Differential fuzz testing to detect tampering in sensor systems and its application to arms control authentication

Cet article propose le « fuzzing différentiel physique » comme méthode de vérification holistique pour détecter les altérations des systèmes cyber-physiques dans le cadre du contrôle des armements nucléaires, en comparant les réponses d'un système à des entrées aléatoires afin d'identifier toute modification de son matériel, de son firmware ou de son environnement, comme démontré sur un spectromètre gamma.

L'essentiel

🛡️ Le "Test de Stress" pour les Détecteurs de Bombes

Imaginez que vous devez vérifier si un coffre-fort est vraiment vide, sans jamais l'ouvrir ni regarder à l'intérieur. C'est le défi des traités de contrôle des armes nucléaires : comment s'assurer qu'un pays ne triche pas en cachant des bombes ou en modifiant les machines qui les détectent ?

Ce papier propose une nouvelle méthode géniale appelée "Fuzzing Différentiel Physique". Pour faire simple, c'est comme si on envoyait des milliers de "coups de marteau" aléatoires sur une machine pour voir si elle réagit toujours de la même façon.

Voici comment cela fonctionne, étape par étape, avec des analogies du quotidien :

1. Le Problème : Le "Couteau Suisse" de la Triche

Dans le passé, pour vérifier un logiciel, on regardait son code (comme vérifier la recette d'un gâteau). Mais un tricheur malin peut changer la recette sans toucher au code écrit : il peut modifier l'environnement, les bibliothèques externes ou même le matériel (le four).

• L'analogie : Imaginez que vous vérifiez un gâteau en lisant la recette. Mais le cuisinier a changé la farine pour de la sciure de bois ou a modifié la température du four. La recette (le code) semble parfaite, mais le gâteau est faux.

2. La Solution : Le "Test de Stress" (Fuzzing)

Les auteurs proposent de ne pas se fier à la recette, mais de tester le gâteau en le cuisinant de toutes les façons possibles.

• Le concept : On prend un détecteur de rayonnement (une machine qui "voit" les bombes) et on lui donne des ordres aléatoires. On change la tension, la durée de mesure, l'heure du jour, etc., de manière totalement imprévisible.
• L'empreinte digitale : On enregistre comment la machine réagit à ces milliers de changements. C'est sa "signature" ou son empreinte digitale. Si la machine est honnête, elle réagira toujours de la même façon (avec un peu de bruit de fond naturel, comme le crépitement d'un feu de cheminée).

3. Le Piège : La Triche "Logique"

Un pays malhonnête pourrait installer un petit virus dans la machine. Ce virus attend un signal précis pour agir.

• L'exemple du papier :
  • Attaque par l'heure : Le virus dit : "Si l'heure est entre 14h et 15h le vendredi, je duplique les signaux pour faire croire qu'il y a plus de matière radioactive qu'il n'y en a vraiment."
  • Attaque par le comptage : Le virus dit : "Si le nombre total de particules détectées est trop bas, je vais inventer des particules manquantes pour que le total semble normal."

4. La Révélation : Le "Test de Rattrapage"

Voici la partie brillante. Après que le pays a utilisé la machine pour vérifier une fausse bombe, l'inspecteur reprend la machine et refait exactement le même test de stress aléatoire qu'au début.

• Le scénario :
  • Si la machine est honnête : Elle répond comme avant. Tout est normal.
  • Si la machine est tricheuse : Le virus va se réveiller !
    • Si l'inspecteur a choisi un moment aléatoire qui tombe dans la "fenêtre de triche" (par exemple, un vendredi à 14h30), le virus va activer son mensonge.
    • Mais comme le test est aléatoire, l'inspecteur va aussi tester des moments où le virus ne devrait pas s'activer.
  • Le résultat : La machine va donner deux réponses différentes pour le même test. C'est comme si un acteur oubliait son texte : il joue bien la scène du matin, mais le soir, il improvise n'importe quoi. L'incohérence trahit le mensonge.

5. L'Analogie Finale : Le Jeu de la "Chaise Musicale"

Imaginez un jeu où vous avez une chaise (la machine).

1. Phase 1 (Calibration) : Vous vous asseyez sur la chaise et vous notez exactement comment elle craque sous votre poids.
2. Phase 2 (La Triche) : Un tricheur vient modifier les ressorts de la chaise pour qu'elle semble plus solide, mais seulement si vous vous asseyez à 14h00.
3. Phase 3 (Le Test) : Vous retournez jouer. Parfois vous vous asseyez à 10h00, parfois à 14h00, parfois à 16h00.
   • Si la chaise craque différemment selon l'heure, vous savez qu'il y a un problème.
   • Le "Fuzzing" consiste à s'asseoir sur la chaise à des milliers d'heures différentes et de toutes les positions possibles pour révéler ce secret.

Pourquoi est-ce important ?

Ce papier montre qu'on ne peut plus se fier uniquement aux signatures numériques ou aux scellés physiques. En envoyant des "défis" aléatoires à la machine, on force le tricheur à révéler sa présence. Si le système est modifié, il ne pourra pas maintenir une cohérence parfaite face à l'imprévu.

C'est une nouvelle arme puissante pour garantir que les traités de paix sont respectés et que personne ne cache de bombes nucléaires dans un tiroir secret.

Résumé technique

1. Problématique : L'authentification des systèmes de vérification nucléaire

Dans le cadre des futurs traités de contrôle des armements nucléaires, il est impératif de garantir l'intégrité des systèmes de mesure de vérification (matériel et logiciel). Le défi principal réside dans l'authentification : s'assurer que le système fonctionne comme prévu et n'a pas été compromis par des acteurs malveillants (souvent l'État hôte qui possède les armes).

• Limites des méthodes actuelles : Les techniques traditionnelles comme le hachage du code source ou l'analyse statique sont insuffisantes. Elles ne peuvent pas détecter la modification d'environnements d'exécution, de bibliothèques externes, de variables d'environnement, ni de la firmware ou du matériel.
• Le risque de contrefaçon : Un État hôte malveillant pourrait modifier subtilement le système pour masquer la présence de matériel fissile (en créant des « fausses » mesures) ou pour voler du matériel nucléaire tout en simulant une conformité au traité.
• Besoin : Une méthode capable de tester de manière holistique et simultanée l'ensemble de la chaîne cyber-physique (du code source au capteur physique) pour détecter toute altération.

2. Méthodologie : Le « Fuzzing Différentiel Physique »

Les auteurs proposent une nouvelle approche appelée fuzzing différentiel physique (physical differential fuzz testing). Contrairement au fuzzing logiciel classique qui teste des programmes déterministes, cette méthode s'applique à des systèmes physiques non déterministes (bruités).

Concept de fonctionnement (CONOPS)

Le processus suit une séquence en plusieurs étapes :

1. Établissement de la référence (Baseline) : L'inspecteur exécute une séquence d'entrées aléatoires (« fuzz ») sur un système de vérification non compromis. Ces entrées couvrent l'espace des paramètres (ex: tension haute, largeur d'impulsion, gain fin, heure système). Les sorties (spectres gamma, métriques système) sont enregistrées pour former une signature de référence.
2. Certification et Vérification : Le système est remis à l'hôte pour certification (risque de piratage) puis utilisé pour les mesures de vérification du traité.
3. Re-test et Comparaison : L'inspecteur récupère le système et réexécute exactement la même séquence d'entrées aléatoires.
4. Détection d'anomalie : Les nouvelles sorties sont comparées à la signature de référence. Si le système a été modifié, la séquence de sortie sera statistiquement incohérente avec la référence, déclenchant une alarme.

Traitement du bruit et métriques

Comme les mesures de rayonnement sont stochastiques (bruit de Poisson), une simple égalité des sorties ($P = P'$) est impossible. Les auteurs utilisent une métrique statistique adaptée : le $\chi^2$ réduit modifié ($\chi^2/\nu$).

• La formule compare les comptes de chaque canal du spectre gamma entre la mesure de référence et la mesure de test.
• Si $\chi^2/\nu \approx 1$, les spectres sont statistiquement cohérents (pas de piratage détecté).
• Si $\chi^2/\nu \gg 1$, les spectres diffèrent significativement, indiquant un piratage potentiel.

3. Contributions Clés

1. Application du fuzzing aux systèmes cyber-physiques : C'est la première utilisation du fuzzing différentiel pour détecter des altérations dans un système physique non déterministe.
2. Test holistique : La méthode teste l'ensemble de la pile technologique : code source, variables d'environnement, bibliothèques, firmware et matériel physique.
3. Gestion du bruit stochastique : Développement d'un mécanisme de comparaison robuste pour les séquences de sortie bruitées, essentiel pour les détecteurs de rayonnement.
4. Démonstration expérimentale : Mise en œuvre réussie sur un spectromètre gamma à iodure de sodium (NaI) couplé à un tube photomultiplicateur (PMT).

4. Résultats Expérimentaux

Les auteurs ont simulé deux types d'attaques simples mais réalistes basées sur la technique de « monkey patching » (modification à l'exécution d'une bibliothèque Python numpy utilisée pour le traitement des données) :

• Attaque basée sur le temps (Time-based attack) :

  • Scénario : Le code malveillant duplique aléatoirement 10 % des événements de détection gamma uniquement si l'heure système se situe dans une fenêtre spécifique (ex: vendredi 14h-15h). Cela permet à l'hôte de masquer l'absence de 10 % de matière fissile dans une arme factice.
  • Résultat : Le fuzzing inclut l'heure système comme paramètre aléatoire. Lors du re-test, le code malveillant s'active parfois en dehors de la fenêtre de vérification réelle (car l'heure est fuzzée), créant une incohérence détectable.
  • Performance : Détection de l'attaque avec un taux de faux négatifs de 1 % et un taux de faux positifs de 0 % (seuil $\chi^2/\nu = 2$).

• Attaque basée sur les comptes (Counts-based attack) :

  • Scénario : Le code malveillant analyse le nombre total de comptes du spectre. Si le nombre s'écarte d'une valeur attendue (simulant un retrait de matière), il duplique ou supprime des événements pour compenser artificiellement le total.
  • Résultat : Le fuzzing varie les paramètres du détecteur (tension, gain, largeur d'impulsion), ce qui modifie naturellement le nombre total de comptes. Le code malveillant s'active alors qu'il ne devrait pas (ou inversement), créant une distorsion dans la distribution des spectres.
  • Performance : Détection réussie avec un seuil plus élevé ($\chi^2/\nu = 4$) pour compenser les variations environnementales, avec 70 % des échantillons piratés déclenchant une alarme.

5. Signification et Perspectives

• Impact sur le contrôle des armements : Cette méthode offre un cadre prometteur pour authentifier les systèmes de vérification futurs, rendant la triche beaucoup plus difficile et coûteuse pour les États hâtes. Elle va au-delà de la simple vérification fonctionnelle pour tester l'intégrité profonde du système.
• Limitations et défis futurs :
  • Attaques sophistiquées : Des attaques plus avancées (bombes logiques activées uniquement par l'analyse spectrale de matériaux spécifiques comme l'Uranium ou le Plutonium) pourraient échapper au fuzzing si les sources de test ne sont pas adaptées.
  • Variations environnementales : La sensibilité des détecteurs (ex: gain du PMT avec la température) peut fausser les résultats. Des matériaux plus robustes (ex: CdZnTe) ou une stabilisation active seront nécessaires.
  • Attaques par rejeu (Replay attacks) : Un attaquant pourrait tenter de simuler les sorties attendues via un « jumeau numérique ». Le fuzzing de paramètres non contrôlables par le système (ex: distance source-détecteur) est une contre-mesure suggérée.
• Conclusion : Bien que le fuzzing ne rende pas la triche impossible, il constitue un outil puissant, complémentaire aux autres mesures de sécurité (scellés, surveillance), pour renforcer la confiance dans les traités de non-prolifération et les systèmes cyber-physiques critiques.