Quels défis pour la sécurité des interfaces entre logiciel et matériel ? Retour sur la première session des Semestres Cyber

Date:
Mis à jour le 16/07/2020
Financé par la Direction générale de l'armement (DGA) et géré par Inria pour le compte des partenaires du Pôle d'excellence cyber (PEC) situé en Bretagne, un cycle de semestres consacrés à la cybersécurité a débuté en 2019 à Rennes. Objectif : inviter des sommités mondiales à présenter leurs travaux et détailler les défis auxquels scientifiques et industriels vont devoir faire face. Le premier de ces semestres s'intéresse aux interfaces entre le logiciel et le matériel.
Analyse de malware
© Inria / Photo C. Morel

Traditionnellement deux communautés se partagent la recherche en cybersécurité : l'une étudie le logiciel, l'autre se penche sur le matériel. Mais la frontière entre ces deux mondes mérite aussi qu'on y regarde de près. Démonstration en a été fait en janvier 2018 avec la découverte de Meltdown et Spectre : deux failles qui, dans certaines conditions, peuvent permettre à un programme de subtiliser des données traitées par le processeur.

Cette interface logiciel/matériel constitue précisément le thème de SILM, le premier d'une série de trois semestres consacrés à la cybersécurité qui amèneront à Rennes quelques-uns des plus grands experts mondiaux du domaine. Ces semestres sont lancés et financés par la DGA dans le but d'inviter des sommités scientifiques capables d'aider à identifier des sujets de recherche qui mériteraient ensuite des financements. La gestion de ces événements a été confiée à Inria pour le compte des partenaires du Pôle d'excellence cyber créé en 2015 par le ministère des Armées et la région Bretagne.

Le semestre SILM devait durer six mois, mais finalement, il va s'étendre sur un an pour finir en juillet 2020,” indique Guillaume Hiet. Professeur assistant à CentraleSupelec et membre de l'équipe de recherche Cidre, commune à Inria, CentraleSupélec, université de Rennes 1 et CNRS (et au sein de l'UMR IRISA), celui-ci assure la direction du semestre avec l'aide de quatre collègues : Clémentine Maurice, chargée de recherche CNRS, Frédéric Tronel, professeur assistant à CentraleSupélec, Jean-Louis Lanet, directeur de recherche Inria et Ronan Lashermes, ingénieur Inria au sein du LHS (Laboratoire Haute Sécurité).

Une participation à l'European Cyber Week

De septembre 2019 à juillet 2020, le semestre SILM comprend une série de séminaires une fois par mois avec, à chaque fois, deux présentations dans la salle des conférences d'Inria. Mais les choses avaient commencé dès le mois le juillet avec une école d'été organisée pendant une semaine à Inria et dans les locaux voisins de CentraleSupélec. « Chaque année, le Groupe de recherche (GDR) en cybersécurité du CNRS tient une école d'été quelque part en France. Il se trouve que l'édition 2019 devait se dérouler à Rennes. Nous avons donc proposé d’organiser cette école d’été, dans le cadre du semestre SILM et avec le soutien du GDR. Outre les académiques, les étudiants de master et de thèse, nous avons eu la participation d'industriels avec, par exemple, des travaux pratiques animés par des représentants de Serma Technologies, qui est un centre d'évaluation de la sécurité des technologies de l'information (CESTI) agréé par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. »

Une autre opportunité a surgi avec le forum de cybersécurité European Cyber Week qui a lieu chaque année, en novembre, à Rennes. « Durant cet événement, nous avons eu la possibilité d'organiser un atelier sur la sécurité de l'interface logiciel/matériel. Les présentations qui se sont succédé, ont permis, par exemple, d'entendre des gens du HP Labs de Bristol avec qui j'ai une collaboration, et aussi Sylvain Guilley, directeur de Secure-IC », une entreprise rennaise spécialisée dans les solutions de cybersécurité pour les systèmes embarqués.

Une Master Class au FIC de Lille

Fin janvier, toujours dans le cadre du semestre SILM, Guillaume Hiet et Clémentine Maurice ont également animé une master class durant le Forum international de cybersécurité (FIC) qui s'est tenu à Lille. « Le sujet en était : quelle confiance peut-on placer dans les plates-formes matérielles qui exécutent nos applications ? Nous avons proposé d'abord une introduction globale à la problématique puis un focus particulier sur les travaux respectifs que Clémentine et moi menons. Nous avons aussi fait une démo sur le stand Inria-Allistene et nous étions présents sur le stand du ministère des Armées. Par ailleurs, nous nous rendrons à Gênes pour animer un atelier durant la conférence EuroS&P (European Symposium on Security and Privacy) qui se déroule du 16 au 18 juin 2020. »

Un livre blanc

Le semestre donnera lieu ensuite à « la publication d'un livre blanc pour dégager une vision stratégique et aider la DGA à mieux percevoir les défis scientifiques avant de diriger des financements vers certains thèmes de recherche. Grâce aux présentations qui se succèdent actuellement, nous recueillons beaucoup de matière. Avec mes quatre collègues de l'organisation, et l'aide des intervenants, nous allons nous charger de résumer et d'éditer toute cette production. Il convient d'ailleurs de préciser que ce livre blanc sera rendu public. Chacun pourra le lire. Au passage, je signale aussi qu'Inria réalise un enregistrement vidéo de tous ces événements. Certains sont déjà disponibles en ligne. »

La DGA a confié à Inria, pour le compte de l’ensemble des partenaires du pôle de recherche du PEC (Pôle d’excellence cyber), l’organisation de “semestres thématiques” en cybersécurité.