Chapitre 4 Analyse d’injection de fautes sur tag RFID
4.6 Analyse des erreurs
Nous avons effectué une analyse des erreurs survenues au cours de l‘expérimentation des SEU en se basant sur les données fournies par les deux lecteurs et les modules de surveillance inclus dans le système d‘émulation. Le Tableau 4-2 résume les erreurs déduites que nous avons divisées en deux catégories : erreurs majeures et erreurs mineures, en fonction de leur impact sur la sécurité et la fiabilité du tag. Notons qu‘une faute peut produire plusieurs erreurs en même temps.
Les erreurs mineures ont un impact limité sur le tag. Par exemple, pour l‘erreur "trame altérée valide", les trames incluent soit des erreurs d‘encodage non destructives ou bien présentent des délais sans pour autant corrompre le scénario ou interrompre la communication. Les erreurs mineures restantes peuvent être recouvrées lors de nouvelles interrogations par le lecteur ou après le lancement d‘un nouveau tour d‘inventaire.
84
(a) (b)
Figure 4-8 Classification des SET pour chaque bascule du tag : (a) SET injectées avant le front actif d’horloge, (b) SET injectées après le front actif d’horloge.
Tableau 4-2 Sommaire des erreurs produites pour l’expérimentation de SEU.
Erreurs Nombre Proportion Catégorie de faute
Majeure
Entrer dans l’état Secured 8 1/258 971 F
Entrer dans l’état Killed 0 0% F
Changement du contenu de la mémoire du tag 0 0% F
Mineure
Trame altérée valide 202 176 9,76% L&FA/FA
Corruption de trame 68 143 3,29% F
Trame invalide 40 875 1,97% F
Echec d’identification 157 795 7,62% F
Sortie du tour (round) en cours 61 368 2,96% F Changement des paramètres d’inventaire 34 926 1,69% F/L/L&FA Changement des paramètre de Query 107 085 5,17% F/L/L&FA
85
Par ailleurs, la présence d‘erreurs majeures, bien que leur nombre soit faible (huit au total), est préjudiciable du moment que la sécurité du tag et les données qu‘il contient sont affectées. L‘erreur "entrer dans l‘état Secured" est une menace sérieuse pour la sécurité du tag vu qu‘elle peut, involontairement, amener à l‘accès à des données sécurisées ou à leur altération. Notons que les erreurs "entrer dans l‘état Killed" et "changement du contenu de la mémoire du tag" sont considérées comme des erreurs majeures, mais n‘ont cependant pas été détectées à l‘issue de l‘injection exhaustive de fautes que nous avons effectuée.
La Figure 4-9 illustre le lien entre une sélection de cinq erreurs reportées dans le Tableau 4-2 et l‘ensemble des bascules du tag (opération de filtration de la Figure 4-7). Cette représentation permet d‘identifier efficacement les bascules critiques : chaque fois qu‘une bascule est responsable de l‘occurrence de plusieurs types d‘erreurs, cette bascule est considérée comme critique. Ainsi, comme le montre la Figure 4-9, FF245 à FF252 (le registre FSM) et FF255 (signal de reset général du système) représentent les bascules les
86
plus vulnérables dans le module Tag FSM. Parmi ces bascules, FF251 et FF252 sont les bascules les plus critiques vu qu‘elles concernent les huit SEU qui causent l‘erreur "entrer dans l‘état Secured" évoquée précédemment.
Les bascules critiques sont plus facilement identifiables quand nous opérons une superposition de toutes les erreurs répertoriées dans le Tableau 4-2 pour chaque bascule ; le résultat est illustré par la Figure 4-10. Dans cette figure, plus la bascule est de couleur foncée, plus celle-ci est sujette à plus d‘erreurs. Par conséquent, les bascules décrites précédemment (huit bascules du registre FSM) et la bascule du reset global apparaissent par une couleur plus sombre. Par ailleurs, la Figure 4-10 révèle d‘autres bascules critiques, moins affectées que celles du registre FSM, situées dans les blocs "PIE Decoder" et "Command Decoder".
87
L‘utilité des expérimentations réalisées est l‘identification des fautes causant des erreurs majeures. La suite logique de cette identification est une tâche essentielle, qui consiste à éradiquer ces points faibles. De ce fait, il est recommandé de revoir la conception des parties sensibles du tag ou alternativement, créer des moyens de protection. L‘augmentation de la longueur d‘encodage du FSM, ainsi que l‘ajout des circuits de surveillance spécifiques pour empêcher les fausses transitions du FSM peuvent également être considérés comme des alternatives appropriées.
4.7 Conclusion
Nous avons présenté dans ce chapitre une nouvelle méthode d‘émulation de fautes basée sur FPGA. Le but de cette approche est d‘effectuer des études approfondies sur les effets des fautes sur les circuits des tags RFID et évaluer la robustesse et la sécurité de ces derniers. La réalisation de ces études permet de fournir des résultats utiles qui peuvent être exploités dans le domaine du diagnostic des systèmes RFID et dans l‘amélioration des futures conceptions de ces systèmes. Dans ce cadre, nous avons réalisé des expérimentations d‘injections intensives de fautes SEU et SET sur G2FSM qui représente un circuit de tag compatible au protocole EPC Gen2. Cette approche est également applicable à d‘autres protocoles RFID. Les expérimentations réalisées sur G2FSM ont démontré que 60,40 % des SEU ont été tolérées, 16,03 % des SEU ont causé des défaillances, tandis que 23,57 % des SEU ont produit des altérations de trame et/ou une latence dans les éléments de mémoire.
Une classification des erreurs produites à travers les résultats du système d‘émulation a permis d‘évaluer les impacts des fautes SEU et SET sur le tag. Seulement 8 SEU sur 2 071 772 ont provoqué des erreurs majeures forçant le tag expérimenté à entrer involontairement dans des états sécurisés. Notre système a non seulement identifié les bascules concernées par les erreurs majeures, mais aussi les bascules les plus sensibles provoquant, par exemple, un grand nombre de défaillances. L‘expérimentation a également démontré comment dériver des actions de conception appropriées pour une éventuelle amélioration de la sécurité RFID à faible coût. Les résultats obtenus et la stratégie de classification des erreurs produites peuvent être utilisés pour améliorer le diagnostic dans la RFID.
88