au sommaire
L'année 2017 a été marquée par plusieurs cyberattaques qui ont frappé les esprits par leur ampleur. Nous pensons en particulier aux rançongiciels (ransomware, en anglais) WannaCry et Petya : le premier a exploité des failles de sécurité dans Windows et le second s'est basé sur un logiciel malveillantlogiciel malveillant caché dans un logiciel de comptabilité.
Existe-t-il un moyen de rendre un ordinateur invulnérable à ce type de menaces ? C'est ce que pense la Darpa (Agence pour les projets de recherche avancée de défense), aux États-Unis, qui a alloué 50 millions de dollars au programme System Security Integrated Through Hardware and Firmware (SSITH), lequel consiste à créer des systèmes de défense non pas au niveau logiciel mais matériel.
L'agence de recherche et développement de l'armée américaine a identifié sept vulnérabilités matérielles qui sont régulièrement exploitées par les malware :
- les permissions et les privilèges ;
- les erreurs de mémoire tampon ;
- la gestion des ressources ;
- les fuites d'informations ;
- les erreurs numériques ;
- les erreurs cryptographiques ;
- l'injection de code.
Renforcer la sécurité dans ces domaines priverait les cyberpirates de leviers cruciaux.
Faire de l'ordinateur un puzzle insoluble
Parmi les projets retenus par la Darpa, figure celui de l'université du Michigan, nommé Morpheus. Il s'agit d'un ordinateur impossible à pirater dont l'architecture matérielle est pensée pour ne donner aucune prise aux attaques. Comment ? En déplaçant en permanence et de façon aléatoire les informations sensibles dont les pirates ont besoin. « C'est comme si vous réussissiez un Rubik’s Cube et qu'à chaque fois que vous battiez des paupières, celui-ci était à nouveau mélangé », explique le professeur Todd Austin, en charge du projet Morpheus, qui a reçu 3,6 millions de dollars de la Darpa.
Ainsi, les mots de passe et les bugsbugs logiciels seraient en mouvementmouvement permanent pour devenir insaisissables. Selon les concepteurs, un tel mécanisme serait même en mesure de se défendre contre des attaques qui n'ont pas encore été identifiées. Reste qu'aucun système de sécurité n'est invulnérable et, face à des cyberattaquescyberattaques de plus en plus élaborées, il est tout de même difficile de croire que des hackers ne finiront pas par trouver une brèche.