1 Contexte
Parmi la longue liste de menaces de cybersécurité potentielles, la vulnérabilité TEMPEST se produit lorsque des données confidentielles sont émises involontairement en raison de la présence d’un canal non légitime. Ce canal peut avoir une nature différente (lumière, son ou électromagnétique) et être dû à différentes causes (fuites électromagnétiques, couplage, exfiltration volontaire, etc.) [1]. Différentes attaques ont ciblé les canaux cachés électromagnétiques et se caractérisent généralement par une interception en champ proche. Il a récemment été démontré que les transmissions sans fil légitimes (par exemple, Wi-Fi ou Bluetooth) peuvent également dissimuler des canaux cachés, augmentant ainsi le risque de compromission [2,3,4], notamment en raison de l’augmentation de la portée d’interception.
Dans un contexte d’interception pratique, l’identification des émetteurs ciblés reste une problématique majeure encore très ouverte. Une manière d’identifier sans décoder les données est d’utiliser les empreintes Radio-Fréquences (RF). L’empreinte RF est une signature unique créée par les distorsions électromagnétiques des différents composants matériels du dispositif radio. Cette signature est inscrite dans le signal émis et peut être utilisée pour identifier discrètement et avec peu d’informations à priori [5]. L’utilisation de cette technique reste cependant encore sujette à des verrous lors de la mise en pratique.
En effet, l’analyse des émissions des émetteurs RF peut être une source d’information précieuse, que ce soit dans un motif d’interception ou de défense, sans aller nécessairement jusqu’à la reconnaissance du dispositif. Côté attaque, les fuites et vulnérabilités sont dépendantes du type de carte RF utilisées [4]. Être capable de reconnaître la nature d’un émetteur peut ainsi conduire à une analyse ou à une exploitation des vulnérabilités spécifiquement associées à ces plateformes. Côté défense, pouvoir regrouper les empreintes RF d’un même type de constructeur permettrait de détecter les anomalies pouvant révéler l’exploitation d’un canal caché au sein d’un dispositif [6].
2 Objectifs de la thèse
L’objectif de la thèse de doctorat est de proposer des méthodes de clusterisation permettant de regrouper les émetteurs par grappe (par exemple, le type de carte et la nature du constructeur) à partir de leur empreinte RF. Ce type de travail n’est pas présent dans la littérature : chaque dispositif est considéré comme ayant une empreinte unique et cherche à être détecté indépendamment, ou bien les dispositifs sont clusterisés par localisation géographique, et l’empreinte RF considérée dans ce cas est en réalité le canal de propagation.
Ces travaux s’articuleront sur trois axes de recherche :
- Axe 1 : Expérimental – Bien que des bases de données existent dans la littérature pour l’identification des empreintes, il n’existe pas d’équivalent permettant de discriminer des cartes et constructeurs différents. L’objectif est de définir un protocole expérimental reproductible et de réaliser une base de données à partir de constructeurs différents avec plusieurs références identiques par constructeur. Cet axe s’appuiera sur l’expérience de l’équipe qui a déjà construit un dataset pour l’identification d’empreintes RF.
- Axe 2 : Méthodologique – Analyser les méthodes de clusterisation adaptées pour discriminer des grappes d’émetteurs. Deux approches seront mises en avant : la première reposera sur les méthodes classiques d’identification RF, pour lesquelles les réseaux et les fonctions de coûts seront adaptés à l’identification de groupes d’émetteurs. La seconde approche se basera sur des méthodes de clusterisation [7], où les caractéristiques intéressantes seront extraites par des méthodes d’estimation directe.
- Axe 3 : Prospectif – Développer des méthodes de clusterisation non supervisées [8,9] : à partir des descripteurs préalablement choisis, l’objectif sera de (i) détecter les dispositifs ayant une empreinte RF aberrante et (ii) faire apparaître de nouvelles méta-classes associées à des constructeurs non initialement considérés.
3 Équipe Granit du laboratoire IRISA
Les travaux proposés dans cette thèse tirent profit de la complémentarité entre les compétences de la DGA et de l’équipe Granit. La DGA possède une expertise reconnue des attaques TEMPEST et des algorithmes de détection associés. De son côté, l’équipe Granit s’intéresse à l’adaptativité des systèmes de transmission sans fil et apporte son expertise dans le domaine des algorithmes adaptatifs, du prototypage rapide sur cible matérielle FPGA et du portage d’algorithmes sur radio logicielle.
Cette complémentarité a permis d’encadrer conjointement les travaux de thèses de Corentin LAVAUD et d’Alice CHILLET, financées par le CreachLab. Soutenue en janvier 2022, la thèse de Corentin portait l’interception de signaux sporadiques compromettants. Soutenue en novembre 2024, la thèse d’Alice portait sur l’identification d’empreintes radio-fréquences. Les travaux proposés dans cette nouvelle thèse sont dans la continuité de celles-ci et reposent notamment sur l’expertise actuellement développée sur les radios logicielles hautes performances pour l’identification et l’interception des systèmes compromettants.
[1] : Corentin Lavaud, Robin Gerzaguet, Matthieu Gautier, Olivier Berder, Erwan Nogues, et al.. Whispering devices: A survey on how side-channels lead to compromised information. Journal Hardware and Systems Security, 2021, (doi: 10.1007/s41635-021-00112-6).
[2] : J. Guillaume, M. Pelcat, A. Nafkha, et R. Salvador, « Attacking at Non-harmonic Frequencies in Screaming-Channel Attacks », in Smart Card Research and Advanced Applications, S. Bhasin et T. Roche, Éd., Cham: Springer Nature Switzerland, 2024, p. 87‐106. doi: 10.1007/978-3-031-54409-5_5.
[3] : Giovanni Camurati, Sebastian Poeplau, Marius Muench, Tom Hayes, and Aurélien Francillon. 2018. Screaming Channels: When Electromagnetic Side Channels Meet Radio Transceivers. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security (CCS ’18), doi: 10.1145/3243734.324380.
[4] : Corentin Lavaud, Robin Gerzaguet, Matthieu Gautier, Olivier Berder, Erwan Nogues, et al. Architecture temps-réel pour l’interception de signaux Bluetooth porteurs de compromission, in 29ème colloque du Groupement de Recherche en Traitement du Signal et des Images (GRETSI’23).
[5] : A. Chillet, R. Gerzaguet, K. Desnos, M. Gautier, and al, “Understanding Radio Frequency Fingerprint Identification With RiFyFi Virtual Databases” IEEE Open Journal of the Communications Society, doi: 10.1109/OJCOMS.2024.3414858.
[6] : G. Camurati and A. Francillon, “Noise-SDR: Arbitrary Modulation of Electromagnetic Noise from Unprivileged Software and Its Impact on Emission Security” 2022 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2022, pp. 1193-1210, doi: 10.1109/SP46214.2022.9833767.
[7] : S. G. Lee and C. Lee, “Developing an Improved Fingerprint Positioning Radio Map using the K-Means Clustering Algorithm,” 2020 International Conference on Information Networking (ICOIN), Barcelona, Spain, 2020, pp. 761-765, doi: 10.1109/ICOIN48656.2020.9016627.
[8] : J. Gong, X. Xu and Y. Lei, “Unsupervised Specific Emitter Identification Method Using Radio-Frequency Fingerprint Embedded InfoGAN,” in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 2898-2913, 2020, doi: 10.1109/TIFS.2020.2978620.
[9] : H. Zhang, L. Zhao and Y. Jiang, “Triplet Network and Unsupervised-Clustering-Based Zero-Shot Radio Frequency Fingerprint Identification With Extremely Small Sample Size,” in IEEE Internet of Things Journal, vol. 11, no. 8, pp. 14416- 14434, 15 April 2024, doi: 10.1109/JIOT.2023.3341468.