Détection non destructive de modification malveillante de circuits intégrés

(1)

HAL Id: tel-01297688

https://tel.archives-ouvertes.fr/tel-01297688

Submitted on 4 Apr 2016

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires

de circuits intégrés

Ingrid Exurville

To cite this version:

Ingrid Exurville. Détection non destructive de modification malveillante de circuits intégrés. Autre. Ecole Nationale Supérieure des Mines de Saint-Etienne, 2015. Français. �NNT : 2015EMSE0800�. �tel-01297688�

(2)

NNT : 2015 EMSE 0800

THÈSE

présentée par

Ingrid EXURVILLE

pour obtenir le grade de

Docteur de l’École Nationale Supérieure des Mines de Saint-Étienne

Spécialité : MICROÉLECTRONIQUE

DÉTECTION NON DESTRUCTIVE

DE MODIFICATIONS MALVEILLANTES

SUR CIRCUITS INTÉGRÉS

soutenue à Gardanne, le 30/10/2015

Membres du jury

Président :

Michel AUGUIN

Professeur, Université de Nice, Nice

Rapporteurs :

Jean-Luc DANGER

Bruno ROUZEYRE

Professeur, Telecom ParisTech, Paris

Professeur, Université de Montpellier 2, Montpellier

Examinateurs :

Jean-Luc AUTRAN

Viktor FISCHER

Julien FRANCQ

Professeur, Université Aix Marseille, Marseille

Professeur, Laboratoire Hubert Curien, S

t

Étienne

Docteur, Airbus - CyberSecurity, Paris

(3)

(4)

ABSI Nabil CR Génie industriel CMP

AVRIL Stéphane PR2 Mécanique et ingénierie CIS

BALBO Flavien PR2 Informatique FAYOL

BASSEREAU Jean-François PR Sciences et génie des matériaux SMS

BATTON-HUBERT Mireille PR2 Sciences et génie de l'environnement FAYOL

BERGER DOUCE Sandrine PR2 Sciences de gestion FAYOL

BERNACHE-ASSOLLANT Didier PR0 Génie des Procédés CIS

BIGOT Jean Pierre MR(DR2) Génie des Procédés SPIN

BILAL Essaid DR Sciences de la Terre SPIN

BLAYAC Sylvain MA(MDC) Microélectronique CMP

BOISSIER Olivier PR1 Informatique FAYOL

BORBELY Andras MR(DR2) Sciences et génie des matériaux SMS

BOUCHER Xavier PR2 Génie Industriel FAYOL

BRODHAG Christian DR Sciences et génie de l'environnement FAYOL

BRUCHON Julien MA(MDC) Mécanique et ingénierie SMS

BURLAT Patrick PR1 Génie Industriel FAYOL

COURNIL Michel PR0 Génie des Procédés DIR

DARRIEULAT Michel IGM Sciences et génie des matériaux SMS

DAUZERE-PERES Stéphane PR1 Génie Industriel CMP

DEBAYLE Johan CR Image Vision Signal CIS

DELAFOSSE David PR0 Sciences et génie des matériaux SMS

DESRAYAUD Christophe PR1 Mécanique et ingénierie SMS

DOLGUI Alexandre PR0 Génie Industriel FAYOL

DRAPIER Sylvain PR1 Mécanique et ingénierie SMS

FEILLET Dominique PR1 Génie Industriel CMP

FEVOTTE Gilles PR1 Génie des Procédés SPIN

FRACZKIEWICZ Anna DR Sciences et génie des matériaux SMS

GARCIA Daniel MR(DR2) Génie des Procédés SPIN

GERINGER Jean MA(MDC) Sciences et génie des matériaux CIS

GOEURIOT Dominique DR Sciences et génie des matériaux SMS

GRAILLOT Didier DR Sciences et génie de l'environnement SPIN

GROSSEAU Philippe DR Génie des Procédés SPIN

GRUY Frédéric PR1 Génie des Procédés SPIN

GUY Bernard DR Sciences de la Terre SPIN

HAN Woo-Suck MR Mécanique et ingénierie SMS

HERRI Jean Michel PR1 Génie des Procédés SPIN

KERMOUCHE Guillaume PR2 Mécanique et Ingénierie SMS

KLOCKER Helmut DR Sciences et génie des matériaux SMS

LAFOREST Valérie MR(DR2) Sciences et génie de l'environnement FAYOL

LERICHE Rodolphe CR Mécanique et ingénierie FAYOL

LI Jean-Michel Microélectronique CMP

MALLIARAS Georges PR1 Microélectronique CMP

MAURINE Philippe CMP

MOLIMARD Jérôme PR2 Mécanique et ingénierie CIS

MONTHEILLET Frank DR Sciences et génie des matériaux SMS

MOUTTE Jacques CR Génie des Procédés SPIN

NEUBERT Gilles FAYOL

NIKOLOVSKI Jean-Pierre Ingénieur de recherche CMP

NORTIER Patrice PR1 SPIN

PIJOLAT Christophe PR0 Génie des Procédés SPIN

PIJOLAT Michèle PR1 Génie des Procédés SPIN

PINOLI Jean Charles PR0 Image Vision Signal CIS

POURCHEZ Jérémy MR Génie des Procédés CIS

ROBISSON Bruno Ingénieur de recherche CMP

ROUSSY Agnès MA(MDC) Génie industriel CMP

ROUSTANT Olivier MA(MDC) Mathématiques appliquées FAYOL

ROUX Christian PR Image Vision Signal CIS

STOLARZ Jacques CR Sciences et génie des matériaux SMS

TRIA Assia Ingénieur de recherche Microélectronique CMP

VALDIVIESO François PR2 Sciences et génie des matériaux SMS

VIRICELLE Jean Paul DR Génie des Procédés SPIN

WOLSKI Krzystof DR Sciences et génie des matériaux SMS

XIE Xiaolan PR1 Génie industriel CIS

YUGMA Gallian CR Génie industriel CMP

BERGHEAU Jean-Michel PU Mécanique et Ingénierie ENISE

BERTRAND Philippe MCF Génie des procédés ENISE

DUBUJET Philippe PU Mécanique et Ingénierie ENISE

FEULVARCH Eric MCF Mécanique et Ingénierie ENISE

FORTUNIER Roland PR Sciences et Génie des matériaux ENISE

GUSSAROV Andrey Enseignant contractuel Génie des procédés ENISE

HAMDI Hédi MCF Mécanique et Ingénierie ENISE

LYONNET Patrick PU Mécanique et Ingénierie ENISE

RECH Joël PU Mécanique et Ingénierie ENISE

SMUROV Igor PU Mécanique et Ingénierie ENISE

EMSE : Enseignants-chercheurs et chercheurs autorisés à diriger des thèses de doctorat (titulaires d’un doctorat d’État ou d’une HDR)

ENISE : Enseignants-chercheurs et chercheurs autorisés à diriger des thèses de doctorat (titulaires d’un doctorat d’État ou d’une HDR) Spécialités doctorales Responsables :

SCIENCES ET GENIE DES MATERIAUX K. Wolski Directeur de recherche MECANIQUE ET INGENIERIE S. Drapier, professeur GENIE DES PROCEDES F. Gruy, Maître de recherche SCIENCES DE LA TERRE B. Guy, Directeur de recherche SCIENCES ET GENIE DE L’ENVIRONNEMENT D. Graillot, Directeur de recherche

Spécialités doctorales Responsables

MATHEMATIQUES APPLIQUEES O. Roustant, Maître-assistant INFORMATIQUE O. Boissier, Professeur IMAGE, VISION, SIGNAL JC. Pinoli, Professeur GENIE INDUSTRIEL A. Dolgui, Professeur MICROELECTRONIQUE S. Dauzere Peres, Professeur

ise à jo ur : 28/10/ 2014

(5)

(6)

Remerciements

Je tiens à adresser mes remerciements aux personnes qui m’ont guidée, qui ont cru en moi et qui m’ont soutenue au cours de ces trois années de travail.

Tout d’abord, je commencerai par remercier les membres de mon jury pour leurs re-marques constructives sur mon manuscrit ainsi que leurs implications au cours de la sou-tenance : merci au président du jury de thèse monsieur Michel Auguin, à mes rapporteurs messieurs Jean-Luc Danger et Bruno Rouzeyre, à mes examinateurs messieurs Jean-Luc Autran, Viktor Fischer et Julien Francq, à mon directeur de thèse monsieur Bruno Robis-son, à mon encadrant monsieur Jean-Baptiste Rigaud ainsi qu’à ma correspondante DGA madame Rose-Marie Sauvage.

J’adresse également mes remerciements à toutes les personnes formidables que j’ai rencontré au Centre de Microélectronique de Provence (CMP), établissement dans lequel j’ai passé trois années en tant qu’élève-ingénieure, puis trois années comme thésarde. Je remercie particulièrement mes collègues du laboratoire Systèmes et Architectures S´ ecuri-sés. J’ai une pensée particulière pour Jacques Fournier qui m’a présentée le monde de la recherche au cours d’un stage ingénieur : cette expérience enrichissante m’a encouragée à faire une thèse. Je remercie du fond du cœur tous les doctorants, les post-doctorants et les ingénieurs de recherche qui ont rendu ces trois années vraiment plus agréables en tout point de vue. J’adresse spécialement un merci à Thomas Sarno, qui a réalisé sa thèse en même temps que moi, avec qui j’ai passé de longues heures à parler de nos chères vies de thésards et à tenter de refaire le monde. Merci aussi à Lo¨ıc Zussa, Nicolas Moro et Marc Lacruche pour ces moments riches en joie et en découvertes en tout genre.

Je tiens à exprimer toute ma gratitude également à Assia Tria, Véronique Villaréal et Pierre Joubert qui m’ont aidé à soutenir dans les temps, à rendre un manuscrit de bonne qualité, et surtout, qui m’ont permit d’appréhender cette fin de thèse avec plus de sérénité. Je tiens également à témoigner de mes remerciements les plus sincères et mon amour `

a mes parents, et plus largement à ma famille, qui ont toujours cru en moi et qui m’ont épaulée dans les moments heureux et difficiles que l’on rencontre au cours d’une vie, et ce, malgré la distance. Enfin, je remercie Lo¨ıc Zussa pour avoir été à mes côtés sur tous les aspects aussi bien sur les points techniques de relecture et correction de mes travaux de recherche que sur les points humains.

(7)

(8)

”Sachez que le travail, l’amour et l’amitié doivent reposer sur des liens construits sur la confiance et l’honnêteté. Sans cette base, nous allons au devant de nombreux problèmes.”

(9)

(10)

Sommaire

Remerciements v

Sommaire xii

Glossaire / Index 1

Introduction 3

1 Fabrication et menaces envers les circuits int´egr´es 5

1.1 Présentation des circuits intégrés . . . 6

1.1.1 Contexte g´en´eral . . . 6

1.1.2 Circuits de sécurité et menaces associées . . . 7

1.2 Cas référencés de Chevaux de Troie Matériels (CTM). . . 9

1.3 Pourquoi parle-t-on de CTM ?. . . 9 1.4 Taxonomie . . . 10 1.5 Phase d’insertion . . . 11 1.5.1 Acteurs . . . 11 1.5.2 Sp´ecifications . . . 12 1.5.3 Conception . . . 12

1.5.3.1 Logiciels de Conception Assist´ee par Ordinateur (CAO) . . 13

1.5.3.2 Biblioth`eque de cellules . . . 13

1.5.4 Fabrication . . . 13

1.5.4.1 Production de wafer . . . 14

1.5.4.2 Photolithographie . . . 16

1.5.4.3 Gravure et dopage . . . 17

1.5.4.4 V´erification des wafers . . . 17

1.5.5 Encapsulation et assemblage . . . 18

1.5.6 Tests. . . 18

1.6 Caract´eristiques physiques . . . 18

1.7 Effets . . . 19

(11)

1.11 Conclusion . . . 21

2 Méthodes de protection contre les CTM 23 2.1 Protection des circuits intégrés . . . 24

2.2 Définition de la stratégie d’approche pour la protection de circuits intégrés contre les CTM . . . 25

2.3 Mesures pr´eventives . . . 26

2.3.1 ”Built-In Self-Test ”, BIST . . . 26

2.3.2 Obfuscation . . . 26

2.3.3 Congestion des circuits. . . 27

2.3.4 Technique de chiffrement de logique mat´erielle . . . 27

2.3.5 Encodage des ´etats logiques . . . 27

2.4 Procédés de détection de CTM . . . 28

2.4.1 M´ethodes destructives . . . 29

2.4.2 M´ethodes non destructives . . . 31

2.4.2.1 Analyses par canaux auxiliaires et par injection de fautes . 31 2.4.2.2 Tests logiques . . . 34

2.5 Difficultés techniques liées à la détection de CTM . . . 35

2.5.1 Variabilité des procédés de fabrication . . . 36

2.5.2 Le vieillissement du circuit . . . 36

2.6 Positionnement de la thèse par rapport à l’état de l’art . . . 38

3 Description des outils et des bancs de mesures utilis´es 41 3.1 Les contraintes temporelles . . . 42

3.1.1 Fonctionnement d’un circuit synchrone. . . 42

3.1.2 Violations des contraintes temporelles . . . 44

3.2 Injection de fautes par modification transitoire de la fr´equence d’horloge . . 46

3.2.1 Description du banc de glitchs d’horloge . . . 46

3.2.2 Approche de d´etection . . . 49

3.2.3 Protocole exp´erimental. . . 50

3.3 FPGA . . . 51

3.4 Cibles ´etudi´ees . . . 52

3.4.1 Circuit XOR . . . 52

3.4.2 Circuit AES. . . 53

(12)

3.4.2.2 SubBytes . . . 55

3.4.2.3 ShiftRows. . . 56

3.4.2.4 MixColumns . . . 57

3.4.3 Implantation . . . 58

3.5 Logiciels utilis´es. . . 59

3.5.1 Insertion d’un CTM au niveau RTL . . . 60

3.5.2 Insertion d’un CTM apr`es Placement et Routage . . . 60

4 Utilisation des temps de calcul pour la d´etection de CTM 63 4.1 Validation de l’outil de glitch d’horloge pour la mesure des temps de calcul sur le circuit XOR . . . 64

4.1.1 Montage XOR compos´e d’un suiveur par chemin . . . 64

4.1.2 Montage XOR compos´e de cinq suiveurs par chemin . . . 65

4.1.3 Montage XOR composé d’un nombre différent de suiveurs par chemin 66 4.2 Relation entre des blocs dépendants logiquement . . . 67

4.3 Relation entre des blocs ind´ependants logiquement . . . 70

4.3.1 Principe de la contre-mesure ´etudi´ee . . . 70

4.3.2 Mise en évidence et exploitation des liens électriques entre des blocs logiquement indépendants . . . 72

4.4 Mod`ele de d´elai existant . . . 74

4.5 Définition d’un nouveau modèle de délai . . . 75

5 Détection de CTM insérés au niveau du code VHDL et après l’étape de Placement et Routage sur circuit AES 77 5.1 Validation expérimentale du modèle de temps de calcul . . . 78

5.1.1 Les donn´ees en entr´ee . . . 78

5.1.2 Les conditions exp´erimentales . . . 79

5.1.3 Les variations de proc´ed´es . . . 81

5.2 Ajout de CTM niveau RTL . . . 83

5.3 Détection de CTM inséré au niveau RTL. . . 84

5.3.1 Observation de l’effet de l’ajout d’un CTM sur une carte . . . 84

5.3.2 Détection d’un CTM avec prise en compte des variations de procédés 86 5.4 Ajout de CTM après l’étape de Placement & Routage . . . 89

5.4.1 Sc´enario d’insertion . . . 89

5.4.2 Description des CTM . . . 90

(13)

5.5.1 Observation de l’effet de l’ajout d’un CTM sur une carte . . . 91

5.5.2 Observation de l’impact des variations de proc´ed´es sur les temps de calcul internes . . . 93

5.6 Quantification de l’impact des variations de procédés par rapport à la pr´ e-sence des CTM sur les temps de calcul internes . . . 94

6 Détection de CTM par l’atténuation de l’impact des variations de pro-cédés sur les délais mesurés 99 6.1 Technique d’atténuation des variations de procédés . . . 100

6.2 Construction du modèle de référence . . . 103

6.3 M´ethode de d´etection des CTM . . . 104

6.4 Détection expérimentale des CTM avec prise en compte des variations de procédés . . . 105

6.4.1 Construction du GM . . . 105

6.4.2 Application de la m´ethode de d´etection . . . 105

6.5 Axes d’amélioration de la méthode de détection de CTM. . . 110

6.5.1 Nombre de stimuli . . . 110

6.5.2 Nombre de Stress. . . 111

Conclusion et perspectives 113

Listes des figures 119

Listes des tableaux 121

Publications personnelles 123

(14)

Glossaire / Index

AES : Advanced Encryption Standard

ASIC : Application-Specific Integrated Circuit ATPG : Automatic Test Pattern Generation BIST : Built-In Self-Test

CE : Chip Enable

CLB : Configurable Logic Blocks

CMOS : Complementary Metal Oxide Semi-conductor CPA : Correlation Power Analysis

CTM : Cheval de Troie Mat´eriel DFA : Differential Fault Analysis DLL : Delay Locked Loop

EM : ´ElectroMagn´etique

FPGA : Field-Programmable Gate Array FSA : Fault Sensitivity Analysis

GDSII : Graphical Datatbase System GM : Golden Model

MEB : Microscope ´Electronique `a Balayage LUT : LookUp table

RTL : Register Transfer Level

VHDL : VHSIC Hardware Description Language VHSIC : Very High Speed Integrated Circuit

(15)

(16)

Introduction

Le secteur de l’électronique s’est développé de fa¸con exponentielle au cours de ces dernières décennies. Présent notamment dans les domaines des transports, du militaire, de la défense, des communications et des finances, le monde qui nous entoure s’articule, en partie, autour de ces nouvelles technologies matérielles. Cette demande massive de circuits intégrés a favorisé la croissance de nombreuses entreprises. Ce phénomène s’accompagne également d’une hausse constante du coût économique des usines ainsi qu’une économie tendant vers une certaine mutualisation de ces usines onéreuses. Afin de limiter les frais de production, des industries de fabrication des semi-conducteurs sont délocalisées.

Les circuits intégrés peuvent induire des failles de sécurité. Il est donc important de s’assurer de leur intégrité. La délocalisation des usines de production entraine une perte du contrôle du flot de conception. Des fonctionnalités malicieuses peuvent être insérées avant qu’une puce soit mise sur le marché. On parle de Chevaux de Troie Matériels (CTM, Har-ware Trojans en anglais). Leur principe est similaire à celui des virus ou logiciels espions, sauf qu’ils proviennent de modifications matérielles et non logicielles. Les répercussions envisageables sont nombreuses : des informations confidentielles peuvent être extraites à l’insu de l’utilisateur, voire des dénis de service provoqués.

Face à la complexité technologique d’un circuit intégré, la détection de modifications malicieuses potentielles est une menace de plus en plus à considérer. Elle est devenue depuis peu le fruit de multiples recherches visant à sécuriser un circuit et/ou détecter un CTM. Aujourd’hui, il s’agit d’une préoccupation mondiale. Ce défi est rendu difficile par le comportement de certaines entreprises victimes, qui refusent de mettre à disposition leurs circuits infectés afin de préserver leur propriété intellectuelle et éviter de compromettre leur réputation.

Il existe deux approches pour protéger les circuits intégrés des CTM : la détection et la prévention. L’objectif de cette thèse est d’étudier et de développer une technique de détection de CTM non destructrice, avant l’activation de ce dernier.

Le travail de ce manuscrit s’oriente vers une méthode d’identification de circuits fiables. Le principe général est de mesurer les temps de calcul internes d’un système et ne pas li-miter l’étude uniquement à ses chemins critiques. Ces mesures serviront d’empreintes pour authentifier un circuit. En comparant les empreintes de cartes de référence à d’autres

(17)

pro-venant de cartes dont l’intégrité est à vérifier, on tentera de détecter la présence de CTM. Un outil permettant de diminuer une période d’horloge localement est utilisé pour réaliser les mesures de temps de calcul internes. Son principe repose sur les violations de contraintes temporelles. De plus, cette étude se concentre particulièrement sur la caractérisation des variations comportementales liées aux procédés de fabrication des circuits intégrés ainsi qu’aux conditions expérimentales. Ces paramètres ajoutent un caractère imprévisible aux mesures, rendant la détection de CTM plus complexe.

Le premier chapitre introduit le contexte général des circuits intégrés et la menace représentée par les CTM. Les possibilités d’insertion de modifications malveillantes sont ´

enumérées pour chaque étape de fabrication. Finalement, les éléments permettant de d´ e-crire un CTM sont proposés.

Le second chapitre décrit l’état de l’art des méthodes de protection contre les CTM. Il détaille les approches de détection et de prévention ainsi que les difficultés techniques relatives à leurs mises en place.

Une description des outils et des bancs de mesures utilisés est faite dans le troisième chapitre. On rappelle les contraintes temporelles auxquelles est soumis un circuit syn-chrone. Par la suite, les circuits cibles utilisés pour les mesures, les logiciels ainsi que les supports matériels sont présentés.

Le chapitre 4 insiste sur l’usage des temps de calcul internes comme canal prometteur pour la détection de CTM. On vérifie que les violations de contraintes temporelles im-pactent la logique combinatoire des circuits cibles. Ensuite, les relations électriques entre blocs logiques (dépendants ou non) sont décrites. Pour finir, un nouveau modèle de temps de calcul qui servira de support aux études sera proposé.

Le travail de recherche du chapitre 5 valide le modèle qui prend en compte les variations de procédés, l’influence électrique des composants les uns sur les autres et les conditions expérimentales. La première démarche consiste à valider la mesure de temps de calcul comme canal permettant de repérer la présence d’un CTM. Un CTM combinatoire est ajouté au niveau de la description VHDL d’un AES-128 bits implanté sur 4 cartes FPGA de même modèle. La seconde démarche consiste à insérer deux CTM séparément après l’étape de Placement & Routage.

Le chapitre 6 propose une nouvelle technique de traitement des données. Cette méthode repose sur la diminution de l’impact des variations de procédés sur les mesures effectuées. Au cours des différentes études, les pistes de recherches et d’améliorations sont également présentées.

(18)

Chapitre

1

Fabrication et menaces envers les circuits

int´egr´es

Sommaire

1.1 Présentation des circuits intégrés . . . 6

1.1.1 Contexte g´en´eral . . . 6

1.1.2 Circuits de sécurité et menaces associées . . . 7

1.2 Cas référencés de Chevaux de Troie Matériels (CTM) . . . 9

1.3 Pourquoi parle-t-on de CTM ?. . . 9 1.4 Taxonomie. . . 10 1.5 Phase d’insertion. . . 11 1.5.1 Acteurs . . . 11 1.5.2 Sp´ecifications . . . 12 1.5.3 Conception . . . 12 1.5.4 Fabrication . . . 13 1.5.5 Encapsulation et assemblage . . . 18 1.5.6 Tests. . . 18

1.6 Caract´eristiques physiques . . . 18

1.7 Effets . . . 19

1.8 M´ecanisme d’activation . . . 19

1.9 Niveau d’abstraction . . . 20

1.10 Emplacement . . . 20

(19)

Après une brève introduction des menaces concernant les circuits intégrés, ce chapitre décrit le fonctionnement général d’un cheval de Troie Matériel.

Ensuite, les risques de modifications malveillantes existants lors des différentes étapes de production d’un circuit intégré seront abordés. Dans cette présentation détaillée du flot de conception, les phases les plus sensibles seront identifiées.

Pour finir, les méthodes d’ajout de Chevaux de Troie Matériels seront décrites.

1.1 Pr´

esentation des circuits int´

egr´

es

1.1.1 Contexte g´en´eral

De nos jours, les circuits intégrés (on parle également de puces électroniques) sont présents dans de multiples secteurs tels que la communication, les transports, la santé et la finance. Leurs composants élémentaires (mémoires, capteurs, logique, microprocesseurs, etc.) doivent répondre à des contraintes de fiabilité, de sécurité et de dimensionnement.

-1% 1% 3% 5% 7% 9% 11% 13% 15% 17% 19% 21% 23% 0% 5% 10% 15% 20% 25% 30% PC standards 59.1$ Téléphones portables 70.7$ Serveurs 14$ Décodeurs 5.5$ TV numériques 14.1$ Automobiles 21.7$ Consoles de jeu 4.5$ Médical 4.5$ Tablettes

17.6$ Réseaux sans fil 9.4$

Fournitures connexion Internet

3.3$ 25%

Marché de l’utilisation finale des circuits intégrés (en Milliard de $) et leur taux de croissance

Taux de croissance annuel

Figure 1.1 – Marché des circuits intégrés

La figure 1.1représente le marché de l’utilisation finale des circuits intégrés ainsi que l’estimation de leur croissance pour 11 principaux domaines d’application. Cette étude, réalisée en 2013, est basée sur des prévisions à 5 ans de ces marchés [57]. Le chiffre d’affaires généré pour ces 11 grands secteurs d’activité représente 76 % du marché total des puces

(20)

1.1. Présentation des circuits intégrés

électroniques dans le monde en 2014. Les analystes prévoient une croissance de 85 % à horizon 2018.

1.1.2 Circuits de sécurité et menaces associées

Les premiers circuits intégrés dédiés aux applications sécuritaires ont été introduits dans les années 90 par le biais des cartes à puces. Leur rôle premier est d’assurer des fonctions d’identification comme notamment les cartes SIM et les cartes VITALE. En 1998, des chercheurs de l’université de Cambridge ont mis en avant la possibilité de réaliser des attaques plus ou moins complexes dans le but d’extraire des données confidentielles ou sensibles. Cette mise à mal à imposer à l’industrie de la carte à puce de mettre des moyens conséquents pour protéger les circuits contre différents types d’attaques. En effet, il existe par exemple un ensemble d’attaques dites ättaques en fautes” qualifiées d’actives (cf [50]). D’autres types d’approches ont été également mises au point telles que les attaques par sondage ou par canaux auxiliaires qui sont dites passives (cf section 2.4).

Par ailleurs, compte tenu des besoins croissants en terme de composants électroniques (cf figure1.1), il est nécessaire de disposer des ressources industrielles adéquates pour r´ e-pondre à ce marché. Seuls de grands groupes disposant d’unités de production évoluées sont capables d’assurer cette fourniture en composants. L’industrie des semi-conducteurs est un secteur de l’économie où les coûts sont les plus importants au regard de l’évolution technologique. En effet, un changement de technologie engendre 30 % de coûts suppl´ emen-taires. Les principales unités de fabrication en Europe ne permettent plus d’assurer des volumes suffisants. Ceci impose donc de faire appel à des usines hors de ses frontières. Le tableau1.1récapitule le classement des plus gros fondeurs dans le monde [101]. Une grande majorité de ces entreprises sont regroupées dans certaines régions du globe en raison d’une main d’œuvre bon marché et d’aides financières gouvernementales [26]. Ce regroupement soulève des questionnements d’ordre géopolitique quant à l’intégrité des circuits délivrés. Cette ouverture à l’étranger pose de sérieux problèmes de confiance de deux types :

– la contrefa¸con : selon le site de l’INPI [56] ¨la contrefa¸con se définit comme la repro-duction, l’imitation ou l’utilisation totale ou partielle d’un droit de propriété intel-lectuelle sans l’autorisation de son propriétaire”. Au niveau mondial, la contrefa¸con des circuits intégrés représente 7 % de part de marché d’après [81], ce qui induit une perte de plus de 10 milliards de dollars par an. Outre les pertes financières, l’utilisa-tion des composants contrefaits représente un danger vis-à-vis de la sécurité et de la fiabilité. L’ERAI (Electronic Resellers Association International) est une association privée qui travaille pour des entreprises afin de traquer les composants électroniques contrefaits. En 2011, elle a recensé plus de 1 300 cas de falsifications partout dans le monde [51]. C’est plus du double des cas reportés en 2010, et du quadruple de ceux

(21)

rapportés en 2009. Les auteurs de [93] présentent des règles à suivre pour tenter de limiter le risque de contrefa¸cons. Ils illustrent leurs propos avec quelques exemples de compagnies victimes de ces attaques. On distingue notamment le cas de l’entreprise NEC, géant japonais dans le secteur de l’électronique, qui a découvert un réseau de contrefa¸cons allant de la fabrication à la distribution de ces produits. Face à cet inci-dent, l’entreprise a développé durant 3 ans une protection basée sur des empreintes digitales d’objets via des motifs 3D. Cette technique est disponible depuis juin 2015 [75]. Elle pourrait être applicable à d’autres domaines d’activité.

– les Chevaux de Troie Matériels : d’après [94], on appelle Cheval de Troie Matériel (CTM) toute modification malicieuse de circuits ¨légitimes” faite au cours des étapes de production d’une puce. Il existe des fabricants traditionnels de circuits intégrés (appelés IDM pour Integrated Device Manufacturers) qui réalisent eux-mêmes la pro-duction et la vente de leurs circuits intégrés. On distingue notamment les américains Intel, Texas Instruments, les européens STMicroelectronics ou Infineon et le japonais Renesas. Néanmoins, les IDM sont peu nombreux car la mise en place du procédé de fabrication requiert des équipements coûteux, de l’ordre du milliard d’euros, pour lesquels peu d’entreprises peuvent se permettre d’investir. On dit alors qu’une société est fabless lorsqu’elle ne s’est spécialisée que dans la conception et la vente de puces ´

electroniques. La fabrication de ces circuits est sous-traitée à des sociétés spécialisées externes appelées fonderies. Cependant, l’externalisation du processus de fabrication des composants électroniques qui induit la délégation à une tierce partie, lui donne ainsi la possibilité d’implanter des fonctionnalités non désirées au sein du système, voire d’ajouter du matériel malveillant au circuit original. On parle d’insertion de CTM.

Le travail présenté dans ce manuscrit s’inscrit dans le contexte des circuits dédiés à des applications de sécurité qui sont produits dans des environnements où la confiance ne peut être garantie. Il se focalise particulièrement sur la détection des CTM. Cette thèse est cofinancée par le Commissariat aux Énergies Atomiques (CEA) et par la Direction Générale de l’Armement (DGA). Elle a été réalisée dans le laboratoire Systèmes et Archi-tectures Sécurisées (SAS). Ce laboratoire travaille notamment sur le thème de la protection des circuits intégrés contre les CTM dans le cadre de deux projets de recherche démarrés en 2012 : un projet européen appelé HINT [1] et un projet ANR (Agence Nationale de la Recherche) nommé HOMERE+ [2]. Ils ont pour but d’une part de rechercher et de développer des méthodes de détection de CTM, et d’autre part de trouver des solutions permettant d’empêcher leur insertion.

(22)

1.2. Cas référencés de Chevaux de Troie Matériels (CTM)

Classement Compagnie Emplacement Chiffre d’affaire (Millions de $)

1 TSMC Ta¨ıwan 19 850

2 GlobalFoundries Etats-Unis´ 4 261

3 UMC Ta¨ıwan 3 959

4 Samsung Cor´ee du Sud 3 950

5 SMIC China 1 973

6 Powerchip Ta¨ıwan 1 175

7 Vanguard Ta¨ıwan 713

8 Huahong Grace Chine 710

9 Dongbu Cor´ee du Sud 570

10 TowerJazz Isra¨el 509

11 IBM Etats-Unis´ 485

12 MagnaChip Cor´ee du Sud 411

Table 1.1 – Classement des fonderies pour l’ann´ee 2014

1.2 Cas r´

ef´

erenc´

es de Chevaux de Troie Mat´

eriels (CTM)

Les premiers exemples de CTM ont été signalés à la fin des années 2000. Les entreprises dont les circuits ont été infectés par des CTM préfèrent garder sous silence ces incidents afin de ne pas entacher leur réputation et ainsi réduire leur part de marché. C’est pour cela que peu de cas sont référencés dans la littérature. Cependant, les risques sont bel et bien présents. Du déni de service à la fuite d’informations confidentielles, toutes les conséquences peuvent être économiquement graves ou dangereuses pour la sécurité des utilisateurs.

En 2007 par exemple, un radar syrien n’a pas prévenu l’arrivée d’une attaque aérienne [7]. À cause de ce dysfonctionnement, on soup¸conne que ce dernier était pourvu d’un CTM. Les incidents de ce type tendent à croˆıtre de plus en plus. Bien qu’il n’y ait pas de valeurs chiffrées précises, beaucoup de rapports soulèvent cette question des CTM, et notamment la manière dont ils ont pu être introduits soulevant un fort soup¸con du processus de fabrication.

1.3 Pourquoi parle-t-on de CTM ?

Dans la mythologie grecque antique, selon l’Iliade [28], la guerre de Troie entre les grecs et les troyens est classée comme un évènement légendaire qui débute par l’enlèvement d’Hélène, l’épouse du roi grec de Sparte. Homère raconte par la suite dans l’Odyssée [53] qu’après plusieurs confrontations, Ulysse fait construire un cheval en bois en guise d’offrande aux troyens pour reconnaitre leur supériorité face aux grecs. Pour fêter leur

(23)

victoire, les troyens font ensuite rentrer le cheval piégé dans leurs murs. Durant la nuit, alors que tous fêtent leur succès, les guerriers grecs enfermés dans le cheval sortent de leur cachette, ouvrent les portes de la cité à l’armée grecque qui attendait dehors et assiègent la ville de Troie. Hélène fut ramenée à Sparte 20 ans après son enlèvement. Ce cadeau a ainsi constitué une bonne supercherie pour duper les Troyens.

Le terme de cheval de Troie fait ainsi référence à cette intrusion malveillante qui a un effet néfaste à l’insu du propriétaire ou de l’utilisateur. Il s’est généralisé dans le domaine de l’informatique et de l’électronique particulièrement.

1.4 Taxonomie

Plusieurs descriptions de CTM ont été proposées afin de mieux les répertorier. Il existe une taxonomie répandue et utilisée est présentée dans [97] et dans [94]. Elle permet de réduire la description d’un CTM en trois principales catégories (les trois premières écrites et encadrées en bordeaux sur la figure1.2). Cependant, une taxonomie détaillée fait office de référence à ce jour (présentée par la figure1.2). Elle est disponible sur le site Trust-HUB [54].

Chevaux de Troie Matériels

Phase d’insertion Niveau d’abstraction Mécanisme d’activation Effets Emplacement Caractéristiques physiques Spécification Conception Fabrication Tests Assemblage et Emballage Système Environnement de développement Register Transfer Level (RTL) Portes logiques Layout Physique Toujours activé Activation via un trigger Interne Basé sur le temps

Basé sur une condition physique Externe Valeur d’entrée de l’utilisateur Valeur de sortie du composant Modification de la fonctionnalité Dégradation de performances Fuite d’information Deni de service Processeur Mémoire Entrées/Sorties Alimentation électrique Arbre d’horloge Distribution Taille Type Paramétrique Fonctionnel Structure Même layout Layout modifé Taxonomie détaillée

Figure 1.2 – Taxonomie des CTM.

Elle est organisée en 6 critères différents qui sont : – la phase d’insertion,

– les caract´eristiques physiques, – les effets,

(24)

1.5. Phase d’insertion

– le m´ecanisme d’activation, – le niveau d’abstraction, – l’emplacement.

Une description de ces diff´erentes cat´egories sera faite dans les parties suivantes.

1.5 Phase d’insertion

Il est intéressant d’explorer les niveaux de fiabilité et de vulnérabilité des différentes étapes de réalisation d’un circuit intégré comme précisé dans [86]. La production d’une puce se décompose en 5 phases principales :

– les sp´ecifications, – la conception, – la fabrication, – les tests,

– l’assemblage et l’emballage.

Certaines de ces étapes sont favorables à l’ajout de parties malveillantes en toute discrétion. Les auteurs dans [21] présentent différents scénarii, dans lesquels le circuit pourrait avoir subi des implantations de CTM. On peut constater que presque toutes les étapes de production d’un circuit intégré sont potentiellement vulnérables (cf figure 1.3

inspir´ee de [58]).

Spécification Conception Fabrication Test

Ajout de composants réalisés par un tiers

Utilisation de logiciels CAO Bibliothèques de cellules Production de wafers Photolithographie Gravure et dopage Vérification des wafers Découpage et encapsulation Niveau de suspicion Elevé Faible Mitigé Assemblage Emballage

Figure 1.3 – Niveau de suspicion des étapes de production d’un circuit intégré

1.5.1 Acteurs

On distingue 4 principaux acteurs qui interviennent dans le processus de production d’un circuit int´egr´e :

(25)

– le concepteur, pour l’étape de conception, – le fondeur, pour l’étape de fabrication, – le testeur, pour l’étape de test.

L’étape d’assemblage/emballage peut être réalisée par le fondeur, l’entreprise cliente, ou par un sous-traitant.

1.5.2 Sp´ecifications

Les protocoles à utiliser, les fonctions à réaliser ainsi que les performances nécessaires sont définis au cours de l’étape de spécification en prenant soin de respecter les besoins et les contraintes définies du circuit intégré. Dans la plupart des cas, cette étape est effectuée dans l’entreprise, dans la mesure où il n’est pas nécessaire d’avoir des ressources logicielles ou matérielles spécifiques.

De fa¸con générale, à la fin de cette phase, il est assez facile d’analyser les spécifications afin de détecter s’il y a eu modifications non désirées. C’est pour cela qu’elles sont repr´ e-sentées sur fond vert dans sur la figure1.3. Les données relatives aux circuits peuvent être aisément contrôlées, contrairement aux étapes de production suivantes. Des mises à jour voire des changements complets des spécifications du circuit sont réalisables sans entrainer de coûts supplémentaires élevés.

1.5.3 Conception

Avant de fabriquer une puce, il faut tout d’abord en dessiner le schéma. La conception permet de spécifier la fa¸con dont le circuit va être modélisé afin de répondre au cahier des charges. Les outils de conception permettent de définir les différents blocs du circuit int´ e-gré ainsi que leur placement à partir de la spécification fonctionnelle de la puce. Chaque ´

elément est ensuite routé. Après quelques vérifications physiques LVS (Layout vs. Sche-matic) et DRC (Design Route Checking), des fichiers binaires sont générés. On distingue principalement le GDSII. Il représente le dessin des masques de la puce (le layout ). Ces masques sont utilisés pendant les étapes de lithographie.

Les concepteurs accordent beaucoup d’importance à la sécurité du circuit, dans la mesure où il existe un grand nombre d’influences extérieures possibles (dans le cas d’une application finale).

Il est possible le flot de production passe par un tiers, ce qui rajoute un risque d’inser-tion de CTM (cf figure1.3).

(26)

1.5.3.1 Logiciels de Conception Assist´ee par Ordinateur (CAO)

L’utilisation des outils CAO pour les entreprises est indispensable dans le processus de conception des circuits intégrés. Le développement de ces logiciels est un processus extrêmement coûteux. Ce marché de conception des outils CAO est dominé par trois compagnies : Synopsys, Mentor Graphics et Cadence.

L’utilisation de logiciels de conception peut également constituer une source extérieure permettant l’ajout d’un cheval de Troie. En effet, le code source de ces outils n’est pas disponible. Si une faille de sécurité existe dans le logiciel utilisé, tous les circuits réalisés par ce logiciel seraient impactés par cette faille. Néanmoins, les produits CAO mis à la vente sont extrêmement surveillés, beaucoup plus que les composants faits par un tiers. La fiabilité de cette étape est considérée donc comme mitigée.

1.5.3.2 Biblioth`eque de cellules

Les bibliothèques de cellules sont une base de données informatiques qui regroupe un ensemble de portes électroniques basiques. Elles sont sollicitées à différents niveaux de conception d’un circuit intégré [34]. On y trouve des informations concernant les résultats des simulations effectuées, la géométrie et les spécifications électriques du circuit. Ces cellules sont fournies par le fondeur. Chaque fondeur peut avoir sa propre bibliothèque.

Si les règles de conceptions de fonctions élémentaires sont respectées (largeur de grille, niveaux d’interconnexions, etc.), il est envisageable de fabriquer une librairie en y insérant des CTM. Ainsi, cette nouvelle bibliothèque constituerait un moyen d’insertion de CTM. Cependant, compte tenu de leurs petites tailles, il est intéressant de fabriquer en interne ces fichiers sans faire appel à un tiers ou de mener des investigations afin vérifier leur intégrité. Sur la figure 1.3, le niveau de confiance de cette étape est mitigé.

1.5.4 Fabrication

Dans le processus d’élaboration d’un circuit intégré, la fabrication est la phase où on passe de la description numérique à une puce réelle. Au fil des années, le processus de fabrication s’est beaucoup amélioré, permettant de créer des puces plus petites, plus rapides et ayant besoin de très peu d’énergie. De fa¸con générale, le rendement dépend de la maturité du processus de fabrication.

La fabrication de circuits intégrés requiert une salle blanche qui permet de minimiser au maximum l’introduction, la production et la conservation de particules pouvant altérer la qualité du circuit fabriqué. À l’échelle de la puce, un grain de poussière peut être suffisamment gros pour empêcher la circulation des électrons.

(27)

réalisation d’un circuit intégré. Ils expliquent les nombreuses difficultés et complexités de fabrication auxquelles de nombreux concepteurs fabless sont confrontés.

1.5.4.1 Production de wafer

La matière première d’un circuit électronique est le silicium (Si). La silice, on parle aussi de dioxyde de silicium (SiO2), représente 25 % de la masse de la croute terrestre. Elle existe à l’état naturel sous forme de sable. Après l’oxygène, c’est l’élément le plus répandu sur Terre. L’arséniure de gallium ou le germanium sont également des matériaux utilisés, mais pour des applications différentes. Le germanium par exemple est utilisé pour les composants optiques (diode à faible chute de tension, cellules photovolta¨ıques multi-jonctions).

Le silicium est extrait de la silice, car il n’existe pas à l’état pur. Afin de l’extraire, la silice est déposée dans un creuset en graphite puis elle est liquéfiée. La température de fusion du silicium est de 1414˚C. Le silicium liquide est pur à 98 %, mais est néanmoins purifié jusqu’à atteindre un taux de pureté proche de 99,999 %.

Le silicium obtenu est alors tiré progressivement afin d’obtenir des lingots, sous couvert de conditions particulières (température, vitesse de rotation, déplacement, etc.). Les figures

1.4et1.5présentent le tirage d’un lingot et le produit final. Le diamètre des lingots dépend de la vitesse de tirage (150 mm, 200 mm ou 300 mm). Ce procédé est effectué selon la méthode de Czochralski [43].

Figure 1.4 – Tirage d’un lingot de silicium [10]

Le lingot de silicium est ensuite équeuté puis découpé en tranches qui sont par la suite polies et traitées chimiquement afin de s’assurer d’un résultat sans aucune aspérité (cf fig

1.6). On obtient alors des galettes de silicium appelées wafers. L’épaisseur des plaquettes obtenues est généralement de 380µm. Cette valeur permet de concilier finesse et résistance

(28)

Figure 1.5 – Pr´esentation d’un lingot de silicium [10]

face aux contraintes mécaniques intervenant au cours des étapes de fabrication. Les wafers ayant des larges diamètres pourront intégrer plus de circuits intégrés à nombre d’étapes équivalentes.

Figure 1.6 – D´ecoupage du lingot de silicium en wafer [10]

Cette étape de base ne contient aucune donnée concernant le circuit final. Il n’y a donc aucun risque d’insertion de CTM à ce niveau de production.

Les transistors sont la base des circuits intégrés. Bien que le silicium n’a pas les pro-priétés électriques idéales pour la réalisation de ces composants, il est possible de contrôler ses caractéristiques électriques localement. Dans la suite de ce document, les étapes de fabrication d’un transistor seront décrites.

(29)

1.5.4.2 Photolithographie

Les étapes du procédé de photolithographie commencent par l’application d’une pho-torésine sous forme d’un film fin sur la surface du substrat (le silicium). Une couche de dioxyde de silicium (SiO2) est ainsi créée à la surface du wafer pour servir d’isolant. Sur celle-ci s’ajoute une couche de nitrure de silicium pour former la grille du transistor puis une d’une résine photosensible. Par la suite, suivant le principe du pochoir, un rayonne-ment ultraviolet est projeté à travers un masque puis une lentille pour réduire la taille du motif du masque (cf fig 1.7). Ainsi, les zones de résine directement en contact avec le rayonnement sont insolées. L’étape de développement permet de supprimer les résines qui ont été insolées à l’aide d’un solvant.

Figure 1.7 – Photolithographie [10]

La fabrication d’un circuit nécessite entre 35 et 40 masques. Le prix d’un masque est généralement de l’ordre du millier voire des centaines de milliers d’euros [99]. Son prix varie notamment en fonction de sa complexité et de sa précision. D’après [87], le coût de développement d’une technologie augmente de 30 % par nœud technologique.

Au cours d’une étape de photolithographie, le masque d’origine peut être substitué par un autre contenant un CTM. En effet, toute modification du masque entraine une directe répercussion sur le circuit achevé. Il est alors extrêmement difficile pour le concepteur du circuit d’origine de repérer les changements qui ont été effectués à son insu, même s’il possède une copie des masques utilisés.

Cette phase constitue le seul moment où l’attaquant bénéficie d’un contrôle quasi total sur la puce. Aussi, cette étape critique apparait sur fond rouge sur la figure 1.3.

(30)

1.5.4.3 Gravure et dopage

Un mélange de gaz (ou un bain d’acide) permet de supprimer les parties non protégées par la résine, qui servent d’isolant et de grille au transistor, dans le but d’atteindre la couche de silicium. Ainsi disponible, la couche de silicium est dopée avec des atomes de phosphore (dopage N, ajout d’électrons) ou de bore (dopage P, ajout de trous d’électrons), ce qui permet de modifier les propriétés de conductivité du silicium.

Pour finir, la couche de résine restante au dessus de la grille est supprimée en fin de fabrication du transistor. Le transistor ainsi terminé doit être isolé. À l’aide de masques, des lignes de métaux sont créées afin de connecter les transistors entre eux (cf figure1.8).

Figure 1.8 – Ajout de couches de m´etal entre les transistors [10]

Cette étape étant très rigoureuse et peu variable, un attaquant peut difficilement ef-fectuer des modifications. Le déni de service peut toutefois être une option à envisager. Ajouter des impuretés au design augmente les chances de ce dernier de ne pas fonctionner convenablement. Cette étape présente un réel intérêt pour l’attaquant.

1.5.4.4 V´erification des wafers

Une fois les circuits terminés, ils sont tous testés à l’aide d’une carte à pointes, afin d’éliminer les pièces non fonctionnelles et celles ayant subi des dommages durant le procédé de fabrication. Pour ce faire, les circuits sont tous soumis à des vecteurs de tests et leurs comportements analysés (tests paramétriques et fonctionnels).

Dans la mesure où de nouvelles modifications au sein du circuit n’ont pas lieu, il n’est pas envisageable d’insérer des CTM ici. Néanmoins si les tests de vérification sont en dehors de l’unité de fabrication, il est possible d’échanger volontairement un wafer non infecté par un wafer ne contenant que des puces ayant subi des modifications malicieuses.

(31)

Il est aussi envisageable qu’un lot complet de wafers non corrompus soient remplacés. En règle générale, les vecteurs de tests utilisés sont fiables, et cette étape est gén´ era-lement réalisée en interne. Ils sont préparés pendant la phase de conception. Cette étape est donc représentée avec un fond vert sur la figure 1.3.

1.5.5 Encapsulation et assemblage

`

A l’issue des tests, les wafers sont sciés afin d’isoler les puces. Puis les circuits sont connectés à des boitiers. Ici un attaquant peut insérer, en plus du circuit initial, un circuit supplémentaire en guise de CTM. Cet ensemble est ainsi encapsulé, pour ne former qu’une entité.

Bien que les équipements nécessaires à l’encapsulation sont également coûteux, des entreprises décident toutefois d’investir au moins dans ces installations pour réaliser elle-même cette étape.

1.5.6 Tests

Dès que les circuits sont fabriqués et encapsulés, une nouvelle série de tests est menée pour s’assurer de leur bon fonctionnement. Plus la complexité de la puce est élevée, plus la vérification de leur comportement est compliquée. Tous ces tests peuvent être coûteux et requérir beaucoup de temps de mise en œuvre. Dans [67], une vue assez générale des différents types de tests sur circuits intégrés sont abordés. Représentant environ 40 % du coût total de production d’une puce, ces tests sont souvent réalisés par un tiers [52]. Dans cette phase, peu d’informations de la puce sont disponibles (emplacement précis des portes logiques par exemple). Néanmoins, les tests peuvent être volontairement négligés afin de mettre sur le marché des circuits infectés.

1.6 Caract´

eristiques physiques

Les caractéristiques physiques d’un CTM permettent de définir son état général à l’intérieur de la puce. On distingue :

– la distribution : un CTM peut être implémenté de diverses fa¸cons sur une puce. La distribution permet de préciser s’il occupe une région bien déterminée sur la puce ou si, au contraire, il est dispersé.

– la taille : cet élément permet de définir la place occupée par le CTM dans la puce, ainsi que le nombre de composants nécessaires à sa création.

– le type : il peut être fonctionnel ou paramétrique. Un CTM sera dit fonctionnel si son auteur ajoute ou supprime des transistors, des fils ou des portes logiques à la puce initiale. Sinon, il sera qualifié de paramétrique. Dans ce cas, cela peut entraˆıner

(32)

1.7. Effets

une modification de la circuiterie par amincissement de fils, par affaiblissement des bascules ou des transistors voire par soumission de la puce `a des radiations.

– la structure : cette caractéristique indique si les dimensions de la puce ont été mo-difiées, et s’il y a eu du changement dans le placement des composants de la puce originale. On parle de modification du layout.

1.7 Effets

Les effets d’un CTM peuvent modifier les propriétés paramétriques de la puce, changer sa fonctionnalité, ou même activer à un moment choisi un déni de service. Des informations confidentielles peuvent ainsi être transmises.

Une définition supplémentaire de la partie active du CTM est introduite dans [61]. On y différencie les charges actives implicites des charges actives explicites.

Une charge active est explicite si elle modifie la valeur des signaux internes en cas d’activation. La puce peut alors avoir un comportement anormal, voire transmettre des informations secr`etes via les ports de communication.

Une charge active est implicite si elle induit une activité n’ayant pas d’influence directe sur les signaux internes du circuit. Elle peut provoquer des émissions d’ondes radio qui contiennent des informations critiques ou encore la destruction complète du circuit infecté. Dans [70], les auteurs présentent un CTM basé sur des fuites d’informations secrètes via des canaux auxiliaires tels que la consommation de courant.

1.8 M´

ecanisme d’activation

Le mécanisme d’activation va permettre le déclenchement du CTM. On parle du d´ e-clencheur ou de la gâchette, également communément appelé le trigger. Un CTM peut en avoir plusieurs.

L’activation d’un CTM peut se faire grâce une comparaison entre un état du système et un état définit par l’attaquant. Dans la majeure partie des cas, le CTM s’active selon une condition basée sur un ou plusieurs signaux internes de la puce. Il peut s’agir d’états logiques, d’une entrée spécifique, de la valeur atteinte par un compteur, etc.

Il existe d’autres fa¸cons de déclencher le trigger. Par exemple, un CTM peut être également activé de fa¸con externe : il attendra un signal logique fourni par un mécanisme ajouté par l’attaquant. On peut également retrouver des systèmes de déclenchement à distance.

(33)

Comme expliqu´e dans [11] et [61], on distingue les CTM dit s´equentiels de ceux dit combinatoires :

– un CTM séquentiel est contrôlé par une machine d’état sensible à un certain nombre de signaux internes et déclenche la partie active du CTM après une succession de séquences spécifiques. Dans [98], les auteurs présentent différents types de CTM séquentiels.

– un CTM combinatoire se déclenche lorsqu’une condition spécifique se produit issue de fonctions logiques entre les signaux internes du système.

1.9 Niveau d’abstraction

On distingue principalement deux types d’infection des circuits intégrés. Dans le cas d’utilisation d’ASIC (Application Specific Integrated Circuit ), l’attaquant qui veut insérer un CTM possède deux options d’intégration :

– insertion au niveau RTL : la description matérielle est directement modifiée. Dans la mesure où la modification a lieu au niveau de l’étape de conception, les masques crées seront infectés par le CTM.

– insertion au niveau de la fabrication par modification des masques générés par le fichier GDS II ou par ajout de nouveaux masques :

– il peut utiliser les cellules de r´eserve (spare cells). Il sera contraint de refaire les masques d’interconnexions utiles pendant l’´etape de photolithographie (cf section

1.5.4.2). On aura ainsi une nouvelle g´en´eration de masques.

– il peut remplacer les cellules de remplissage (filler cells) par des cellules standards qui permettraient de modéliser le CTM voulu. Cette dernière approche est très coûteuse (surtout en temps) et complexe (analyse du circuit notamment), dans la mesure où tous les masques doivent être changés et les interconnexions modifiées.

1.10 Emplacement

Un CTM peut être implanté à différents endroits de la puce. Les blocs sensibles à l’in-sertion de modifications malveillantes et ayant un rôle majeur dans le bon fonctionnement du circuit sont :

– le processeur, – les m´emoires,

– les entr´ees et les sorties, – l’alimentation ´electrique, – l’arbre d’horloge.

(34)

1.11. Conclusion

1.11 Conclusion

Ce premier chapitre montre que pour des raisons économiques, le flot de production de circuits intégrés implique différents acteurs. Les intérêts possiblement divergents de ces derniers mettent en cause la fiabilité des produits finaux. Des exemples d’insertion de CTM ont été soup¸connés au cours de cette dernière décennie.

Par la suite, ce chapitre a présenté une taxonomie qui permet de classer les différents types de CTM. Elle sera utilisée dans la suite de cette thèse.

Pour finir, la description des ´etapes de production a montr´e que les phases de concep-tion et de fabricaconcep-tion sont les plus critiques.

Le chapitre suivant dresse l’état de l’art des techniques préventives et des méthodes de détection des CTM une fois le circuit fabriqué.

(35)

(36)

Chapitre

2

M´ethodes de protection contre les CTM

Sommaire

2.1 Protection des circuits int´egr´es . . . 24

2.2 Définition de la stratégie d’approche pour la protection de cir-cuits intégrés contre les CTM . . . 25

2.3 Mesures pr´eventives . . . 26

2.3.1 ”Built-In Self-Test ”, BIST . . . 26

2.3.2 Obfuscation . . . 26

2.3.3 Congestion des circuits. . . 27

2.3.4 Technique de chiffrement de logique mat´erielle . . . 27

2.3.5 Encodage des ´etats logiques . . . 27

2.4 Procédés de détection de CTM . . . 28

2.4.1 M´ethodes destructives . . . 29

2.4.2 M´ethodes non destructives . . . 31

2.5 Difficultés techniques liées à la détection de CTM. . . 35

2.5.1 Variabilité des procédés de fabrication . . . 36

2.5.2 Le vieillissement du circuit . . . 36

2.6 Positionnement de la thèse par rapport à l’état de l’art . . . 38

(37)

Dans le chapitre précédent, il a été montré que les circuits intégrés peuvent être la cible d’insertion malveillante de CTM. Il est donc nécessaire de trouver des méthodes pour les détecter et tenter d’empêcher leur insertion.

Ce chapitre définit la notion de protection des circuits intégrés. Par la suite, il présente l’état de l’art des diverses techniques (moyens préventifs et stratégie de détection) contre les CTM. Les difficultés techniques liées à la détection sont également décrites.

Pour finir, ces pr´esentations permettent de positionner nos travaux de recherche.

2.1 Protection des circuits int´

egr´

es

D’après [25], la définition première du terme protection est :

”Protection : action ou fait de soustraire quelque chose (ou quelqu’un) `a un danger, `

a un risque qui pourrait lui nuire”

Dans notre contexte et selon cette définition, l’objectif est de protéger le circuit intégré pour garantir son intégrité contre toute insertion de CTM.

Il existe des approches préventives pour limiter l’ajout de CTM. Cependant, malgré un nombre important d’initiatives, il est impossible à ce jour pas de se protéger à 100 % contre l’insertion de CTM compte tenu d’une variété quasi-infinie de ces derniers. Dans [6], les auteurs mettent en avant la difficulté de garantir l’intégrité d’une puce car les techniques existantes sont jugées trop spécifiques à la prévention d’un certain type de CTM.

Puisque les méthodes de prévention n’assurent pas une protection totale, il est n´ eces-saire d’ajouter une étape de détection afin d’augmenter les niveaux de protection. Ces approches de détection sont souvent basées sur des méthodes d’attaques (actives et pas-sives) synthétisées dans [94]. Une étape de tests supplémentaires s’impose donc avant la mise sur le marché de ces circuits. Ainsi, la définition concernant la protection des circuits intégrés peut alors être étendue à :

”et mettre des moyens en œuvre afin de s’assurer que l’élément considéré fonctionne bien et répond aux attentes qui lui sont demandées quelle que soit la situation.”

La combinaison des méthodes de prévention et de détection devrait permettre de mi-nimiser la quantité de puces non fiables sur le marché.

(38)

2.2. Définition de la stratégie d’approche pour la protection de circuits intégrés contre les CTM

2.2 D´

efinition de la strat´

egie d’approche pour la protection

de circuits int´

egr´

es contre les CTM

Pour garantir une protection optimale des circuits intégrés, la stratégie d’approche pour la protection de circuits intégrés contre CTM peuvent se décomposer en trois parties :

– la première étape définit les moyens et les procédés de mise en œuvre. Cette phase s’accompagne de recherches bibliographiques sur les approches déjà existantes sur le circuit intégré concerné. Il est impératif de connaˆıtre l’élément cible visé. Cela passe par l’analyse des spécifications techniques ainsi que la conception et les protocoles utilisés par le circuit (s’ils sont référencés).

– il est par la suite important de décider d’un protocole expérimental. Il faut identifier notamment les entrées/sorties disponibles et/ou nécessaires ainsi que les simulations et les tests à effectuer. Selon l’élément étudié, il peut être nécessaire de préparer l’échantillon (décapsulation chimique ou mécanique par exemple). Ensuite, vient la phase de mesures définie dans le plan d’action. Pour ce faire, un ou plusieurs bancs de mesures peuvent être requis. On distingue notamment les mesures de consommation, d’émissions électromagnétiques, de temps de calcul, etc.

– la dernière partie est la phase de traitements. Elle peut dépendre des données me-surées ou simplement se baser sur l’étude du fonctionnement du circuit telle que la réalisation de tests statistiques pour en comprendre ou vérifier un bon fonctionne-ment.

En règle générale, qu’il s’agisse de détections ou d’attaques envers un circuit intégré, les approches sont assez similaires : il faut modéliser la menace afin de définir les protections adéquates.

La recherche de CTM est considérée comme une tâche extrêmement difficile, comme le soulignent les auteurs dans [94] et [46] qui dressent une vue d’ensemble générale des moyens de protection proposés. On distingue d’une part les approches de détection de CTM après que le circuit a été fabriqué et d’autre part les mesures préventives qui ont pour but de limiter au maximum l’insertion de CTM. En dépit de cette complexité, de nombreux chercheurs à travers le monde ( États-Unis, France, Inde, ...) se sont penchés et se penchent encore sur ce sujet. Télécom ParisTech à Paris, le LIRMM à Montpellier, le CEA/EMSE à Gardanne sont les principaux laboratoires en France qui travaillent sur cette thématique de recherche .

(39)

2.3 Mesures pr´

eventives

Les mesures préventives permettent d’anticiper d’éventuels ajouts de CTM. Le but est de complexifier le circuit au maximum afin qu’un attaquant ne dispose pas de place suffi-sante ou d’informations nécessaires et rendre ainsi difficile, voire impossible, l’implantation d’un CTM. Les termes de contrôlabilité et d’observabilité sont très souvent utilisés dans le cadre des mesures préventives :

– La contrôlabilité permet de quantifier la difficulté de forcer à ’1’ ou à ’0’ un nœud interne d’un circuit. Les signaux peu contrôlables sont des candidats idéaux pour constituer des déclencheurs de CTM. De nombreuses approches tentent de limiter, de dissimuler, voire de supprimer la faible contrôlabilité de ces nœuds. En règle générale, un CTM doit être discret et doit s’activer selon une condition rare. – L’observabilité quantifie la complexité de propagation de la valeur interne d’un signal

vers une sortie primaire.

Le terme ”Design for Hardware Trust” regroupe l’ensemble des méthodes préventives. Il a pour principe d’ajouter des caractéristiques supplémentaires au circuit pour prévenir toute insertion et augmenter les chances de détection d’un CTM.

Les principales méthodes de prévention seront décrites dans les sections suivantes.

2.3.1 ”Built-In Self-Test ”, BIST

Le “Built-In Self-Test ” est un mécanisme matériel d’auto-test du composant. Le circuit est ainsi con¸cu intègre 2 modes : un de fonctionnement normal et un autre de test [49]. Ce diagnostic de test peut être déclenché par l’outil ou par son utilisateur. Cette méthode requiert une grande fiabilité.

Dans le cadre de la recherche de CTM, les auteurs de [22] présentent un mode d’op´ era-tion “transparent” du système. Durant ce mode, une signature chiffrée est générée à l’aide d’une clé de l’utilisateur. Ainsi, l’ajout d’un CTM aurait pour conséquence la génération d’une signature différente de celle attendue. La présence du CTM sera alors détectée.

2.3.2 Obfuscation

L’obfuscation est une technique qui consiste à modifier intentionnellement la structure ou la description d’un circuit intégré. Ces modifications dissimulent les fonctionnalités, sans les modifier. Grâce à cette approche, la complexité du circuit est augmentée. De plus, les méthodes de rétroconception deviennent moins efficaces et beaucoup plus complexes pour reconstituer les opérations effectuées.

La méthode de “BIST ” est complétée dans [20] par l’ajout d’obfuscation. Selon [20] et [19], le circuit pourrait fonctionner avec un comportement identique dans les deux modes

(40)

2.3. Mesures pr´eventives

distincts normal et obfusqué. De cette fa¸con, les nœuds du circuit ayant une probabilité d’apparition faible sont cachés, rendant la tâche d’insertion d’un CTM plus laborieuse pour un attaquant.

2.3.3 Congestion des circuits

Lorsque l’on dispose du layout, on remarque qu’il existe de l’espace non utilisé sur la puce. Ces surfaces disponibles deviennent donc un refuge parfait pour l’insertion de CTM. Les auteurs de [15] cherchent à identifier les moyens d’ajouter un CTM sans modifier le Placement et Routage d’un bloc logique cryptographique. Les résultats montrent que si la place disponible sur la puce est inférieure à 20 %, alors l’insertion de CTM s’avère pratiquement impossible.

Récemment, les auteurs de [30] proposent une méthode sur FPGA pour prévenir l’in-sertion de CTM basée sur le remplissage de cellules inutilisées. Le circuit est “rempli” à l’aide notamment de registres à décalage et de cellules combinatoires n’ayant aucun effet sur son comportement puis est routé à nouveau.

2.3.4 Technique de chiffrement de logique mat´erielle

Le chiffrement permet de dissimuler la fonctionnalité du circuit et d’augmenter la contrôlabilité des signaux pouvant être considérés comme des potentiels déclencheurs de CTM ([46]).

Dans [30], les auteurs ajoutent des portes logiques (ET et OU) à un AES-128 bits, pour diminuer la quantité de signaux peu contrôlables. Cette implantation requiert 7.3 % d’occupation supplémentaire. Une clé externe est requise afin d’assurer un fonctionnement normal du circuit. Sans cette clé, il est impossible de trouver les signaux pouvant servir de gâchette au CTM. La contrôlabilité des signaux est ainsi dissimulée quelle que soit le mode de fonctionnement de la puce, ce qui rend l’insertion d’un CTM furtif plus difficile.

2.3.5 Encodage des ´etats logiques

Les auteurs de [78] proposent une approche d’encodage de circuit. Elle repose sur la théorie des codes (cf [14] et [46]). Selon [80], les registres sont des éléments facilement identifiables dans le layout d’une puce. Par rétroconception, un attaquant peut utiliser des signaux de ces blocs pour insérer un CTM. L’encodage des états logiques permet de masquer l’état des registres.

D’une part, la sortie de la logique combinatoire x de k bits est encodée à l’aide d’une matrice afin de passer à n bits (n > k) (cf figure 2.1). En parallèle, un code généré aléatoirement sur n − k bits est encodé pour passer à n bits. Il est réglé afin de trouver le

(41)

Logique Combinatoire Logique Combinatoire Entrées Sorties k k Circuit d’origine Etat d’origine Logique Combinatoire Logique Combinatoire Entrées Sorties k Etat encodé Décodeur J Encodeur G Encodeur aléatoire H Générateur de nombres aléatoires Registre Registre Registre ? Décodeur aléatoire K Décodeur J n n k n-k n n-k Circuit encodé x

Figure 2.1 – M´ethode d’encodage [78]

meilleur compromis entre la résistance aux injections de fautes et aux attaques par canaux cachés (cf section2.4.2.1). Ensuite, une opération XOR est effectuée (cf section3.4.1) entre la sortie de la logique combinatoire et le code encodés. Ce résultat est échantillonné dans un registre. De cette fa¸con, un attaquant pourra difficilement identifier la réelle fonctionnalité des signaux. Les sorties des registres sont ensuite décodées avant de passer dans la logique combinatoire. L’opération est ensuite réitérée. La connaissance de n − k bits (ou moins) sur les états encodés et masqués ne permet pas d’avoir des informations sur x.

D’autre part, un système d’alarme est mis en place. Si des attaques en faute affectent les valeurs enregistrées dans les registres, une alarme est alors déclenchée.

2.4 Proc´

ed´

es de d´

etection de CTM

Plusieurs méthodes et suggestions de détection de CTM ont été proposées. On distingue cependant deux approches distinctes : l’une basée sur les méthodes destructives et l’autre sur les non destructives.

(42)

2.4. Procédés de détection de CTM

2.4.1 M´ethodes destructives

Pour les méthodes destructives, il est nécessaire d’accéder physiquement au cœur du circuit à étudier afin de pouvoir effectuer des observations directes. Certaines informations ne sont pas directement accessibles (états des mémoires par exemple). Cela impose d’avoir recours à des techniques de retrait de couches par procédés chimiques ou mécanique.

Ces techniques peuvent permettre de récupérer un certain nombre d’informations. On peut ainsi en déduire par rétro-ingénierie la manière les algorithmes utilisés ont été im-plantés, les mécanismes de sécurité mis en place et/ou des données sensibles : on parle ainsi de rétroconception.

La rétroconception d’une puce est généralement utilisée afin de valider son authen-ticité. Cette approche est utilisée pour construire des modèles de référence (on parle de Golden Model en anglais, noté GM) s’il n’est pas possible d’avoir des puces de test. Le GM permet de valider que les mesures effectuées proviennent bien de circuits non corrompus et peut servir de référence pour les études à venir. Il sera généralement nécessaire d’avoir plusieurs GM de lots différents dans le but de construire une bibliothèque de références fournie. Dans [4], les auteurs utilisent des GM afin d’étudier le comportement physique des puces et procéder à des analyses statistiques. Leurs travaux futurs se basent sur une approche qui modélise et simule les puces utilisées comme GM.

Un premier niveau d’analyse du circuit est effectué grâce à un microscope optique. Cela permet de trouver les différents blocs comme illustré sur la figure 2.2.