Todd Austin, de l’université du Michigan, explique comment le processeur de son équipe a déjoué toutes les attaques du concours de piratage matériel du DARPA.
L’été dernier, 580 chercheurs en cybersécurité ont passé 13 000 heures à tenter de pénétrer dans un nouveau type de processeur. Ils ont tous échoué. Ce piratage était le premier grand test d’un programme de l’agence américaine Defense Advanced Research Program Agency (DARPA) appelé Security Integrated Through Hardware and Firmware (SSITH). Ce programme vise à développer des processeurs qui sont intrinsèquement immunisés contre des catégories entières de vulnérabilités matérielles pouvant être exploitées par des logiciels malveillants. (Spectre et Meltdown en font partie).
Au total, dix vulnérabilités ont été découvertes parmi les cinq processeurs développés dans le cadre du programme SSITH, mais aucun de ces points faibles n’a été décelé dans le processeur de l’Université du Michigan, appelé Morpheus. Todd Austin, professeur d’ingénierie électrique et d’informatique à l’université du Michigan, a expliqué pourquoi Morpheus est si difficile à pénétrer pour les pirates informatiques.
« Les attaques réussissent souvent en abusant de l’écart entre la sémantique du programme et celle de la machine – par exemple, en localisant un pointeur sensible, en exploitant un bogue pour écraser ces données sensibles et en détournant l’exécution du programme victime. Dans ce travail, nous prenons l’offensive sur la conception de systèmes sécurisés en obscurcissant continuellement les informations dont les attaquants ont besoin mais que les programmes normaux n’utilisent pas, comme la représentation du code et des pointeurs ou l’emplacement exact du code et des données. Notre architecture matérielle sécurisée, Morpheus, combine deux puissantes protections : les ensembles de défenses à cible mobile et le barattage. Les ensembles de défenses à cible mobile rendent aléatoires les valeurs des programmes clés (par exemple, le déplacement des pointeurs et le cryptage du code et des pointeurs), ce qui oblige les attaquants à sonder le système de manière extensive avant une attaque. »
« Pour garantir l’échec des attaques, l’architecture incorpore un système de désynchronisation afin de randomiser à nouveau, de manière transparente, les valeurs des programmes dans le système en cours d’exécution. En cas de changement fréquent, les systèmes deviennent rapidement difficiles à pénétrer. Nous démontrons Morpheus par le biais d’un prototype basé sur RISC-V conçu pour arrêter les attaques par flux de contrôle. Chaque défense de cible mobile dans Morpheus utilise le support matériel pour offrir individuellement plus d’aléatoire à un coût moindre que les techniques précédentes. »
« Lorsqu’elles sont assemblées avec du ré-encryptage, les défenses Morpheus offrent une forte protection contre les attaques de flux de contrôle, nos tests de sécurité et nos études de performance révélant : i) une protection à haute couverture pour un large éventail d’attaques de flux de contrôle, y compris des protections pour des attaques avancées et une attaque révélée après la conception de Morpheus, et ii) des impacts de performance négligeables (1%) avec des périodes de ré-encryptage allant jusqu’à 50 ms, que notre étude estime être au moins 5000 fois plus rapide que le temps nécessaire pour pénétrer Morpheus. »
