FACADES

FACADES - Fingerprinting et exploration des attaques et défenses sur CPU depuis des scripts web

Coordinateur : Monsieur Pierre Laperdrix CNRS CRIStAL

Équipe : Spirals du Groupe Thématique : Génie Logiciel.

Dates : 03/22 - 10/24

Résumé :

En parallèle du développement de nouveaux standards pour le web (WebAssembly, WebGPU, WebUSB), de plus en plus d’appareils sont connectés à l’Internet. Même si ces nouvelles spécifications promettent de repousser les limites de ce qui est possible sur cette plateforme, elles soulèvent de nombreuses inquiétudes vis-à-vis de la sécurité. Dans ce projet, notre objectif est d’analyser la sécurité des fonctionnalités des navigateurs qui fournissent un accès direct ou indirect au matériel. Notamment, nous allons (1) étudier la possibilité de monter des attaques par canal auxiliaire sur Internet, (2) développer de nouvelles méthodes pour porter des attaques sur les navigateurs et évaluer leurs risques, (3) explorer comment les canaux auxiliaires peuvent faire fuiter des secrets ou participer au traçage d’individus par des empreintes matérielles et (4) bâtir les fondations pour des standards web sécurisés grâce à l’étude de contremesures par le prisme des contrats matériel et logiciel.

Abstract

Along with releases of new web standards in browsers (WebAssembly, WebGPU, WebUSB, etc.), more and more features of connected devices are directly usable from the web. While these specifications hold great promise from a performance perspective, they keep raising significant security concerns. In this project, we aim to analyze the security implications of new features that provide direct or indirect access to low-level hardware features. Building on our previous research, we will (1) investigate the impact of directly mounting native side-channel attacks from the web, (2) develop new methods to efficiently port attacks to browsers to facilitate a faster risk assessment for novel attacks, (3) explore how side-channel attacks can leak secrets or enable user tracking via hardware fingerprints, and (4) lay the foundations for secure low-level web standards by exploring the effectiveness of existing and novel countermeasures (eg. sandboxing) through the lens of hardware/software contracts.