fournisseurs de cloud se doivent de prendre en compte des exigences différentes de sûreté de fonctionnement. Assurer ces exigences pour des services différents et pour des utilisateurs aux demandes hétérogènes représente un défi pour les fournisseurs, notamment de part leur engagement de service à la demande. Ce défi est d’autant plus important que les utilisateurs demandent à ce que les services rendus soient au moins aussi sûrs de fonctionnement que ceux d’applications traditionnelles. Nos travaux traitent particulièrement de la détection d’anomalies dans les services cloud de type SaaS et PaaS. Les différents types d’anomalie qu’il est possible de détecter sont les erreurs, les symptômes préliminaires de violations de service et les violations de service. Nous nous sommes fixé quatre critères principaux pour la détection d’anomalies dans ces services : i) elle doit s’adapter aux changements de charge de travail et reconfiguration de services ; ii) elle doit se faire en ligne, iii) de manière automatique, iv) et avec un effort de configuration minimum en utilisant possiblement la même technique quel que soit le type de service. Dans nos travaux, nous avons proposé une stratégie de détection qui repose sur le traitement de compteurs de performance et sur des techniques d’apprentissage automatique. La détection utilise les données de performance système collectées en ligne à partir du système d’exploitation hôte ou bien via les hyperviseurs déployés dans le cloud. Concernant le traitement des ces données, nous avons étudié trois types de technique d’apprentissage : supervisé, non supervisé et hybride. Une nouvelle technique de détection reposant sur un algorithme de clustering est de plus proposée. Elle permet de prendre en compte l’évolution de comportement d’un système aussi dynamique qu’un service cloud. Une plateforme de type cloud a été déployée afin d’évaluer les performances de détection de notre stratégie. Un outil d’injection de faute a également été développé dans le but de cette évaluation ainsi que dans le but de collecter des jeux de données pour l’entraînement des modèles d’apprentissage. L’évaluation a été appliquée à deux cas d’étude : un système de gestion de base de données (MongoDB) et une fonction réseau virtualisée. Les résultats obtenus à partir d’analyses de sensibilité, montrent qu’il est possible d’obtenir de très bonnes performances de détection pour les trois types d’anomalies, tout en donnant les contextes adéquats pour la généralisation de ces résultats
Nowadays, the development of virtualization technologies as well as the development of the Internet contributed to the rise of the cloud computing model. A cloud computing enables the delivery of configurable computing resources while enabling convenient, on-demand network access to these resources. Resources hosted by a provider can be applications, development platforms or infrastructures. Over the past few years, computing systems are characterized by high development speed, parallelism, and the diversity of task to be handled by applications and services. In order to satisfy their Service Level Agreements (SLA) drawn up with users, cloud providers have to handle stringent dependability demands. Ensuring these demands while delivering various services makes clouds dependability a challenging task, especially because providers need to make their services available on demand. This task is all the more challenging that users expect cloud services to be at least as dependable as traditional computing systems. In this manuscript, we address the problem of anomaly detection in cloud services. A detection strategy for clouds should rely on several principal criteria. In particular it should adapt to workload changes and reconfigurations, and at the same time require short configurations durations and adapt to several types of services. Also, it should be performed online and automatic. Finally, such a strategy needs to tackle the detection of different types of anomalies namely errors, preliminary symptoms of SLA violation and SLA violations. We propose a new detection strategy based on system monitoring data. The data is collected online either from the service, or the underlying hypervisor(s) hosting the service. The strategy makes use of machine learning algorithms to classify anomalous behaviors of the service. Three techniques are used, using respectively algorithms with supervised learning, unsupervised learning or using a technique exploiting both types of learning. A new anomaly detection technique is developed based on online clustering, and allowing to handle possible changes in a service behavior. A cloud platform was deployed so as to evaluate the detection performances of our strategy. Moreover a fault injection tool was developed for the sake of two goals : the collection of service observations with anomalies so as to train detection models, and the evaluation of the strategy in presence of anomalies. The evaluation was applied to two case studies : a database management system and a virtual network function. Sensitivity analyzes show that detection performances of our strategy are high for the three anomaly types. The context for the generalization of the results is also discussed

Les injections de fautes laser induisent des fautes transitoires dans les circuits intégrés en générant localement des courants transitoires qui inversent temporairement les sorties des portes illuminées. L'injection de fautes laser peut être anticipée ou étudiée en utilisant des outils de simulation à différents niveaux d'abstraction: physique, électrique ou logique. Au niveau électrique, le modèle classique d'injection de fautes laser repose sur l'ajout de sources de courant aux différents nœuds sensibles des transistors MOS. Cependant, ce modèle ne prend pas en compte les grands composants de courant transitoire également induits entre le VDD et le GND des circuits intégrés conçus avec des technologies CMOS avancées. Ces courants de court-circuit provoquent un significatif IR drop qui contribue au processus d'injection de faute. Cette thèse décrit notre recherche sur l'évaluation de cette contribution. Il montre par des simulations et des expériences que lors de campagnes d'injection de fautes laser, le IR drop induite par laser est toujours présente lorsque l'on considère des circuits conçus dans des technologies submicroniques profondes. Il introduit un modèle de faute électrique amélioré prenant en compte le IR drop induite par laser. Il propose également une méthodologie qui utilise des outils CAD standard pour permettre l'utilisation du modèle électrique amélioré pour simuler des fautes induits par laser au niveau électrique dans des circuits à grande échelle. Sur la base de simulations et de résultats expérimentaux supplémentaires, nous avons constaté que, selon les caractéristiques de l'impulsion laser, le nombre de fautes injectées peut être sous-estimé par un facteur aussi grand que 3 si le IR drop induite par laser est ignorée. Cela pourrait conduire à des estimations incorrectes du seuil d'injection des fautes, ce qui est particulièrement pertinent pour la conception de techniques de contre-mesures pour les systèmes intégrés sécurisés. De plus, les résultats expérimentaux et de simulation montrent que même si l'injection de fautes laser est une technique d'injection de fautes très locale et précise, les IR drops induites ont un effet global se propageant à travers le réseau d'alimentation. Cela donne des preuves expérimentales que l'effet de l'illumination laser n'est pas aussi local que d'habitude
Laser fault injections induce transient faults into ICs by locally generating transient currents that temporarily flip the outputs of the illuminated gates. Laser fault injection can be anticipated or studied by using simulation tools at different abstraction levels: physical, electrical or logical. At the electrical level, the classical laser-fault injection model is based on the addition of current sources to the various sensitive nodes of MOS transistors. However, this model does not take into account the large transient current components also induced between the VDD and GND of ICs designed with advanced CMOS technologies. These short-circuit currents provoke a significant IR drop that contribute to the fault injection process. This thesis describes our research on the assessment of this contribution. It shows by simulation and experiments that during laser fault injection campaigns, laser-induced IR drop is always present when considering circuits designed in deep submicron technologies. It introduces an enhanced electrical fault model taking the laser-induced IR-drop into account. It also proposes a methodology that uses standard CAD tools to allow the use of the enhanced electrical model to simulate laser-induced faults at the electrical level in large-scale circuits. On the basis of further simulations and experimental results, we found that, depending on the laser pulse characteristics, the number of injected faults may be underestimated by a factor as large as 3 if the laser-induced IR-drop is ignored. This could lead to incorrect estimations of the fault injection threshold, which is especially relevant to the design of countermeasure techniques for secure integrated systems. Furthermore, experimental and simulation results show that even though laser fault injection is a very local and accurate fault injection technique, the induced IR drops have a global effect spreading through the supply network. This gives experimental evidence that the effect of laser illumination is not as local as usually considered

Cette thèse se situe à l'intersection de la cryptographie et de l'arithmétique des ordinateurs. Elle traite de l'amélioration de primitives cryptographiques asymétriques en termes d'accélération des calculs et de protection face aux attaques par fautes par le biais particulier de l'utilisation des systèmes de représentation des nombres par les restes (RNS). Afin de contribuer à la sécurisation de la multiplication modulaire, opération centrale en cryptographie asymétrique, un nouvel algorithme de réduction modulaire doté d'une capacité de détection de faute est présenté. Une preuve formelle garantit la détection des fautes sur un ou plusieurs résidus pouvant apparaître au cours d'une réduction. De plus, le principe de cet algorithme est généralisé au cas d'une arithmétique dans un corps fini non premier. Ensuite, les RNS sont exploités dans le domaine de la cryptographie sur les réseaux euclidiens. L'objectif est d'importer dans ce domaine certains avantages des systèmes de représentation par les restes dont l'intérêt a déjà été montré pour une arithmétique sur GF(p) notamment. Le premier résultat obtenu est une version en représentation hybride RNS-MRS de l'algorithme du « round-off » de Babai. Puis une technique d'accélération est introduite, permettant d'aboutir dans certains cas à un algorithme entièrement RNS pour le calcul d'un vecteur proche
This thesis is at the crossroads between cryptography and computer arithmetic. It deals with enhancement of cryptographic primitives with regard to computation acceleration and protection against fault injections through the use of residue number systems (RNS) and their associated arithmetic. So as to contribute to secure the modular multiplication, which is a core operation for many asymmetric cryptographic primitives, a new modular reduction algorithm supplied with fault detection capability is presented. A formal proof guarantees that faults affecting one or more residues during a modular reduction are well detected. Furthermore, this approach is generalized to an arithmetic dedicated to non-prime finite fields Fps . Afterwards, RNS are used in lattice-based cryptography area. The aim is to exploit acceleration properties enabled by RNS, as it is widely done for finite field arithmetic. As first result, a new version of Babai’s round-off algorithm based on hybrid RNS-MRS representation is presented. Then, a new and specific acceleration technique enables to create a full RNS algorithm computing a close lattice vector

Si un algorithme cryptographique peut être mathématiquement sûr, son implémentation matérielle quant à elle est souvent la cible de nombreuses attaques. Cette thèse porte sur l'étude des mécanismes d'injection de fautes pouvant permettre une cryptanalyse physique des circuits sécurisés et sur la conception de contre-mesures matérielles pour empêcher ces attaques.Dans un premier temps une mise en pratique d'injection de fautes sur une implémentation matérielle de l'AES a été menée à l'aide d'attaques physiques : variations statiques et dynamiques de la tension, de la fréquence, de la température et de l'environnement électromagnétique. La comparaison des fautes injectées nous a permis de conclure que ces différentes attaques partagent un mécanisme d'injection identique : la violation de contraintes temporelles.La conception et l'implémentation d'un voltmètre intégré nous a permis d'observer les perturbations internes dues aux attaques par variations transitoires de la tension. Ces observations ont permis une meilleure compréhension du mécanisme d'injection de fautes associé et une amélioration de la précision temporelle de ces injections.Ensuite, un détecteur a été implémenté et son efficacité face à des attaques électromagnétiques a été étudiée. Du fait de la localité spatiale de ces attaques, la zone effectivement protégée par le détecteur est limitée. Une implémentation de plusieurs détecteurs a été suggérée.Enfin, un nouveau chemin d'attaque exploitant la sensibilité du détecteur a été proposé et validé expérimentalement
Even if a cryptographic algortihm could be mathematically secure, its physical implementation could be targeted by several attacks. This thesis focus on time-based fault injection mechanisms used for physical cryptanalysis of secure circuits.First, practical fault injections have been performed on a hardware AES implementation using non-invasive attacks : static and dynamic variations of the power supply voltage, frequency, temperature and electromagnetic environement. Then a comparison of these obtained faults led us to conclude that these different injection means share a common injection mecanism : timing constraints violations.An on-chip voltmeter has been designed and implemented to observe internal disturbences due to voltage glitchs. These observations led to a better understanding of the fault injection mecanism and to a better temporal accuracy.Then, a contermeasure has been designed and its effectiveness against electromagnetic attacks has been studied. Because of the electromagnetic pulses local effects, the aera effectively protected by the countermeasure is limited. The implementation of several countermeasures has been considered in order to extend the protected aera.Finally, a new attack path using the countermeasure detection threshold variations has been proposed and experimentaly validated. This attack exploit the electrical coupling between the AES and the coutnermeasure. Because of this coupling the countermeasure sensitivity variations are related to data handled by the AES

Les travaux présentés dans ce mémoire concernent la modélisation des comportements erronés du logiciel et la validation des tests. L'absence d'un modèle des fautes logicielles pose le problème de la confiance que l'on peut accorder aux tests par rapport à l'élimination des fautes dans un programme. Cette confiance serait accrue si on pouvait mesurer la capacité de jeux de tests à révéler des fautes injectées dans un programme. Cependant, les méthodes d'injection de fautes, telles que l'analyse de mutation, suscitent des critiques liées à la représentativité des fautes injectées vis-à-vis de fautes réelles (c'est-à-dire effectivement introduites au cours du développement du logiciel). S'il paraît illusoire de démontrer la représentativité des fautes artificielles, étant donné l'absence d'un modèle de fautes complet et parfait, il nous paraît intéressant d'évaluer la représentativité des erreurs générées par des fautes artificielles vis-à-vis des erreurs dues à des fautes réelles. Les études expérimentales que nous avons menées, portent sur deux programmes séquentiels (appelés ETUD et LOCALES), issus d'applications critiques du nucléaire. Elles ont eu pour objet d'analyser les erreurs générées au cours de l'exécution du logiciel. Nous avons ainsi pu comparer, pour chacun de ces deux programmes, les erreurs et les comportements erronés générés, d'une part par des fautes réelles et, d'autre part par des fautes artificielles (de type mutations). Nos résultats expérimentaux permettent de montrer que les erreurs et les comportements erronés produits par des mutations peuvent être représentatifs de ceux générés par de fautes réelles. La première série d'expériences, sur le programme ETUD, a permis de définir un modèle des comportements erronés, à partir d'une représentation de l'état interne d'un programme en cours d'exécution. Ce modèle permet d'expliquer, par l'analyse des dépendances du programme, les mécanismes de création, d'annulation et de masquage d'erreurs. La deuxième série d'expériences, sur le programme LOCALES, permet d'expliquer les similitudes observées entre divers comportements erronés en appliquant le modèle proposé. En conclusion, la bonne représentativité des erreurs générées par les mutations nous permet de réhabiliter l'analyse de mutation en tant que technique de validation des tests du logiciel et d'en proposer des applications à des fins industrielles.

Cette thèse se situe à l'intersection de la cryptographie et de l'arithmétique des ordinateurs. Elle traite de l'amélioration de primitives cryptographiques asymétriques en termes d'accélération des calculs et de protection face aux attaques par fautes par le biais particulier de l'utilisation des systèmes de représentation des nombres par les restes (RNS). Afin de contribuer à la sécurisation de la multiplication modulaire, opération centrale en cryptographie asymétrique, un nouvel algorithme de réduction modulaire doté d'une capacité de détection de faute est présenté. Une preuve formelle garantit la détection des fautes sur un ou plusieurs résidus pouvant apparaître au cours d'une réduction. De plus, le principe de cet algorithme est généralisé au cas d'une arithmétique dans un corps fini non premier. Ensuite, les RNS sont exploités dans le domaine de la cryptographie sur les réseaux euclidiens. L'objectif est d'importer dans ce domaine certains avantages des systèmes de représentation par les restes dont l'intérêt a déjà été montré pour une arithmétique sur GF(p) notamment. Le premier résultat obtenu est une version en représentation hybride RNS-MRS de l'algorithme du « round-off » de Babai. Puis une technique d'accélération est introduite, permettant d'aboutir dans certains cas à un algorithme entièrement RNS pour le calcul d'un vecteur proche
This thesis is at the crossroads between cryptography and computer arithmetic. It deals with enhancement of cryptographic primitives with regard to computation acceleration and protection against fault injections through the use of residue number systems (RNS) and their associated arithmetic. So as to contribute to secure the modular multiplication, which is a core operation for many asymmetric cryptographic primitives, a new modular reduction algorithm supplied with fault detection capability is presented. A formal proof guarantees that faults affecting one or more residues during a modular reduction are well detected. Furthermore, this approach is generalized to an arithmetic dedicated to non-prime finite fields Fps . Afterwards, RNS are used in lattice-based cryptography area. The aim is to exploit acceleration properties enabled by RNS, as it is widely done for finite field arithmetic. As first result, a new version of Babai’s round-off algorithm based on hybrid RNS-MRS representation is presented. Then, a new and specific acceleration technique enables to create a full RNS algorithm computing a close lattice vector

Le domaine de la cryptanalyse a été marqué ces dernières années par la découverte de nouvelles classes d'attaques, dont font partie les attaques par injection de fautes. Le travail de thèse vise à développer des outils et des techniques destinés à rendre les circuits robustes face aux attaques par injection de fautes (Differential Fault Analysis : DFA). On s'intéresse en particulier à étudier la modélisation et la conception de circuits asynchrones résistants à ces attaques. Le travail porte dans un premier temps sur l'analyse de la sensibilité aux fautes de ces circuits, puis sur le développement de contre-mesures visant à améliorer leur résistance et leur tolérance. Les résultats sont évalués en pratique sur des circuits cryptographiques asynchrones par une méthode d'injection de fautes par laser. Ces résultats valident les analyses théoriques et les contre-mesures proposées, et confirment l'intérêt des circuits asynchrones pour la conception de systèmes sécurisés.