Inter-CESTI: Methodological and Technical Feedbacks on Hardware Devices Evaluations — Ryad Benadjila
Date : 03 June 2020 à 15:45 — 30 min.
NOTE : this work is a common collaboration between ITSEFs and ANSSI. The authors are various and not represented on the program.
Authors: ANSSI, Amossys, EDSI, LETI, Lexfo, Oppida, Quarkslab, SERMA, Synacktiv, Thales, Trusted Labs
- The aim of the current presentation is to provide both methodological and technical feedback on the "Inter-CESTI" challenge organized by ANSSI in 2019 with all 10 ITSEFs licensed for the French CSPN scheme.
The purpose of this challenge is to evaluate their approaches to attack a common target representative of the "Hardware devices with boxes" domain, which groups products containing embedded software and combines hardware and software security elements.
The common target chosen was the open-source and open-hardware project WooKey, presented at SSTIC2018. It is a relevant test vehicle both in terms of software and hardware due to its architecture and threat model. The article aims to capitalize on the feedback from the challenge, with a focus on the hardware and software tests that the labs were able to conduct in a white box setting, as well as the identified attack paths.
NOTE : ce travail est un travail commun aux CESTI et à l'ANSSI, les auteurs sont donc multiples et non représentés sur le programme.
Auteurs : ANSSI, Amossys, EDSI, LETI, Lexfo, Oppida, Quarkslab, SERMA, Synacktiv, Thales, Trusted Labs
- L'objectif de cette présentation est de fournir un retour d'expérience à la fois méthodologique et technique sur le challenge inter-CESTI organisé par l'ANSSI en 2019 avec les dix CESTI du schéma CSPN français.
Le dessein de ce challenge est d'évaluer leurs approches pour attaquer une cible commune représentative du domaine «Hardware devices with boxes» qui regroupe les produits contenant du logiciel embarqué et combine des éléments de sécurité matérielle et logicielle. Des exemples de tels produits sont les HSM (Hardware Security Modules), les compteurs intelligents, ou encore divers systèmes embarqués présents dans l'IoT.
La cible commune choisie a été le projet open-source et open-hardware WooKey, notamment présenté à SSTIC2018. C'est un véhicule de test pertinent tant sur le plan logiciel que matériel du fait de son architecture et de son modèle de menace. L'article et la présentation ont pour but de capitaliser les retours du challenge, avec en particulier un focus sur les tests matériels et logiciels que les laboratoires ont pu mener en boîte blanche, ainsi que les chemins d'attaque identifiés.