Le programme de la journée est aménagé pour maximiser les interactions entre les participants. Les présentations de chaque session auront vocation à être ouvertes aux interactions avec l’assemblée, et un temps de questions et de discussions sera réservé à la fin de chaque session.

Les horaires de début et de fin de journée sont calées pour être compatibles avec les TGV à l’arrivée et au départ de la gare de Valence TGV.

Des navettes seront affrétées en début et en fin de journée pour les transferts vers la gare de Valence TGV.

L’accueil café à partir de 9h se fera dans la salle C004.

09h00 Ouverture de la salle - Accueil café en salle C004
10h00 Ouverture du flux zoom pour participation à distance
10h10 Vincent Beroulle Ouverture de la journée
10h20 Session 1 Attaques en fautes sur implémentations logicielles
Jean-Roch Coulon - présentation invitée Attaque en fautes du processeur RISC-V CVA6 [slides]
Vincent Giraud L’attaque en faute : la bête noire des boîtes blanches [slides]
11h10 Pause café - session posters
11h50 Session 2 Modélisation de fautes
Simon Tollec Exploration of Fault Effects on Formal RISC-V Microarchitecture Models [slides]
Ihab Al Shaer Variable-Length Instruction Set: Feature or Bug? [slides]
12h40 Déjeuner - session posters
14h00 Session 3 Attaques en fautes avancées
Simon Pontié Méthode combinée d’Injection de faute et d’analyse Side-Channel temps réel pour contourner le Secure-Boot d’Android [slides]
Mathieu Dumont Caractérisation de l’intégrité de réseaux de neurones embarqués face aux attaques par injection de fautes Laser [slides]
Laurent Maingault Faulting real-world devices with X-Rays beams [slides]
15h15 Pause café - session posters
15h50 Session 4 Outils d’injection de fautes
Paolo Maistri - présentation invitée Toward a Low-Cost Methodology for EM Fault Emulation on FPGA [slides]
Noémie Beringuier-Boher A Fast Characterization Method for Semi-invasive Fault Injection Attacks [slides]
16h40 Comité d’organisation Clôture de la journée
17h00 Fin de la journée

Nous proposons aux participants de JAIF de poursuivre la journée avec l’ouverture de CSAW, puis un social event à proximité de l’ESISAR.

18h00 Conférences CSAW
19h30 Welcome reception CSAW - Cocktail
21h00 Social Event

Sessions posters

Ronan Lashermes − INRIA : Traitor: pertubation d’horloge pour l’injection de fautes nombreuses par défaillance de l’échantillonage

Kevin Hector − CEA-Leti : A Closer Look at Evaluating theBit-Flip Attack Against Deep Neural Networks

Paul Grandamme – Laboratoire Hubert Curien : Attaque laser de primitives de sécurité non alimentées

Nasr-Eddine Ouldei Tebina – TIMA : X-Ray Fault Injection: Reviewing Defensive Approaches from a Security Perspective

tbd – Eshard : Fault Injection Attack on Modern SoCs

Simon Tollec - CEA-List : Exploration of Fault Effects on Formal RISC-V Microarchitecture Models

Attaque en fautes du processeur RISC-V CVA6

Jean-Roch Coulon (INVIA / Thales DIS)

Résumé. Après une rapide présentation de l’architecture du processeur RISC-V open source CVA6, nous aborderons sa vulnérabilité aux injections de faute « théorique » et résultant d’injection de fautes par simulation digitale. Nous discuterons ensuite des problématique liées à la sécurité d’implémentation de processeurs open source, et ferons part de notre expérience en tant que division habituée à sécuriser des processeurs.

Bio. Jean Roch Coulon est architecte RISC-V au sein du groupe Thales en France, il a ajouté de la sécurité dans les implémentations ARM, SPARC, propriétaires et maintenant RISC-V. Expert en processeur, chaîne d’outils, sécurité, cryptographie ou densité de taille de code. Ses principales contributions à RISC-V sont la version 32 bits de CVA6 (CV32A6), l’implémentation et la vérification de CV-X-IF. Il est un committer du groupe OpenHW, révise et fusionne les pull requests CVA6 et CORE-V-VERIF.

L’attaque en faute : la bête noire des boîtes blanches

Vincent Giraud (ENS, Ingenico), Guillaume Bouffard (ENS, ANSSI)

Résumé. Pour réaliser des opérations sensibles, il est courant d’utiliser des composants sécurisés : grâce à leurs diverses protections, ils peuvent faire office de racine de confiance. Cependant, on peut être contraint d’utiliser des solutions alternatives dans la mesure où ils ne sont pas disponibles dans tous les systèmes d’information. Les industriels déploient alors une approche basée sur l’obscurcissement logiciel, moins sécurisée que celles basées sur un composant matériel. La cryptographie en boîte blanche en fait partie : chaque étape intermédiaire est précalculée et masquée, en conservant malgré tout la sémantique globale. Bien qu’elle soit purement logicielle, des attaques matérielles ont pu y être transposées. En instrumentant un programme, on peut reproduire des attaques par perturbation en y créant des états inattendus.

Les besoins de l’industrie tendant à se diversifier, la recherche met aujourd’hui l’accent sur des fonctionnalités telles que la résistance aux attaques quantiques et les possibilités asymétriques des schémas cryptographiques. Ces aspects font ressurgir des spécifications comme celle de McEliece. Dans nos travaux, nous étudions la sécurité d’une boîte blanche cryptographique implémentant l’algorithme McEliece et sa résistance aux attaques dites «matérielles». Dans cet exposé, nous questionnerons également l’applicabilité dans le monde logiciel des contre-mesures existantes utilisées dans les composants matériels.

Bio. Vincent Giraud est doctorant à l’École Normale Supérieure (ENS) en sécurité informatique, au service d’Ingenico. Après des études à l’Institut National des Sciences Appliquées (INSA) de Rennes et au Rochester Institute of Technology (RIT), il rejoint l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour un stage de fin d’étude sous la tutelle de Guillaume Bouffard, basé sur la sécurité applicative des cartes à puce. Il réalise actuellement sa thèse sur la sécurisation des processus dans des environnements non contrôlés chez Ingenico.

Exploration of Fault Effects on Formal RISC-V Microarchitecture Models

Simon Tollec (CEA-List), Mihail Asavoae (CEA-List), Damien Couroussé (CEA-List), Karine Heydemann (Sorbonne Univ., INVIA / Thales DIS), Mathieu Jan (CEA-List)

résumé. Understanding what happens in a circuit after a fault injection and analyzing the consequences is a long and meticulous process. Usually, we cannot access the microarchitecture’s internal state, and fault models at the ISA level are used since we can only retrieve limited information like the Memory or the Register File contents. However, recent work has highlighted that some observed effects are difficult to explain or to model at the ISA level without any knowledge of the microarchitecture. The presentation will introduce a formal verification-based workflow for modeling software/hardware systems in order to explore the effects of fault injections and evaluate the system’s robustness to these attacks. We illustrate this workflow on a PIN authentication code embedding different software countermeasures and on two implementations of the RISC-V CV32E40P core: the original implementation and a protected one. We expose various vulnerabilities and also confirm the effectiveness of the proposed countermeasures.

bio. Simon Tollec obtained his Master of Science in the engineering of Telecom Paris in 2021 in the fields of embedded systems, data science, and network security. He is currently completing his Ph.D. in the French Alternative Energies and Atomic Energy Commission (CEA) on the subject of the formal verification of security properties on Software/Hardware systems under the influence of faults injection.

Variable-Length Instruction Set: Feature or Bug?

Ihab Al Shaer (Grenoble-INP LCIS) Brice Colombier (TIMA), Christophe Deleuze (LCIS), Vincent Beroulle (LCIS), Paolo Maistri (TIMA),

résumé. With the increasing complexity of embedded systems, the use of variable-length instruction sets became essential, in order to achieve higher code density and better performance. However, security aspects must also be considered, in particular with the continuous improvement of attack techniques and equipment.

Hardware designers and software developers lack accurate hardware and software fault models to evaluate the vulnerabilities of their designs or codes, in presence of fault attacks, especially with the increasing complexity of microprocessors’ architectures.

In this work, which aims at providing realistic fault models, clock glitch fault injection campaigns, using the ChiWhipserer environment, have been performed. The objective behind these experiments is to provide proper characterization, at the instruction set architecture (ISA) level, for several faulty behaviors that can be observed experimentally when targeting a processor running a variable-length instruction set. Such characterization would help in proposing suitable fault models.

bio. Ihab Alshaer received B.Eng. degree in computer systems engineering from Birzeit University, Palestine in 2015. He worked as a teaching assistant at the department of computer science at Birzeit University till 2018. He received his Master 1 degree in informatics and Master 2 degree in cybersecurity from the University of Grenoble Alpes (UGA), France in 2019 and 2020 respectively. He is currently a Ph.D. student at UGA. He is working under the CLAM project in a joint position at LCIS and TIMA.

Méthode combinée d’Injection de faute et d’analyse Side-Channel temps réel pour contourner le Secure-Boot d’Android

Clément Fanjas (CEA-Leti), Clément Gaine (CEA-Leti), Driss Aboulkassimi (CEA-Leti), Simon Pontié (CEA-Leti), Olivier Potin (Mines Saint-Étienne, CMP)

résumé. Le Secure-Boot est une fonction de sécurité critique qui assure l’authenticité et l’intégrité d’un code avant son exécution. Dans les System-on-Chip, ce processus permet d’éviter l’exécution de codes malveillants. Nous présenterons une nouvelle méthode de synchronisation utilisant la détection d’une activité fréquentielle caractéristique dans les émanations electromagnétiques de la cible. L’activation de cette fréquence sert d’évènement déclencheur de l’impulsion électromagnétique. Cette méthode a été exploitée pour synchroniser une injection de faute electromagnétique (EMFI) avec une instruction vulnérable présente dans l’étape d’authentification du noyau Linux du Secure-Boot d’un Android exécuté par un SoC. Cette attaque combinant injection de faute et analyse side-channel a permis de bypasser cette étape d’authentification afin de charger un noyau Linux malveillant sur la cible.

bio. Simon Pontié a soutenu sa thèse de doctorat de l’université Grenoble Alpes en 2016.Il est depuis 2016 ingénieur-chercheur au CEA-LETI.

Caractérisation de l’intégrité de réseaux de neurones embarqués face aux attaques par injection de fautes Laser

Mathieu Dumont (CEA-Leti), Pierre-Alain Moellic (CEA-Leti), Jean-Max Dutertre (MSE, Centre Microélectronique de Provence), Kévin Hector (CEA-Leti)

résumé. Le déploiement massif des modèles de réseaux de neurones profonds sur une grande variété de plateformes matérielles a ouvert la voie à de nouvelles attaques pouvant être réalisées directement sur la surface du circuit intégré, menaçant ainsi l’intégrité et la confidentialité des réseaux de neurones embarqués.

Nos travaux concernent la caractérisation de l’intégrité de réseaux de neurones, embarqués sur des microcontrôleur 32-bits, face aux attaques par injection de faute Laser. L’état de l’art montre que de faibles variations induites sur les paramètres internes du réseau de neurones (e.g., fonctions d’activation, les biais ou les poids) peuvent avoir une grande influence sur les prédictions du modèle. Pour induire de telles fautes pendant la phase d’inférence d’un modèle, nous utilisons le modèle de faute bit-set lors de la lecture de la mémoire Flash. De cette façon, nous pouvons démontrer la faisabilité d’induire un bit-set sur les valeurs des poids d’un modèle Multi Layer Perceptron (MLP) et ainsi caractériser la chute de la précision d’un modèle MNIST (classification d’images de digit). De plus, nous déterminons par simulation les bites les plus sensibles du modèle dans le but de faire chuter sa précision avec un minimum de fautes induites.

bio. Mathieu Dumont a terminé sa thèse en octobre 2020 sur la Modélisation de l’injection de faute électromagnétiques sur circuit intégré sécurisés et contre-mesures, à l’Université de Montpellier (LIRMM, STMicroelectronics). Il occupe un post-doc au sein du CEA-Leti, dans l’équipe commune de recherche entre le CEA-Leti et l’Ecole des Mines de Saint-Etienne au Centre de Microélectronique de Provence (CMP). Dans le cadre du projet Européen InSecTT, de l’IRT Nanoelec PULSE, ses travaux portent sur la sécurité de l’Intelligence Artificielle embarquée et plus spécifiquement sur les attaques par injection de fautes laser sur des réseaux de neurones embarqués sur microcontrôleur 32-bit.

Faulting real-world devices with X-Rays beams

Stephanie Anceau (CEA-Leti/Cesti), Laurent Maingault (CEA-Leti/Cesti), Luc Salvo, Sophie Bouat, Remi Granger, Pierre Lhuissier

Toward a Low-Cost Methodology for EM Fault Emulation on FPGA

Paolo Maistri (CNRS, TIMA),

résumé. In embedded systems, the presence of a security layer is now a well-established requirement. In order to guarantee the suitable level of performance and resistance against attacks, dedicated hardware implementations are often proposed to accelerate cryptographic computations in a controllable environment. On the other hand, these same implementations may be vulnerable to physical attacks, such as side channel analysis or fault injections. In this scenario, the designer must hence be able to assess the robustness of the implementation (and of the adopted countermeasures) as soon as possible in the design flow against several different threats. In this paper, we propose a methodology to characterize the robustness of a generic hardware design described at RTL against EM fault injections. Thanks to our framework, we are able to emulate the EM faults on FPGA platforms, without the need of expensive equipment or lengthy experimental campaigns. We present a tool supporting our methodology and the first validations tests done on several AES designs confirming the feasibility of the proposed approach.

bio. Paolo Maistri received his Ph.D. degree in Computer Engineering from Politecnico di Milano in 2006. He is a CNRS researcher at TIMA Laboratory in Grenoble, where is also head of the AMfoRS team since 2018. His research focuses on embedded implementations of cryptographic systems, physical attacks, and related countermeasures.

A Fast Characterization Method for Semi-invasive Fault Injection Attacks

Lichao Wu (Delft University of Technology), Gerard Ribera (Independent Researcher), Noémie Beringuier-Boher (Brightsight), Stjepan Picek (Delft University of Technology),

résumé. Semi-invasive fault injection attacks are powerful techniques well-known by attackers and secure embedded system designers. When performing such attacks, the selection of the fault injection parameters is of utmost importance and usually based on the experience of the attacker. In this work, we present a novel methodology to perform a fast characterization of the fault injection impact on a target, depending on the possible attack parameters. We experimentally show our methodology to be a successful one when targeting different algorithms such as DES and AES encryption and then extend to the full characterization with the help of deep learning. Finally, we show how the characterization results are transferable between different targets.

bio. Noemie Beringuier-Boher received a M.Sc. degree in microelectronics engineering from Polytech’ Montpellier, Montpellier University of Sciences in 2011. Then she received a PhD degree in nanoelectronics from the University of Grenoble in 2015. She pursued her research work in Fault Injection, with two post-docs at the Ecoles des Mines de Saint-Etienne, Gardanne. And decided in 2018 to join SGS Brightsight, as a Fault Injection evaluator. Now she is in charge of the Fault Injection domain in this company.