Improved Leakage Abuse Attacks in Searchable Symmetric Encryption with eBPF Monitoring

Cet article démontre que la surveillance système via eBPF révèle de nouvelles fuites d'information dans les schémas de chiffrement symétrique searchable (SSE), permettant d'améliorer les attaques par abus de fuite et soulignant la nécessité d'intégrer ces vecteurs d'attaque dans les modèles de défense théoriques.

L'essentiel

Voici une explication simple et imagée de ce papier de recherche, traduite en français pour un public général.

🕵️‍♂️ Le Titre : Quand le "Fantôme" du Système trahit le Secret

Imaginez que vous avez un coffre-fort numérique (votre cloud) rempli de documents secrets. Vous voulez que votre employé (le fournisseur de cloud) puisse chercher des mots-clés dedans sans jamais pouvoir lire le contenu des documents ni savoir ce que vous cherchez. C'est le but de la Chiffrement Symétrique Recherchable (SSE).

Jusqu'à présent, on pensait que si le contenu était bien verrouillé, on était en sécurité. Mais ce papier nous dit : "Attention ! Même si la porte du coffre est blindée, le bruit que fait le coffre quand on l'ouvre peut révéler ce qu'il y a dedans."

---

1. Le Problème : Le "Bruit" de la Recherche

Dans le monde de la sécurité informatique, on sait depuis longtemps que les systèmes de recherche chiffrée laissent échapper de petites fuites d'information.

• L'ancienne faille : Si vous cherchez "Facture" 10 fois et "Chapeau" une fois, un espion peut deviner que vous cherchez souvent des factures. C'est comme si quelqu'un comptait le nombre de fois où vous alliez à la poste.
• La nouvelle défense : Les experts ont créé des systèmes pour masquer ces nombres (en ajoutant du "faux" courrier pour que tout le monde semble chercher la même chose).

Mais les auteurs de ce papier se sont demandé : "Et si l'espion ne regardait pas seulement les nombres, mais écoutait ce que fait l'ordinateur lui-même ?"

2. L'Outil Secret : eBPF (Le Stéthoscope du Système)

Pour comprendre leur méthode, imaginez que le système d'exploitation (Linux) est une grande usine.

• eBPF est comme un stéthoscope magique que l'on peut coller sur les tuyaux de l'usine. Il permet d'écouter chaque mouvement, chaque vanne qui s'ouvre, sans arrêter l'usine ni casser les machines.
• Normalement, on utilise cet outil pour les ingénieurs afin de réparer des pannes. Mais ici, les chercheurs montrent qu'un espion peut l'utiliser pour écouter quels fichiers précis sont ouverts pendant une recherche.

3. La Nouvelle Faille : La "Trace des Pieds" (L_fileAccess)

Voici le cœur de la découverte, expliquée avec une analogie :

Imaginez que votre bibliothèque est dans une pièce sombre.

• Le système sécurisé : Vous demandez un livre. Le bibliothécaire (le cloud) va chercher le livre dans le noir, vous le donne, mais vous ne voyez pas le titre.
• L'ancienne attaque : L'espion compte combien de livres vous recevez.
• La nouvelle attaque (avec eBPF) : L'espion écoute les pas du bibliothécaire. Il entend exactement sur quel rayon il s'arrête et quel livre il prend.

Même si le livre est dans une enveloppe opaque (chiffré), le nom du fichier sur le disque dur (le rayon) reste souvent visible pour le système d'exploitation.

• Si vous cherchez "Contrat", le système va ouvrir les fichiers contrat_2023.pdf, contrat_2024.pdf.
• L'espion, avec son stéthoscope eBPF, entend : "Oh ! Il a ouvert les fichiers nommés 'contrat' !".

C'est ce qu'ils appellent L_fileAccess (la fuite d'accès aux fichiers). C'est une information que les systèmes de sécurité cryptographiques oublient souvent de protéger.

4. L'Expérience : Le Match de Détective

Les chercheurs ont testé cette idée avec un vrai jeu de données (des emails réels).

• L'attaque classique (FMA) : Ils ont essayé de deviner les mots-clés juste en regardant le nombre de résultats. Résultat : Ils ont eu raison 77,8 % du temps. C'est bien, mais pas parfait. Certains mots ressemblent trop (ex: "Facture" et "Budget" apparaissent dans le même nombre de documents).
• L'attaque améliorée (eFMA) : Ils ont ajouté l'écoute des pas (eBPF). Maintenant, ils savaient exactement quels fichiers étaient ouverts.
• Résultat : Ils ont eu raison 100 % du temps. Même pour les mots difficiles, ils ont pu dire : "Ah, celui-ci ouvre le fichier 'budget', donc c'est le mot 'Budget' !".

5. La Leçon à Retenir

Ce papier nous apprend une leçon importante : La sécurité ne s'arrête pas au chiffrement.

C'est comme si vous construisiez une maison avec des murs en béton armé (le chiffrement), mais que vous laissiez la porte d'entrée ouverte et que vous écriviez "Bienvenue" en gros sur le paillasson (les noms de fichiers visibles).

• Le problème : Les théoriciens de la sécurité pensent souvent que si le contenu est chiffré, tout va bien.
• La réalité : Le système d'exploitation, lui, voit tout. Avec des outils modernes comme eBPF, il est très facile pour un attaquant de voir ce que le système fait "sous le capot".

En Résumé

Les auteurs disent : "Il faut arrêter de regarder uniquement la serrure (la cryptographie) et commencer à regarder aussi la maison entière (le système d'exploitation)."

Pour l'avenir, les concepteurs de ces systèmes devront inventer de nouvelles façons de cacher non seulement le contenu, mais aussi l'empreinte digitale que laisse la recherche sur le disque dur. Sinon, même les systèmes les plus "sûrs" sur le papier pourront être déjoués par un simple écouteur magique.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche intitulé "Improved Leakage Abuse Attacks in Searchable Symmetric Encryption with eBPF Monitoring", rédigé en français.

1. Problématique

La Chiffrement Symétrique Rechercheable (SSE) permet aux utilisateurs de rechercher des données chiffrées stockées sur des serveurs non fiables (comme le cloud) sans révéler le contenu des documents ou des requêtes. Bien que le SSE masque le contenu, il est connu pour fuir des métadonnées, notamment les modèles d'accès (quels documents sont renvoyés) et les modèles de recherche (fréquence des requêtes).

Ces fuites ont permis le développement d'attaques d'abus de fuite (leakage-abuse attacks), telles que l'attaque par correspondance de fréquence (FMA), où un adversaire corrèle la fréquence des requêtes chiffrées avec la distribution connue des mots-clés pour déduire le contenu des requêtes. Cependant, des défenses récentes (comme le remplissage des résultats ou le masquage des volumes) ont rendu ces attaques basées uniquement sur la fréquence plus difficiles à exécuter avec succès.

Le problème central abordé par cet article est le suivant : Que se passe-t-il si un adversaire a accès non seulement aux modèles de requêtes, mais aussi au comportement bas niveau du système (niveau noyau) pendant l'opération de recherche ? L'article postule que les modèles de menace théoriques du SSE ignorent les fuites observables via des outils de surveillance système comme eBPF (Extended Berkeley Packet Filter), permettant potentiellement de contourner les défenses existantes.

2. Méthodologie

Les auteurs proposent une approche qui combine l'analyse cryptographique traditionnelle avec la surveillance du système d'exploitation via eBPF.

• Modèle de Menace : L'adversaire est un "Cloud Service Provider" (CSP) honnête mais curieux. Il exécute correctement les protocoles SSE mais utilise des outils de surveillance (eBPF) pour observer les appels système (syscalls) et les accès aux fichiers. Il possède également une connaissance partielle du jeu de données en clair (par exemple, une distribution de mots-clés similaire).
• Vecteur de Fuite Nouveau ($L_{fileAccess}$) :
  • Les schémas SSE standard chiffrent les documents et les index, mais ne modifient généralement pas les noms de fichiers au niveau du système de fichiers.
  • En utilisant eBPF, l'adversaire attache des programmes au noyau Linux pour surveiller les appels système critiques (comme openat, read).
  • Cela permet de capturer la liste exacte des noms de fichiers chiffrés accédés lors d'une requête spécifique.
  • Formellement, pour un jeton de recherche $t_w$, la fuite révèle l'ensemble des fichiers $\{f_1, f_2, ..., f_n\}$ accédés.
• Attaque Améliorée (eFMA) :
  • Les auteurs étendent l'attaque par correspondance de fréquence (FMA) classique en une Attaque par Correspondance de Fréquence Améliorée par eBPF (eFMA).
  • Processus :
    1. Observer la taille du résultat (nombre de fichiers) et la liste exacte des fichiers chiffrés accédés via eBPF.
    2. Comparer ces ensembles de fichiers chiffrés ($F_e$) avec les ensembles de fichiers en clair connus ($F_p$) issus de la connaissance auxiliaire.
    3. Si les ensembles de fichiers correspondent exactement ($F_e = F_p$), le mot-clé est déduit avec certitude, même si la fréquence de la requête est ambiguë.

3. Contributions Clés

1. Identification d'un nouveau vecteur de fuite ($L_{fileAccess}$) : Définition d'un nouveau modèle de fuite qui révèle l'identité exacte des fichiers chiffrés accédés lors d'une requête, un vecteur négligé par les modèles de sécurité SSE traditionnels.
2. Démonstration de l'efficacité de l'eFMA : Preuve que l'intégration des données de niveau système permet de récupérer les requêtes avec une précision bien supérieure aux attaques purement cryptographiques, même lorsque les défenses contre la fuite de volume sont en place.
3. Pont entre théorie et réalité : Mise en évidence de l'écart entre les modèles de sécurité théoriques (qui supposent que l'adversaire ne voit que les métadonnées du protocole) et la réalité du déploiement (où le noyau expose des informations via les appels système).

4. Résultats Expérimentaux

Les auteurs ont implémenté leur attaque sur un schéma DSSE (Dynamic SSE) à confidentialité vers l'avant (DK-Nguyen) utilisant un sous-ensemble de 100 e-mails du jeu de données Enron.

• Configuration : Utilisation de bpftrace pour surveiller les appels système sans modifier le code du schéma SSE.
• Métrique : Précision de récupération des requêtes (taux de correspondance correcte entre les jetons chiffrés et les mots-clés en clair).
• Résultats :
  • Attaque de base (FMA) : Précision de 77,8 %. L'attaque échoue lorsque plusieurs mots-clés partagent la même fréquence et la même taille de résultat (ex: les jetons T12 et T13 avaient tous deux une fréquence de 12).
  • Attaque améliorée (eFMA) : Précision de 100 %.
• Analyse : L'ajout des données d'accès aux fichiers via eBPF a permis de lever les ambiguïtés. Même si deux requêtes avaient la même fréquence, elles accédaient à des ensembles de fichiers différents. La correspondance exacte des noms de fichiers a permis d'identifier sans erreur les mots-clés correspondants.

5. Signification et Implications

Ce travail a des implications majeures pour la sécurité du SSE :

• Vulnérabilité des défenses actuelles : Les défenses qui masquent uniquement le volume des résultats ou la fréquence des requêtes sont insuffisantes si l'adversaire peut observer les modèles d'accès aux fichiers au niveau du système d'exploitation.
• Nécessité de nouveaux modèles de menace : Les modèles de sécurité SSE doivent évoluer pour inclure les fuites de niveau système (syscall, accès aux fichiers, timing) comme vecteurs d'attaque potentiels.
• Direction pour les futures défenses : Les auteurs suggèrent que des mécanismes comme le Oblivious RAM (ORAM), qui masquent les modèles d'accès en réorganisant les données et en ajoutant des accès factices, pourraient être nécessaires pour contrer ce type d'attaque, bien que cela ait un coût en performance.
• Conclusion pratique : La sécurité cryptographique seule ne suffit pas. Dans un environnement de cloud réel, la manière dont le système d'exploitation gère les fichiers chiffrés peut révéler tout le contenu des requêtes, rendant les déploiements actuels potentiellement vulnérables sans aucune modification du code cryptographique lui-même.