La menace croissante pour les environnements d'exécution de confiance
Examiner les risques auxquels font face les TEE à cause des méthodes d'attaque qui évoluent.
― 7 min lire
Table des matières
Ces dernières années, il y a eu de plus en plus de préoccupations concernant la sécurité des systèmes informatiques, surtout quand il s'agit de protéger des infos sensibles. Un domaine qui attire beaucoup l'attention, c'est l'Environnement d'exécution de confiance (TEE). Les TEEs sont conçus pour créer une zone sécurisée dans un système informatique où des données et applications sensibles peuvent fonctionner en toute sécurité. Cependant, avec l'avancement de la technologie, les méthodes que les attaquants utilisent pour compromettre ces environnements sécurisés évoluent aussi.
C'est quoi les Environnements d'Exécution de Confiance ?
Les TEEs offrent un espace sûr pour les applications qui gèrent des informations confidentielles, comme les applis bancaires ou de communications sécurisées. Cet espace sécurisé est isolé du reste du système, appelé l'Environnement d'Exécution Riche (REE), qui peut ne pas être fiable. Le TEE utilise des fonctionnalités matérielles pour garder les applications sensibles séparées, même si le système d'exploitation principal est compromis.
Les TEEs sont largement utilisés dans plein de dispositifs, y compris les smartphones et les serveurs, pour protéger des applis cruciales. Ils visent à sécuriser le système contre des attaques qui pourraient venir de logiciels tournant sur le REE. Cependant, certains attaquants peuvent encore trouver des moyens d'exploiter les faiblesses dans la gestion de l'énergie et des ressources des TEEs.
Mécanismes de Gestion de l'Énergie
La gestion de l'énergie est essentielle pour garder les ordinateurs efficaces et frais. Des techniques comme l'Adaptation Dynamique de Tension et Fréquence (DVFS) permettent aux dispositifs d'ajuster leur consommation d'énergie en fonction de la charge de travail, économisant de l'énergie et gérant la chaleur. Bien que ces techniques soient importantes pour la performance et l'efficacité, elles peuvent aussi créer des vulnérabilités.
Le DVFS ajuste la tension et la fréquence du processeur en fonction de la charge de travail. Quand la charge augmente, le processeur peut avoir besoin de plus de puissance, et quand il est moins occupé, il peut réduire sa consommation d'énergie. C'est là que les attaquants peuvent exploiter des faiblesses, surtout s'ils peuvent manipuler les fonctionnalités de gestion de l'énergie du système.
Types d'Attaques
Attaques Matérielles
Traditionnellement, les attaques matérielles nécessitent un accès physique à l'appareil. Les attaquants peuvent utiliser des outils pour sonder les signaux électroniques ou manipuler le matériel directement. Cependant, de nouveaux types d'attaques ont émergé qui ne nécessitent pas d'accès physique. Ces attaques utilisent des logiciels pour manipuler indirectement des composants matériels, élargissant les façons dont les attaquants peuvent compromettre un système.
Attaques Basées sur l'Énergie Interne
Une catégorie de ces menaces émergentes est les attaques basées sur l'énergie interne. Ces attaques utilisent des interfaces accessibles par logiciel pour manipuler les réglages matériels, comme ajuster la tension ou la fréquence, pour compromettre des applications sensibles tournant dans le TEE. Les principaux types incluent :
Attaques par injection de fautes : Ces attaques exploitent les fonctionnalités de gestion de l'énergie pour créer des fautes dans l'opération de l'appareil. En altérant la tension et la fréquence, les attaquants peuvent induire des erreurs dans les calculs ou le traitement, ce qui peut mener à la divulgation d'informations sensibles.
Attaques par Canal Latéral : Ces attaques se concentrent sur la collecte d'infos sur la façon dont un appareil utilise l'énergie ou traite des données plutôt que de casser directement le chiffrement. Par exemple, en mesurant combien d'énergie est consommée ou combien de temps prennent les tâches, les attaquants peuvent déduire des infos sensibles, comme des clés cryptographiques.
Communication Clandestine : Dans ce type d'attaque, les informations sont secrètement envoyées entre deux programmes en utilisant les fonctionnalités de gestion de l'énergie de l'appareil. Un attaquant peut envoyer des données entre un logiciel malveillant et des applications de confiance sans être détecté.
Comprendre le Paysage des Menaces
La capacité de compromettre les TEEs grâce à des attaques basées sur l'énergie interne pose des risques significatifs. Ces attaques ont été démontrées contre des implementations de TEE largement utilisées comme ARM TrustZone et Intel SGX. À mesure que ces attaques évoluent, les défenses contre elles doivent aussi évoluer.
Malgré leur impact potentiel, beaucoup de conceptions de TEE existantes n'ont pas suffisamment pris en compte ces vulnérabilités. Les modèles de sécurité actuels n'incluent souvent pas ces menaces internes, ce qui signifie que de nombreux systèmes restent non protégés contre des attaques sophistiquées.
L'Importance de Traiter les Vulnérabilités
Alors que la technologie continue d'évoluer, il est clair que les menaces pesant sur les TEEs vont aussi avancer. Les attaquants deviennent plus habiles à exploiter les vulnérabilités, surtout celles liées à la gestion de l'énergie. Sans une réponse adéquate, les garanties de sécurité fournies par les TEEs peuvent être compromises, mettant en danger des informations sensibles.
Il y a un besoin urgent pour les chercheurs et développeurs de se concentrer sur l'intégration de défenses contre ces menaces émergentes. En reconnaissant le potentiel d'attaques basées sur l'énergie interne, la prochaine génération de technologies TEE peut être mieux conçue pour se protéger contre elles.
Contre-Mesures et Stratégies Existantes
Pour lutter contre les menaces posées par les attaques basées sur l'énergie interne, plusieurs contre-mesures ont été proposées. Certaines stratégies existantes incluent :
Restreindre l'Accès aux Fonctionnalités de Gestion de l'Énergie : En limitant qui peut contrôler la tension et la fréquence, les systèmes peuvent réduire le risque que des attaquants manipulent ces réglages. Par exemple, s'assurer que seul un logiciel de confiance a accès à ces fonctionnalités peut aider à atténuer les risques.
Imposer des Limites de Fonctionnement : Mettre des frontières claires sur jusqu'où la tension et la fréquence peuvent être ajustées peut aider à prévenir des attaques qui reposent sur le dépassement de ces limites. Cependant, déterminer ces limites peut être compliqué et peut nuire à la performance du système.
Séparer les Régulateurs Matériels : En s'assurant que les régulateurs d'énergie pour les applications de confiance et non fiables sont distincts, il devient plus difficile pour les attaquants de compromettre des applications sécurisées. Cette approche peut nécessiter du matériel supplémentaire, augmentant les coûts et la complexité.
Améliorer les Applications de Confiance : Renforcer la résilience des applications qui fonctionnent dans le TEE peut aussi faire partie d'une stratégie de défense. Des techniques comme les vérifications de redondance ou la détection d'erreurs peuvent aider les applications à mieux résister aux effets des attaques.
Conclusion
La sécurité des Environnements d'Exécution de Confiance est critique dans le paysage numérique d'aujourd'hui. Cependant, la montée des attaques basées sur l'énergie interne représente un défi redoutable qu'il ne faut pas ignorer. Alors que les attaquants peaufinent leurs méthodes, il est vital que les chercheurs et développeurs restent en avance sur ces menaces en mettant en œuvre des contre-mesures robustes.
En se concentrant sur l'amélioration de la sécurité des TEEs et en reconnaissant les risques posés par les vulnérabilités de gestion de l'énergie, nous pouvons mieux protéger les informations sensibles et maintenir la fiabilité des systèmes informatiques modernes. Une recherche et un développement continus sont essentiels pour garantir que les TEEs restent une base sécurisée pour des applications sensibles dans un paysage de menaces en constante évolution.
Titre: Do Not Trust Power Management: A Survey on Internal Energy-based Attacks Circumventing Trusted Execution Environments Security Properties
Résumé: Over the past few years, several research groups have introduced innovative hardware designs for Trusted Execution Environments (TEEs), aiming to secure applications against potentially compromised privileged software, including the kernel. Since 2015, a new class of software-enabled hardware attacks leveraging energy management mechanisms has emerged. These internal energy-based attacks comprise fault, side-channel and covert channel attacks. Their aim is to bypass TEE security guarantees and expose sensitive information such as cryptographic keys. They have increased in prevalence in the past few years. Popular TEE implementations, such as ARM TrustZone and Intel SGX, incorporate countermeasures against these attacks. However, these countermeasures either hinder the capabilities of the power management mechanisms or have been shown to provide insufficient system protection. This article presents the first comprehensive knowledge survey of these attacks, along with an evaluation of literature countermeasures. We believe that this study will spur further community efforts towards this increasingly important type of attacks.
Auteurs: Gwenn Le Gonidec, Maria Méndez Real, Guillaume Bouffard, Jean-Christophe Prévotet
Dernière mise à jour: 2024-10-04 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2405.15537
Source PDF: https://arxiv.org/pdf/2405.15537
Licence: https://creativecommons.org/licenses/by-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.