Thèse Identification et Analyse d'Attaques Microarchitecturales Ciblant les Architectures Arm H/F - 75

Établissement : Institut Polytechnique de Paris Télécom Paris
École doctorale : Ecole Doctorale de l'Institut Polytechnique de Paris
Laboratoire de recherche : Laboratoire de Traitement et Communication de l'Information
Direction de la thèse : Lirida NAVINER ORCID 0000000263204153
Début de la thèse : 2026-10-01
Date limite de candidature : 2026-04-15T23:59:59La diversité des appareils utilisant l'architecture ARM continue de croître. Depuis 2020, les ordinateurs Apple utilisant les puces M1-M5 sont basés sur l'architecture ARM. Cela rend l'étude en profondeur de cette architecture de plus en plus importante. ARM a introduit ARMv9 en mars 2021, cette architecture a une compatibilité totale avec ARMv8 et améliore les capacités concernant le machine learning et la sécurité. ARMv9 a introduit de nouveaux concepts de sécurité comme les Branch Target Indicators (BTI), Pointer Authentication (PAC), Memory Tagging Extensions (MTE), Realm Management Extension (RME) et Confidential Compute Architecture (CCA). RME et CCA on amélioré la TEE qui était précédemment assurée uniquement par ARM TrustZone. La TrustZone est utilisée sur les téléphones et ordinateurs pour protéger les données sensibles, telles que les mots de passes, ou les données biométriques, faisant une cible intéressante pour les attaquants.

Contrairement à l'architecture x86, les microarchitectures ARM sont développées par une multitude de fabricants qui personnalisent et modifient les conceptions de bases. Cette diversité mène à une augmentation de la complexité dans l'analyse des vulnérabilités potentielles et élargit la surface d'attaque en introduisant différentes interactions entre les composants. Comprendre et sécuriser ces architectures hétérogènes sont donc un défi crucial pour garantir la protection des systèmes informatiques modernes. La TrustZone n'est pas épargnée, avec l'ajout de couches supplémentaires par différents fournisseurs. À cela s'ajoutent des parties non documentées des architectures modernes ou des implémentations des fournisseurs, ouvrant la porte à de nouvelles attaques.

L'objectif de ce projet est de mener une analyse approfondie des TEE sur l'architecture A-Profile. L'état de l'art de l'architecture ARM concernant le TEE se concentre principalement sur TrustZone, mais d'autres nouveaux vecteurs d'attaque n'ont pas été étudiés, comme le RME et le CCA introduits dans ARMv9. Comme tous les téléphones et les ordinateurs de bureau Apple n'utilisent pas l'architecture ARMv9, nous nous concentrerons sur les deux, y compris ARMv8.

Microarchitectural side-channel attacks have grown in interest over the past decades, with attacks like Flush+Reload, Meltdown, Spectre, ZombieLoad and so on. Multiple leakage vectors are used (cache, memory, branch prediction...) in order to run these attacks, leading to a wide range of attacks (covert channels, cryptographic attacks, keylogger...). Moreover, all these attacks do not need a physical access to the device, allowing remote attacks, even remote fault injection with RowHammer on the DRAM or V0LTpwn, CLKscrew, Pundervolt and so on, on the TEE.

Microarchitectural side-channel attacks have mainly been focused on the Intel x86 architecture and there is a growing interest in the RISC-V architecture. While several attacks have been demonstrated on ARM platforms, the TEE-specific microarchitectural attack surface remains insufficiently explored, especially for recent ARMv9 security extensions.

The goals of this project are to study microarchitectural attacks on TEE for the ARM architecture with a focus on smartphones and computers. The PhD student will do the following:
- Mapping TEE of different vendors based on the ARM architecture in order to provide an overview of the specific features, serving as a basis for vulnerability analysis;
- Reverse engineering of ARM TEE on different vendors in order to find potential vulnerabilities;
- Evaluate whether attack primitives previously demonstrated against enclave technologies such as Intel SGX can be adapted to ARM TEEs;
- Develop new attacks on ARM TrustZone and explore new attack surfaces introduced in ARMv9 like the Realm Management Extension;
- Develop countermeasures using gem5 to understand in depth the causes of the attacks. ARM is actively implicated in the development of gem5 with, for example, the release of Trusted Firmware-A on gem5.

- Développement d'un model de confiance, et mise en place d'une méthodology pour découvrir des vulnérabilités pour les TEE présent sur ARM;
- Évaluation de la surface d'attaque sur ARM pour téléphones et tablettes;
- Attaques logiciels afin d'exploiter les TEE sur l'architecture ARM.
- Mise en place de contre-mesure en utilisant gem5 afin de comprendre le comportement de la TEE.
- Validation de l'attaque sur un smartphone ou ordinateur en fonction de celle-ci.
- Utilisation d'outil tel que RTL, Unicorne ou QEMU.
- Conception conjointe de logiciels et de matériel informatique