Attaques par injection de fautes sur les applications embarquées : caractérisation et évaluation

The security assessment of IoT devices against potential software and hardware-based threats is now a necessary task for embedded software developers. Having physical access to the target devices makes hardware security a significant concern to consider in IoTs. Among the hardware security attack techniques, fault injection attacks such as clock glitching are one of the most practical attacks which are non-invasive and low-cost. They can interfere with the expected operations and cause serious malfunctions in the targeted device. Regarding this, an efficient security assessment framework and methodology against fault injection attacks are needed to properly evaluate the embedded devices.It is often difficult for the software developer to use a fault injection platform correctly. Therefore, this thesis focuses on designing an easy-to-use platform dedicated to clock glitching attacks in order to evaluate the vulnerabilities of embedded software applications. This work proposes an open-source evaluation platform followed by high-level assessment methodologies. Then, a characterization process based on a preliminary simulation approach is presented to improve the experimental fault injection parameters. Finally, the impacts of the injected faults are analyzed and studied in an open-source medical application (Sec-Pump) as a case study in the context of the SERENE-IoT project. The SERENE IoT project (Secured & EneRgy EfficieNt hEalth-care solutions for IoT market) aims at developing high-quality smart e-health IoT devices in Europe. SERENE-IoT project is labeled within the framework of PENTA, the EUREKA Cluster for Application and Technology Research in Europe on NanoElectronics. The platform and the methodology proposed in this thesis can successfully identify the security vulnerabilities in an embedded application and guide the software developer to mitigate such attacks.Keywords— Hardware Security, Embedded Systems, Fault Injection Attacks, Clock GlitchingL’évaluation de la sécurité des appareils IoT contre les menaces logicielles et matérielles potentielles est désormais une tâche nécessaire pour les développeurs de logiciels embarqués. Avoir un accés physique aux appareils cibles fait de la sécurité du matériel une préoccupation importante à prendre en compte dans les IoT. Parmi les techniques d’attaque de sécurité matérielle, les attaques par injection de fautes telles que les problémes d’horloge sont l’une des attaques les plus pratiques, non invasives et peu coûteuses. Ils peuvent interférer avec les opérations attendues et provoquerde graves dysfonctionnements dans l’appareil ciblé. À cet égard, un cadre d’évaluation de la sécurité efficace et une méthodologie contre les attaques par injection de fautes sont nécessaires pour évaluer correctement les dispositifs embarqués.Il est souvent difficile pour le développeur de logiciels d’utiliser correctement une plate-forme d’injection de fautes. Par conséquent, cette thése s’est concentrée sur la conception d’une plateforme facile à utiliser dédiée aux attaques par défaut d’horloge afin d’évaluer les vulnérabilités des applications logicielles embarquées. Ce travail propose une plateforme d’évaluation open source suivie de méthodologies d’évaluation de haut niveau. Ensuite, un processus de caractérisation basé sur une approche de simulation préliminaire est présenté pour améliorer les paramétres expérimentaux d’injection de fautes. Enfin, les impacts des failles injectées sont analysés et étudiésdans une application médicale open source (Sec-Pump) en tant qu’étude de cas dans le cadre du projet SERENE-IoT. Le projet SERENE IoT (Secured & EneRgy EfficieNt health-care solutions for IoT market) vise à développer des dispositifs IoT intelligents de haute qualité pour l'e-santé en Europe. Le projet SERENE-IoT est labellisé dans le cadre de PENTA, le cluster EUREKA pour la recherche applicative et technologique en Europe sur la nanoélectronique. La plateforme et la méthodologie proposées dans cette thése peuvent identifier avec succés les vulnérabilités de sécurité dans une application embarquée et guider le développeur de logiciels pour atténuer de telles attaques.Motsclel's— Sécurité matérielle, Systémes Embarqués, Attaques par Injection de Fautes, Glitch d’horlog