Clémentine Maurice, femme cyber chercheuse de l’année 2022
Tous les ans, à l’occasion de la journée européenne des femmes en cybersécurité (European Cyber Woman Day), le Cercle des Femmes en Cybersécurité (CEFCYS) récompense des femmes qui travaillent dans ce domaine. Cette année, Clémentine Maurice, chargée de recherche CNRS au Centre de Recherche en Informatique, Signal et Automatique de Lille (CRIStAL - CNRS/Centrale Lille/Université de Lille), reçoit le prix de la Femme Cyber chercheuse. À l’occasion de cette distinction, elle fait le point sur ses travaux.
Vous étudiez la sécurité du matériel informatique, en quoi cela consiste-t-il ?
Clémentine Maurice : Il y a deux façons d’attaquer du matériel informatique (le processeur par exemple, qui est le cerveau de l’ordinateur). On peut utiliser du matériel pour attaquer le matériel, en mesurant, par exemple, la consommation de courant ou les émanations électromagnétiques grâce à des oscilloscopes. Pour cela, il faut avoir le matériel en physique devant soi.
Ou alors, et c’est ce que j’étudie, on peut attaquer le matériel avec du logiciel, à distance. Le fait d’exécuter un logiciel sur un processeur fait que ce dernier va se comporter de différentes façons. Ainsi, le pirate peut analyser les traces laissées par l’activité de la victime dans les différents composants du matériel et en déduire la nature de cette activité. Ça peut être particulièrement problématique en cryptographie, dans le cas de logiciels avec des données secrètes.
On connaît généralement la mémoire vive principale (DRAM, Dynamic Random Access Memory) qui est une mémoire de stockage. Mais dans le processeur, il y a aussi de toutes petites mémoires qui permettent d’accélérer les calculs et le traitement des données : c’est la mémoire cache. Elle nous intéresse beaucoup, parce qu’elle est assez facile à attaquer. Lors d’une attaque, l’attaquant va consulter les accès mémoire liés à l’exécution de logiciels dans le cache, et en comparant avec ce qu’il exécute lui-même, il peut déduire ce que la victime est en train de faire.
Comment repérer et corriger les failles de sécurité ?
C. M. : Pour repérer des failles, il faut d’abord comprendre comment le matériel fonctionne : le problème, c’est que les pièces sensibles sont critiques en matière de performances et donc, pour des raisons qui relèvent de la propriété intellectuelle, les fabricants ne proposent pas de documentation. Je fais donc ce qu’on appelle de la rétro-ingénierie : comprendre a posteriori comment fonctionnent les pièces.
Chaque nouveau composant qui apporte des optimisations en termes de performances est vulnérable à ce type d’attaque. Une partie de mon travail consiste donc à tester systématiquement tous les types d’attaques possibles sur ce matériel : ce n’est pas parce qu’une faille n’est pas détectée qu’elle n’existe pas.
Une fois repérée, il s’agit de voir comment on peut la « patcher » : cette partie-là n’est pas évidente, puisque ce sont les optimisations qui vont rendre le matériel vulnérable aux attaques, la solution fait forcément perdre en performance.
Je travaille beaucoup avec des processeurs grand public (Intel, AMD ou ARM) pour lesquels je n’ai pas du tout accès au design, donc mon équipe et moi ne pouvons pas leur proposer de patch : dans ces cas-là, nous mettons les failles en évidence pour que les constructeurs puissent s’en saisir et patcher eux-mêmes leur matériel.
Qui peut être touché par ces attaques ?
C. M. : L’enjeu de sécurité touche tout le monde. Avec mon équipe, on a montré que les attaques pouvaient être faites sur des ordinateurs portables à travers le navigateur internet, sur les mobiles, dans les serveurs : beaucoup de types de matériels sont touchés.
Pour les attaques de matériel informatique, il faut que tout s’exécute sur la même machine, l’attaquant doit donc partager le matériel avec la victime. C’est une configuration qui se retrouve dans le cloud : plusieurs machines virtuelles sont hébergées sur la même machine physique pour partager et économiser les ressources. Aujourd’hui, quasiment tous les services web vont s’exécuter dans le cloud. En consultant un site internet, le navigateur télécharge automatiquement du code qui va s’exécuter sur la machine de l’utilisateur : c’est le Javascript dans son fonctionnement normal. Mais dans le cas de sites malveillants, un pirate peut utiliser le Javascript pour faire des accès mémoire et des mesures de timing.
La fréquence de ces attaques est très difficile à mesurer car elles ne laissent pas du tout de traces sur la machine. Aujourd’hui, les antivirus ne savent pas les détecter. Mais ce sont des attaques qui sont assez délicates à monter, parce qu’il faut vraiment comprendre comment marche la machine et que le code de l’attaque varie d’une machine à l’autre. Ce sont donc des attaques ciblées, à l’inverse d’un ransomware, par exemple, où le code va pourvoir être distribué et s’exécuter sur des centaines ou des milliers de machines différentes.
Que signifie ce prix pour la suite de vos travaux ?
C. M. : Il y a beaucoup de débats sur les prix qui récompensent seulement les femmes, parce qu’il faudrait reconnaître le travail des femmes parce qu’elles sont de bonnes chercheuses et non parce qu’elles sont des femmes. Mais je trouve que c’est une bonne initiative de valoriser celles qui sont déjà là et qui font un travail remarquable. On a tendance à dire qu’il n’y a pas de femmes dans notre domaine, alors que si, même si nous ne sommes pas très nombreuses.
Je prévois de continuer ma carrière au CNRS et d’essayer de passer directrice de recherche dans quelques années. J’ai commencé, avec un doctorant, à m’intéresser au volet logiciel de la sécurité du matériel, ce qui est assez nouveau pour moi. Jusque-là, j’étais beaucoup du côté des attaques parce que c’est toujours par là qu’il faut commencer pour sécuriser un système, et je vais maintenant aborder le côté défensif : qu’est-ce qui va faire qu’un logiciel est vulnérable ? Est-ce qu’on peut patcher les failles automatiquement ?
