Des chercheurs de l'Université d'État de Caroline du Nord et de l'Université du Texas à Austin ont mis au point une technique de détection des types de logiciels malveillants qui utilisent l'architecture d'un système pour contrecarrer les mesures de sécurité traditionnelles. La nouvelle approche de détection fonctionne en suivant les fluctuations de puissance dans les systèmes embarqués.

"Les systèmes embarqués sont essentiellement n'importe quel ordinateur qui n'a pas de clavier physique - des smartphones aux appareils de l'Internet des objets, " dit Aydin Aysu, co-auteur d'un article sur le travail et professeur adjoint de génie électrique et informatique à NC State. « Les systèmes embarqués sont utilisés dans tout, des assistants virtuels à commande vocale dans nos maisons aux systèmes de contrôle industriels comme ceux utilisés dans les centrales électriques. Et les logiciels malveillants qui ciblent ces systèmes peuvent être utilisés pour prendre le contrôle de ces systèmes ou pour voler des informations. »

Ce qui est en cause, ce sont les attaques dites micro-architecturales. Cette forme de malware utilise la conception architecturale d'un système, détourner efficacement le matériel d'une manière qui donne aux utilisateurs extérieurs le contrôle du système et l'accès à ses données. Spectre et Meltdown sont des exemples très médiatisés de logiciels malveillants micro-architecturaux.

"La nature des attaques micro-architecturales les rend très difficiles à détecter - mais nous avons trouvé un moyen de les détecter, " dit Aysu. " Nous avons une bonne idée de la consommation d'énergie lorsque les systèmes embarqués fonctionnent normalement. En recherchant des anomalies de consommation électrique, nous pouvons dire qu'il y a un malware dans un système - même si nous ne pouvons pas identifier le malware directement."

La solution de surveillance de l'alimentation peut être intégrée dans des batteries intelligentes pour une utilisation avec les nouvelles technologies de systèmes embarqués. Un nouveau matériel « plug and play » serait nécessaire pour appliquer l'outil de détection aux systèmes embarqués existants.

Il existe une autre limitation :la nouvelle technique de détection repose sur le rapport de puissance d'un système embarqué. Dans les tests en laboratoire, les chercheurs ont découvert que, dans certains cas, l'outil de détection de surveillance de l'alimentation pouvait être trompé si le logiciel malveillant modifiait son activité pour imiter les modèles d'utilisation « normaux » de l'alimentation.

"Toutefois, même dans ces cas, notre technique offre un avantage, " dit Aysu. " Nous avons constaté que l'effort requis pour imiter la consommation d'énergie normale et échapper à la détection obligeait les logiciels malveillants à ralentir leur taux de transfert de données de 86 à 97 %. En bref, notre approche peut encore réduire les effets des logiciels malveillants, même dans les rares cas où le malware n'est pas détecté.

"Cet article démontre une preuve de concept. Nous pensons qu'il offre une nouvelle approche passionnante pour relever un défi de sécurité généralisé."

Le papier, « Utilisation des anomalies de puissance pour détecter les attaques micro-architecturales évasives dans les systèmes embarqués, " sera présenté au IEEE International Symposium on Hardware Oriented Security and Trust (HOST), qui se tiendra du 6 au 10 mai à Tysons Corner, Va. Le premier auteur de l'article est Shijia Wei, un doctorat étudiant à UT-Austin.