Sécurité des modèles d'IA générative: détection des attaques par porte dérobée de nouvelle génération
Cette thèse vise à étudier et détecter les attaques par porte dérobée au sein des écosystèmes de modèles d’IA générative (modèles autonomes, systèmes de génération augmentée par récupération (RAG) et agents autonomes basés sur des LLM).
Contexte : De nombreux utilisateurs (particuliers, institutions, ONG et même entreprises) ne sont actuellement pas en mesure de développer leurs propres systèmes d'IA générative. Ils s’orientent donc vers le téléchargement d’agents ou de modèles d’IA générative open source, généralement conçus pour être très accessibles et faciles à utiliser, ne nécessitant que peu d’expertise technique. Cette pratique est largement répandue en raison du grand nombre de modèles open source et d’implémentations d’agents LLM disponibles en ligne (par exemple, Hugging Face héberge plus de deux millions de modèles publics). Malheureusement, l’intégrité comportementale du modèle téléchargé n’est jamais vérifiée, et celui-ci peut avoir été préalablement compromis par une porte dérobée. Il existe donc un besoin urgent de mettre en place des mécanismes de défense capables d’analyser les composants d’un système d’IA générative (modèles et bases de connaissances) et d’identifier ceux qui ont été empoisonnés.
Objectifs : La recherche se concentrera sur le développement de mécanismes innovants de détection et de défense contre les attaques furtives basées sur des triggers, en mettant l’accent sur les scénarios de déploiement réels et sur des benchmarks d’évaluation robustes. En plus de développer des mécanismes de défense et de mettre le code à disposition en open source, la thèse vise également à fournir à la communauté scientifique un framework d’évaluation complet.
Concilier la prédictabilité et la performance dans les architectures de processeurs pour les systèmes critiques
Les systèmes critiques possèdent à la fois des exigences fonctionnelles et temporelles, ces dernières garantissant que toutes les échéances sont respectées pendant l’exécution ; tout dépassement pourrait entraîner des conséquences catastrophiques. La nature critique de ces systèmes impose la mise en œuvre de solutions matérielles et logicielles spécialisées.
Cette thèse de doctorat porte sur le développement d’architectures matérielles pour systèmes critiques, appelées architectures prédictibles, capables de fournir les garanties temporelles nécessaires. Plusieurs architectures de ce type existent déjà, généralement fondées sur des pipelines in-order et intégrant soit des restrictions comportementales (par exemple, la désactivation de mécanismes de spéculation complexes), soit des spécialisations structurelles (par exemple, des caches re-designés ou une arbitrage déterministe pour l’accès aux ressources partagées). Ces restrictions et spécialisations ont inévitablement un impact sur les performances ; la conception d’architectures prédictibles doit donc traiter directement le compromis entre prédictibilité et performance. Cette thèse vise à explorer ce compromis d’une manière nouvelle, en adaptant une variante hautes performances d’un processeur in-order (CVA6) et en développant des techniques top-down pour le rendre prédictible. Les performances de tels processeurs reposent habituellement sur des mécanismes tels que la prédiction de branchement, le préchargement (prefetching) et la prédiction de valeurs, mis en œuvre à l’aide d’éléments de stockage spécialisés (par exemple, des tampons) et appuyés par des mécanismes de contrôle tels que la restauration d’état (rollback) en cas de mauvaise spéculation. Dans ce contexte, l’objectif de la thèse est de définir un schéma général de prédictibilité pour l’exécution spéculative, couvrant à la fois l’organisation du stockage et le comportement de restauration.
Mécanismes d’apprentissage pour la détection de comportements anormaux dans les systèmes embarqués
Les systèmes embarqués sont de plus en plus utilisés dans des infrastructures critiques (e.g. réseau de production d’énergie) et sont donc des cibles d’attaques privilégiées pour des acteurs malicieux. L’utilisation de systèmes de détection d’intrusion (IDS) analysant dynamiquement l’état du système devient nécessaire pour détecter une attaque avant que ses impacts ne deviennent dommageables.
Les IDS qui nous intéresse sont basés sur des méthodes de détection d’anomalie par machine learning et permettent d’apprendre le comportement normal d’un système et de lever une alerte à la moindre déviation. Cependant l’apprentissage du comportement normal par le modèle est fait une seule fois en amont sur un jeu de données statique, alors même que les systèmes embarqués considérés peuvent évoluer dans le temps avec des mises à jour affectant leur comportement nominal ou l’ajout de nouveaux comportements jugés légitimes.
Le sujet de cette thèse porte donc sur l’étude des mécanismes de réapprentissage pour les modèles de détection d’anomalie pour mettre à jour la connaissance du comportement normal par le modèle sans perdre d’information sur sa connaissance antérieure. D’autres paradigmes d’apprentissage, comme l’apprentissage par renforcement ou l’apprentissage fédéré, pourront aussi être étudiés pour améliorer les performances des IDS et permettre l’apprentissage à partir du comportement de plusieurs systèmes.
Implémentation du TFHE sur des systèmes embarqués à architecture RISC-V
Le chiffrement entièrement homomorphe (FHE, Fully Homomorphic Encryption) est une technologie qui permet d’effectuer des calculs directement sur des données chiffrées, ce qui signifie que l’on peut traiter des informations sans jamais connaître leur contenu réel. Par exemple, elle pourrait permettre d’effectuer des recherches en ligne où le serveur ne voit jamais ce que vous cherchez, ou encore des tâches d’inférence en intelligence artificielle sur des données privées qui demeurent entièrement confidentielles. Malgré son potentiel, les implémentations actuelles du FHE restent très coûteuses en calcul et nécessitent une puissance de traitement considérable, reposant généralement sur des processeurs (CPU) ou des cartes graphiques (GPU) haut de gamme, avec une consommation énergétique importante. En particulier, l’opération de bootstrapping représente un goulet d’étranglement majeur qui empêche une adoption à grande échelle. Les implémentations du FHE basées sur CPU peuvent dépasser 20 secondes sur des architectures x86 standards, tandis que les solutions ASIC personnalisées, bien que plus rapides, sont extrêmement coûteuses, dépassant souvent 150 mm² de surface en silicium. Ce projet de doctorat vise à accélérer le schéma TFHE, une variante plus légère et plus efficace du FHE. L’objectif est de concevoir et de prototyper des implémentations innovantes de TFHE sur des systèmes basés sur RISC-V, en visant une réduction significative de la latence du bootstrapping. La recherche explorera les synergies entre les techniques d’accélération matérielle développées pour la cryptographie post-quantique et celles applicables à TFHE, ainsi que des approches d'accélération de type "tightly-coupled" entre les cœurs RISC-V et les accélérateurs dédiés. Enfin, le projet étudiera la possibilité d’intégrer un domaine de calcul entièrement homomorphe directement au sein du jeu d’instructions du processeur.
Sondage de circuits intégrés par faisceau électronique
La sécurité des systèmes numériques repose sur l’établissement de chaînes de confiance cryptographiques allant du matériel jusqu’aux applications finales. Les circuits intégrés sont à la base des chaines de confiances et stockent pour cela des secrets qui, via différentes contremesures, sont supposés non modifiables et non observables.
L’une des menaces connues dans la littérature est l’utilisation de Microscopes Électronique à Balayage (MEB) pour l’extraction de signaux sensibles. En effet, le MEB, via le phénomène de contrastes de potentiel permet de déterminer « visuellement » la valeur d’un ou plusieurs signaux présents dans une zone du circuit, cette zone pouvant être un niveau de métal ou un transistor. Cette utilisation du MEB sur la face avant des circuits est connue et mise en œuvre depuis les années 90 dans le domaine d’analyse de défaillance. Cependant cette technique est devenue inapplicable avec les progrès des technologies, notamment la finesse de gravure et l’augmentation du nombre de couche de métaux. Des travaux récents (2023) ont montré que le sondage avec MEB était possible via la face arrière du circuit, en observant les transistors via le substrat de silicium. Ces travaux ont été effectués sur des technologies assez anciennes (135 µm). Il est aujourd’hui essentiel de déterminer si ces menaces sont avérées sur les technologies récentes (Bulk, FD-SOI, FinFET), car les futures chaînes de confiance pourraient être compromise.
Un premier défi de la thèse est de fiabiliser le processus de préparation d’échantillon permettant l’accès aux parties actives des transistors via la face arrière tout en gardant le système fonctionnel. Un second défi sera de caractériser les phénomènes de contraste de potentiels et d’observations via l’instrumentation de MEB en vue d’extraire des secrets. Une fois la technique maitrisée nous chercherons à comparer l’effet de la technologie sur cette famille d’attaque et en particulier déterminer les potentiels avantages intrinsèques de la technologie FD-SOI en vue de s’en prémunir.
Orchestration proactive pour la sécurité des systèmes distribués
Dans un contexte où les architectures distribuées deviennent de plus en plus hétérogènes et dynamiques, la surface d’attaque s’élargit et impose de repenser la sécurité au-delà des mécanismes défensifs traditionnels.
Les approches de sécurité proactive, et notamment le Moving Target Defense (MTD), visent à perturber l’adversaire en modifiant régulièrement la configuration du système (adresses réseau, réallocation de conteneurs, déploiement de leurres). Néanmoins, ces stratégies restent généralement statiques, limitées à un seul mécanisme et indépendantes de l’état matériel sous-jacent. Par ailleurs, les contre-mesures au niveau du cache (partitionnement, randomisation, ordonnancement) sont rarement intégrées à la logique décisionnelle des orchestrateurs.
L’objectif de la thèse est de concevoir un cadre d’orchestration MTD adaptatif et conscient de l’état matériel, capable d’ajuster dynamiquement les stratégies de défense en fonction de la charge, des performances et de la vulnérabilité observée. L’idée centrale est d’alimenter un agent d’apprentissage par renforcement avec des informations issues des compteurs matériels et des métriques locales de sécurité liées au cache partagé, afin qu’il sélectionne la meilleure combinaison de stratégies MTD selon le contexte observé.
Les contributions attendues concernent la définition d’une métrique locale de sécurité intégrant l’état du cache, la modélisation du système sous forme de graphe reliant services, ressources et surfaces d’attaque, la conception d’un agent RL décisionnel unifié pour la sélection automatique des stratégies, et enfin une évaluation multicritère (sécurité, performance, énergie) sur un cas d’usage automobile réaliste.
Cette thèse vise à rapprocher la vision système et la vision matérielle pour construire des orchestrateurs de confiance capables d’anticiper et d’adapter les défenses face à des attaques évolutives, ouvrant la voie à une sécurité proactive intelligente et matériellement informée dans les systèmes distribués.