[001] L'invention concerne un procédé d'exécution d'un code machine d'une fonction sécurisée par un microprocesseur ainsi qu'un code binaire comportant le code machine de cette fonction sécurisée. L'invention concerne également :

- un support d'enregistrement d'informations et un appareil pour la mise en œuvre de ce procédé d'exécution, et

- un compilateur pour générer ce code binaire.

[002] Pour obtenir des informations sur un code binaire ou provoquer un fonctionnement inattendu du code binaire, il est connu de le soumettre à des attaques connues sous le terme d'« injection de fautes » ou « fault attack » en anglais. Ces attaques consistent à perturber le fonctionnement du microprocesseur lors de l'exécution du code machine par divers moyens physiques comme des modifications des tensions d'alimentation, des modifications du signal d'horloge, l'exposition du microprocesseur à des ondes électromagnétiques et autres.

[003] À l'aide de telles perturbations, un attaquant peut altérer l'intégrité des instructions machines ou des données pour, par exemple, retrouver une clé secrète d'un système cryptographique, contourner des mécanismes de sécurité tels que la vérification d'un code PIN lors d'une authentification ou simplement empêcher l'exécution d'une fonction essentielle pour la sécurité d'un système critique.

[004] Une attaque par injection de fautes peut provoquer :

- une altération transitoire ou permanente du contenu de la mémoire et donc des données ou du code du programme, ou

- une altération du fonctionnement du microprocesseur, par exemple, par des modifications des valeurs des registres de données, des instructions en cours d'exécution par l'unité arithmétique et logique, du fonctionnement de l'unité arithmétique et logique, de l'état des registres de statut et de contrôle ou autres.

Suivant la nature de la faute, on peut considérer trois types d'altérations qui auront un effet sur le programme exécuté :

1) une altération des instructions du code machine exécuté telle qu'une altération de la mémoire ou une altération de l'état du processeur au moment du traitement de l'instruction fautée,

2) une altération des valeurs stockées dans des variables ou des registres, et

3) une altération du flot de contrôle du code machine, par exemple, par modification de la mémoire programme ou par modification du compteur ordinal ou par modification des registres de statut dans le cas d'un branchement conditionnel.

[005] Le flot de contrôle correspond au chemin d'exécution suivi lors de l'exécution du code machine. Le flot de contrôle est classiquement représenté sous la forme d'un graphe orienté connu sous le terme de graphe de flot de contrôle ou « control flow graph » en anglais. [006] Lorsque l'altération empêche seulement l'exécution d'une ou plusieurs des instructions du code machine ou lorsque l'altération a un effet sur le processeur équivalent au fait de ne pas exécuter l'instruction perturbée, on parle alors de saut d'instructions. Lorsque l'altération remplace une ou plusieurs des instructions du code machine par d'autres instructions exécutables par le microprocesseur, on parle alors de remplacement d'instructions.

[007] Lorsque l'altération modifie une instruction de branchement ou lorsque l'altération consiste à sauter une instruction de branchement, on observe un effet de détournement du flot de contrôle. L'effet de détournement du flot de contrôle peut être observé quand une instruction de branchement est altérée ou quand la condition impliquée dans un branchement conditionnel est modifiée ou quand l'adresse de retour d'une fonction est modifiée ou encore quand le compteur ordinal du microprocesseur est modifié.

[008] Le code machine d'une fonction peut être instrumenté pour permettre la détection et le signalement des fautes provoquées par l'injection de fautes. Lorsque le code machine d'une fonction est ainsi instrumenté, ce code machine est qualifié de « code machine d'une fonction sécurisée ». En effet, contrairement au code machine d'une fonction non-sécurisée, ce code machine est apte à permettre le signalement des fautes typiquement rencontrées en cas d'attaque par injection de fautes.

[009] Par exemple, des procédés connus d'exécution d'un code machine d'une fonction sécurisée par un microprocesseur comporte :

a) la fourniture du code machine enregistré dans une mémoire principale, ce code machine étant formé par une succession de blocs de base dans lesquels :

- chaque bloc de base comporte une succession d'instructions systématiquement exécutées les unes après les autres lors de l'exécution du code machine par le microprocesseur, parmi ces instructions, au moins certaines d'entre elles étant des instructions à protéger,

- chaque bloc de base débute à une adresse de branchement et se termine par une instruction de branchement vers une adresse de branchement d'un autre bloc de base, le bloc de base qui débute à l'adresse de branchement étant appelé bloc de base suivant et le bloc de base qui se termine par une instruction de branchement vers cette adresse de branchement étant appelé bloc de base précédent,

b) lors de l'exécution du code machine par le microprocesseur, le procédé comporte les opérations suivantes :

1) le microprocesseur charge puis décode les instructions des blocs de base précédent et suivant du code machine, puis chaque instruction décodée est exécutée par une unité arithmétique et logique du microprocesseur,

2) à chaque fois qu'une instruction à protéger du bloc de base précédent est chargée, un module matériel de sécurisation du microprocesseur construit, en appliquant une fonction F _cs () préprogrammée, une nouvelle valeur d'une signature à partir de la valeur de cette instruction à protéger et de la précédente valeur de la signature, cette signature étant ainsi fonction des valeurs des différentes instructions à protéger du bloc de base précédent,

3) le microprocesseur charge un vecteur d'initialisation contenu dans le code machine et le module matériel de sécurisation calcule, à partir de ce vecteur d'initialisation chargé et en appliquant une fonction F _vs () préprogrammée, une valeur attendue pour la signature du bloc de base précédent,

4) en réponse au chargement d'une instruction prédéterminée, le module matériel de sécurisation compare la valeur construite de la signature à la valeur attendue de cette signature calculée à partir du vecteur d'initialisation chargé, et

5) seulement si ces valeurs ne correspondent pas, le module matériel de sécurisation déclenche le signalement d'une faute lors de l'exécution de ce code machine et, dans le cas contraire, inhibe un tel signalement.

[0010] Par exemple, un tel procédé d'exécution est décrit dans l'article suivant : Ruan de Clercq et AL : « SOFIA : Software and Control Flow Integrity Architecture », Elsevier, Computers & Security, Volume 68, 07/2017, Pages 16-35.

[0011] Ce procédé connu est intéressant car il permet à la fois de contrôler l'intégrité des blocs de base et du flot de contrôle. Pour contrôler l'intégrité des blocs de base, chaque bloc de base débute par des instructions qui définissent la valeur attendue de la signature de ce bloc de base. Ensuite, lors de l'exécution des instructions à protéger de ce bloc de base, une valeur est construite, à partir des instructions exécutées, pour la signature de ce bloc de base. Si la valeur construite de la signature correspond à la valeur attendue, alors l'intégrité du bloc de base est confirmée.

[0012] Pour contrôler l'intégrité du flot de contrôle, le procédé connu propose de chiffrer chaque instruction à protéger du bloc de base avec une valeur fonction de la valeur actuelle du compteur ordinal et de sa précédente valeur. Ainsi, si le flot de contrôle est modifié, la valeur précédente ou actuelle du compteur ordinal ne correspond pas à la valeur attendue et le déchiffrement correct des instructions à protéger devient impossible.

[0013] De l'état de la technique est également connu de :

- US2017/124322A1,

- CA2327037A1, et

- FR2985337A1.

[0014] Le procédé décrit dans US2017/124322A1 ne permet pas de contrôler l'intégrité des instructions des blocs de base.

[0015] L'invention vise à contrôler à la fois l'intégrité des blocs de base et l'intégrité du flot de contrôle mais de façon plus simple que dans les procédés connus. Elle a donc pour objet un tel procédé d'exécution conforme à la revendication 1. [0016] Les modes de réalisation de ce procédé d'exécution peuvent comporter une ou plusieurs des caractéristiques des revendications dépendantes.

[0017] L'invention a également pour objet un code binaire comportant un code machine d'une fonction sécurisée pour la mise en œuvre du procédé revendiqué.

[0018] L'invention a également pour objet un support d'enregistrement d'informations lisible par un microprocesseur, ce support d'enregistrement d'informations contenant le code binaire revendiqué.

[0019] L'invention a également pour objet un appareil électronique pour la mise en œuvre du procédé revendiqué.

[0020] Enfin, l'invention a également pour objet un compilateur apte à transformer automatiquement un code source d'un programme contenant une fonction sécurisée en un code binaire comportant un code machine d'une fonction sécurisée, dans lequel le compilateur est apte à transformer automatiquement le code source en un code binaire revendiqué.

[0021] L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple non limitatif et faite en se référant aux dessins sur lesquels :

- la figure 1 est une illustration schématique de l'architecture d'un appareil électronique apte à exécuter un code machine d'une fonction sécurisée ;

- les figures 2 et 3 sont des illustrations schématiques de différentes portions d'un code machine d'une fonction sécurisée susceptible d'être exécutée par l'appareil de la figure 1 ;

- la figure 4 est un organigramme d'un procédé d'exécution du code machine d'une fonction sécurisée ;

- la figure 5 est une illustration schématique d'un compilateur apte à générer le code machine exécuté par l'appareil de la figure 1.

[0022] Notations et définitions :

[0023] Dans ces figures, les mêmes références sont utilisées pour désigner les mêmes éléments. Dans la suite de cette description, les caractéristiques et fonctions bien connues de l'homme du métier ne sont pas décrites en détails.

[0024] Dans cette description, les définitions suivantes sont adoptées.

[0025] Un « programme » désigne un ensemble d'une ou de plusieurs fonctions prédéterminées que l'on souhaite faire exécuter par un microprocesseur.

[0026] Un « code source » est une représentation du programme dans un langage informatique, n'étant pas directement exécutable par un microprocesseur et étant destiné à être transformé par un compilateur en un code machine directement exécutable par le microprocesseur.

[0027] Un programme ou un code est dit être « directement exécutable » lorsqu'il est apte à être exécuté par un microprocesseur sans que ce microprocesseur n'ait besoin au préalable de le compiler au moyen d'un compilateur ou de l'interpréter au moyen d'un interpréteur.

[0028] Une « instruction » désigne une instruction machine exécutable par un microprocesseur. Une telle instruction est constituée :

- d'un opcode, ou code d'opération, codant la nature de l'opération à exécuter, et -d'un ou plusieurs opérandes définissant la ou les valeurs des paramètres de cette opération.

[0029] La « valeur d'une instruction » est une valeur numérique obtenue, à l'aide d'une fonction bijective, à partir de la succession de « 0 » et de « 1 » qui code, en langage machine, cette instruction. Cette fonction bijective peut être la fonction identité.

[0030] Un « code machine » est un ensemble d'instructions machines. Il s'agit typiquement d'un fichier contenant une succession de bits portant la valeur « 0 » ou « 1 », ces bits codant les instructions à exécuter par le microprocesseur. Le code machine est directement exécutable par le microprocesseur, c'est-à-dire sans nécessiter une compilation ou une interprétation préalable.

[0031] Un « code binaire » est un fichier contenant une succession de bits portant la valeur « 0 » ou « 1 ». Ces bits codent des données et des instructions à exécuter par le microprocesseur. Ainsi, le code binaire comprend au moins un code machine et en plus, généralement, des données numériques traitées par ce code machine.

[0032] Un « flot d'instructions » est une succession d'instructions classées les unes après les autres et qui forme, dans le code machine, une suite ordonnée de bits. Le flot d'instructions débute par une instruction initiale et se termine par une instruction finale. Par rapport à une instruction donnée du flot d'instructions, les instructions situées du côté de l'instruction initiale sont appelées « instructions précédentes » et les instructions situées du côté de l'instruction finale, sont appelées « instructions suivantes ». Dans ce texte, ce flot d'instructions en mémoire est découpé en une succession de blocs de base immédiatement consécutifs ou séparés par des blocs de données.

[0033] Dans ce texte, un « bloc de base » est un groupe d'instructions successives du flot d'instructions qui débute à une adresse de branchement et qui se termine par une seule instruction de branchement explicite ou implicite. Une instruction de branchement explicite se caractérise par la présence explicite d'un opcode dans le code machine qui code l'instruction de branchement. Une instruction de branchement implicite correspond au cas où l'exécution d'un bloc de base précédent se poursuit systématiquement par l'exécution d'un bloc de base suivant situé, dans le code machine, immédiatement après le bloc de base précédent. Dans ce cas, étant donné qu'en absence d'instruction de branchement explicite, les instructions du code machine sont exécutées dans l'ordre les unes après les autres, il n'est pas nécessaire d'introduire à la fin du bloc de base précédent une instruction de branchement explicite vers le bloc de base suivant. Dans cette description, on dit que dans ce cas, le bloc de base précédent se termine par une instruction de branchement implicite car elle n'est pas explicitement codée dans le code machine. Dans ce cas, le bloc de base précédent se termine juste avant l'adresse de branchement du bloc de base suivant. Dans cette demande, l'expression « instruction de branchement » désigne une instruction de branchement explicite à défaut de mention contraire. Ainsi, l'exécution d'un bloc de base débute systématiquement par l'exécution de l'instruction située à son adresse de branchement et se termine systématiquement par l'exécution de l'instruction de branchement qui termine ce bloc de base. Un bloc de base ne comporte pas d'autres instructions de branchement que celle située à la fin de ce bloc de base. Ainsi, les instructions d'un bloc de base sont systématiquement toutes lues par le microprocesseur les unes après les autres dans l'ordre où elles sont présentes dans ce bloc de base. L'instruction de branchement peut diriger, lorsqu'elle est exécutée, le flot de contrôle systématiquement vers la même adresse de branchement ou, en alternance, vers différentes adresses de branchement. Ce dernier cas de figure se rencontre, par exemple, lorsqu'à la fin du bloc de base exécuté, le flot de contrôle peut se poursuivre vers un premier et, en alternance, vers un deuxième bloc de base.

[0034] Une « instruction de branchement » est une instruction qui, lorsqu'elle est exécutée par le microprocesseur, déclenche un saut vers l'adresse de branchement d'un autre bloc de base. Cette instruction de branchement comporte donc au moins comme paramètre l'adresse de branchement de cet autre bloc de base. Typiquement, à cet effet, cette instruction remplace la valeur actuelle du compteur ordinal par la valeur de l'adresse de branchement. On rappelle que le compteur ordinal contient l'adresse de la prochaine instruction à exécuter par le microprocesseur. En absence d'instruction de branchement, à chaque fois qu'une instruction est exécutée, le compteur ordinal est incrémenté de la taille de l'instruction actuellement exécutée. En absence d'instruction de branchement, les instructions sont systématiquement exécutées séquentiellement les unes après les autres dans l'ordre où elles sont enregistrées dans une mémoire principale. L'instruction de branchement peut être inconditionnelle, c'est à dire que le saut vers l'adresse de branchement est systématiquement réalisé dès que cette instruction est exécutée. Une instruction de branchement inconditionnel est par exemple l'instruction « JMP » en langage assembleur pour les microprocesseurs de la série x86. L'instruction de branchement peut aussi être conditionnelle, c'est-à-dire que le saut vers l'adresse de branchement est déclenché lors de son exécution uniquement si une condition particulière est vérifiée. Par exemple, une instruction de branchement conditionnel est une instruction « JE », « JA » ou « JNE » en assembleur. L'instruction de branchement peut aussi bien être un appel à une fonction. Dans ce texte, le terme « instruction de branchement » désigne aussi bien les instructions de branchement direct qu'indirect. Une instruction de branchement direct est une instruction de branchement qui contient directement la valeur numérique de l'adresse de branchement. Une instruction de branchement indirect, est une instruction de branchement vers une adresse de branchement contenue dans une mémoire ou un registre du microprocesseur. Ainsi, contrairement à une instruction de branchement direct, une instruction de branchement indirect ne contient pas directement la valeur numérique de l'adresse de branchement.

[0035] Une « adresse de branchement » est l'adresse dans la mémoire principale à laquelle se trouve la première instruction exécutée d'un bloc de base. Par la suite, on parle d'adresse de branchement même pour les blocs de base dont la première instruction est exécutée suite à l'exécution d'une instruction de branchement implicite.

[0036] On parlera d'exécution d'une fonction pour désigner l'exécution des instructions réalisant cette fonction.

[0037] Dans un souci de simplification, dans cette description et dans les figures, les instructions ne sont pas représentées sous forme binaire, mais plutôt sous une forme symbolique exprimée dans un langage évolué de plus haut niveau.

[0038] Description d'un mode de réalisation :

[0039] La figure 1 représente un appareil électronique 1 comportant un microprocesseur 2, une mémoire principale 4 et un support 6 de stockage de masse. Par exemple, l'appareil 1 est un ordinateur, un smartphone, une tablette électronique, une carte à puce ou similaire.

[0040] Le microprocesseur 2 comporte ici :

- une unité arithmétique et logique 10 ;

- un ensemble 12 de registres ;

- un module de commande 14 ;

- une interface 16 d'entrée/sortie de données,

- un chargeur 18 d'instructions comportant un compteur ordinal 26,

- une file 22 d'instructions à exécuter, et

- un module matériel 28 de sécurisation.

[0041] La mémoire 4 est configurée pour stocker des instructions d'un code binaire 30 d'un programme devant être exécuté par le microprocesseur 2. La mémoire 4 est une mémoire à accès aléatoire. Typiquement, la mémoire 4 est une mémoire volatile. La mémoire 4 peut être une mémoire externe au microprocesseur 2 comme représenté sur la figure 1. Dans ce cas, la mémoire 4 est, par exemple, réalisée sur un substrat mécaniquement séparé du substrat sur lequel sont réalisés les différents éléments du microprocesseur 2 comme l'unité 10.

[0042] Dans cet exemple de réalisation le code binaire 30 comporte notamment le code machine 32 d'une fonction sécurisée. [0043] A titre d'illustration, le microprocesseur 2 est conforme à l'architecture ARM (« Advanced Risk Machine ») version 7 et supporte les jeux d'instructions tels que Thumbl et/ou Thumb2.

[0044] Le chargeur 18 charge dans la file 22 la prochaine instruction à exécuter par l'unité 10 à partir de la mémoire 4. Plus précisément, le chargeur 18 charge l'instruction sur laquelle pointe le compteur ordinal 26. Le chargeur 18 charge dans la file 22 systématiquement et à chaque fois un mot complet de N bits, où N est un entier constant généralement supérieur ou égale à 8, 16, 32 ou 64. N est donc la taille de chargement utilisée par le microprocesseur 2. Par exemple, ici, N est égal à 32.

[0045] L'unité 10 est notamment configurée pour exécuter les unes après les autres les instructions chargées dans la file 22. Les instructions chargées dans la file 22 sont généralement systématiquement exécutées dans l'ordre où ces instructions ont été enregistrées dans cette file 22. L'unité 10 est aussi capable d'enregistrer le résultat de ces instructions exécutées dans un ou plusieurs des registres de l'ensemble 12.

[0046] Dans cette description, on utilisera comme synonymes « exécution par le microprocesseur 2 » et « exécution par l'unité 10 ».

[0047] Le module 14 est configuré pour déplacer des données entre l'ensemble 12 de registres et l'interface 16. L'interface 16 est notamment apte à acquérir des données et des instructions, par exemple depuis la mémoire 4 et/ou le support 6 extérieurs au microprocesseur 2.

[0048] Le module 28 est capable d'exécuter automatiquement les opérations suivantes à la place de l'unité arithmétique et logique 10 :

1) en réponse au chargement, par le chargeur 18, d'une instruction à protéger du bloc de base en cours d'exécution, le module 28 construit une valeur C _k d'une signature de ce bloc de base,

2) en réponse au chargement, par le chargeur 18, d'une instruction de branchement : - le module 28 compare la valeur construite C _k à une valeur attendue r _k pour la signature de ce bloc de base et seulement si ces valeurs ne sont pas identiques, déclenche le signalement d'une faute d'exécution, et

- le module 28 initialise la construction d'une valeur C _k+ i d'une signature du bloc de base suivant.

[0049] Pour réaliser l'opération 1) ci-dessus, le module 28 implémente et exécute une fonction pré-programmée F _C s(ii, C _k ) et pour réaliser l'opération 2) ci-dessus le module 28 implémente et exécute une fonction pré-programmée F _V s(v, IV _k ). Ces fonctions sont des fonctions secrètes. A cet effet, il n'existe pas de code machine pour exécuter ces fonctions dans une mémoire située en dehors du microprocesseur 2. Typiquement, elles sont implémentées sous forme matérielle à l'intérieur du module 28 ou leur code est enregistré dans une mémoire non-volatile sécurisée 29 à l'intérieur du microprocesseur 2. [0050] Dans ce mode de réalisation, le module 28 construit la valeur de la signature d'un bloc de base au fur et à mesure que des instructions à protéger de ce bloc de base sont chargées dans la file 22. Plus précisément, à chaque fois qu'une instruction

1, à protéger du bloc de base est chargée dans la file 22, le module 28 construit la nouvelle valeur C _k de la signature du bloc de base en exécutant l'opération suivante :

C _k := F _cs (ii, C _k ), où les valeurs C _k à gauche et à droite du signe égale sont, respectivement, la nouvelle valeur et l'ancienne valeur de la signature du bloc de base. Puisque la valeur C _k est construite de façon itérative à partir de sa précédente valeur, il est nécessaire d'initialiser la première valeur C _k à utiliser. Cette première valeur est par la suite appelée « vecteur d'initialisation » est notée IV _k .

[0051] Par exemple, ici, la fonction F _C s(ii, C _k ) est la fonction suivante F _k i(|ii| XOR C _k ), où :

- |ij| est la valeur numérique de l'instruction i, chargée,

- XOR est l'opération « OU exclusif »,

- C _k est la valeur actuelle de la signature en cours de construction,

- F _ki () est une fonction de chiffrement symétrique du nombre contenu entre parenthèses avec une clé secrète kl.

[0052] La valeur numérique est obtenue, par exemple, à l'aide de la relation suivante : = F _vi (ii), où F _vi est une fonction bijective qui à partir de la suite de « 0 » et de « 1 » qui code l'instruction h, retourne une valeur numérique. Dans ce mode de réalisation, pour simplifier, la fonction F _V i() est la fonction identité.

[0053] La clé kl est enregistrée dans la mémoire sécurisée 29 du microprocesseur

2. Ici, il s'agit d'une mémoire qui peut être lue et/ou écrite uniquement par le module 28. Aucun accès à cette mémoire 29 sans passer par l'intermédiaire du module 28 n'est prévu.

[0054] La fonction F _V s(v, IV _k ) est une fonction qui retourne, lorsqu'elle est exécutée par le module 28, une valeur attendue r _k -i pour la signature d'un bloc de base précédent BB _k -i, à partir de la valeur d'un paramètre v et d'un vecteur d'initialisation IV _k présent au début d'un bloc de base suivant BB _k . La fonction F _vs (v, IV _k ) est telle que, connaissant la valeur r _k- i attendue pour la signature du bloc BB _k -i et le vecteur d'initialisation IV _k , il est possible de déterminer la valeur du paramètre v qui satisfait la relation suivante : r _k -i = F _V s(v, IV _k ). A titre d'illustration, ici, la fonction F _V s(v, IV _k ) est la fonction suivante F _ki (v XOR IV _k ), où les symboles utilisés ont déjà été définis ci- dessus. Ainsi, dans cet exemple, les fonctions F _cs (ii, C _k ) et F _vs (v, IV _k ) sont les mêmes et seuls leurs arguments changent. Dans ce cas particulier, la valeur du paramètre v qui permet de satisfaire la relation r _k- i = F _vs (v, IV _k ) est donnée par la relation suivante : v :=F _ki ^_1 (r _k -i) XOR IV _k , où F _k i ^_1 () est la fonction inverse de la fonction F _k i() , c'est-à-dire ici la fonction de déchiffrement.

[0055] Dans cet exemple de réalisation, l'ensemble 12 comporte des registres généraux utilisables pour stocker tout type de données et des registres dédiés. Contrairement aux registres généraux, les registres dédiés sont dédiés au stockage de données particulières généralement automatiquement générées par le microprocesseur 2.

[0056] Le microprocesseur 2 comporte ici un bus d'échange de données 24 qui relie les différents composants du microprocesseur 2 entre eux.

[0057] Le support 6 est typiquement une mémoire non volatile. Par exemple, il s'agit d'une mémoire du type EEPROM ou Flash. Il contient ici une copie 40 de sauvegarde du code binaire 30. Typiquement, c'est cette copie 40 qui est automatiquement recopiée dans la mémoire 4 pour restaurer le code 30, par exemple, après une coupure de courant ou similaire ou juste avant que débute l'exécution du code 30.

[0058] Le code machine 32 se compose d'une succession de blocs de base qui doivent être exécutés les uns après les autres.

[0059] La figure 2 représente un premier agencement de deux blocs de base 50 et 52 du code machine 32. Dans ce premier agencement, les blocs de base 50 et 52 sont systématiquement exécutés l'un après l'autre. Dans l'ordre d'exécution, le bloc de base 50 précède le bloc de base 52. Dans cette figure et les figures suivantes :

- l'ordre d'exécution des blocs de base est représenté par une flèche qui pointe du bloc de base précédent vers le bloc de base suivant,

- une flèche en pointillés qui pointe sur un bloc de base représenté indique que le ou les blocs de base qui précèdent ce bloc de base n'ont pas été représentés pour simplifier la figure,

- une flèche en pointillés qui pointe dans le vide depuis un bloc de base représenté indique que le ou les blocs de base suivant ce bloc de base représenté n'ont pas été représentés pour simplifier la figure.

[0060] Chaque bloc de base débute par une adresse de branchement et se termine par une instruction de branchement. Sur la figure 2, les symboles « @1 » et « @2 » à côté de la première instruction de chaque bloc de base désignent les adresses de branchement, respectivement, des blocs de base 50 et 52. Le symbole « @3 » désigne l'adresse de branchement d'un autre bloc de base non représenté sur la figure 2.

[0061] L'instruction « Branch » suivie d'une adresse de branchement telle que @2 ou @3 est une instruction de branchement inconditionnel vers cette adresse de branchement.

[0062] Les premières instructions « IVi » et « IV ₂ », respectivement, des blocs 50 et 52 sont les vecteurs d'initialisation utilisés pour initialiser la construction des valeurs Ci et C ₂ des signatures, respectivement, des blocs 50 et 52 à l'aide de la fonction F _C s(ii, C _k ). Ces vecteurs d'initialisation sont codés sur N bits, c'est-à-dire sur le même nombre de bits qu'une instruction. Toutefois, contrairement à une instruction, leur valeur peut être quelconque. En particulier, leur valeur n'a pas à correspondre à celle d'une instruction du jeu d'instructions du microprocesseur 2. Ces vecteurs d'initialisation sont des constantes choisies lors de la génération du code machine 32. Une valeur constante est une valeur qui ne peut pas être modifiée lors de l'exécution du code machine 32 sauf accidentellement comme, par exemple, en cas d'injection de fautes.

[0063] Dans les figures et dans la description, le symbole IV _k est utilisé pour désigner de façon générale le vecteur d'initialisation d'un bloc de base BB _k , où l'indice k est un numéro d'ordre qui identifie sans ambiguïté ce bloc de base parmi l'ensemble des blocs de base de la fonction 32. De plus, dans les cas simples comme celui représenté sur la figure 2 où deux blocs de base se suivent dans l'ordre d'exécution de la fonction 32, l'indice k est aussi utilisé pour indiquer l'ordre dans lequel ces blocs de base sont exécutés. Par exemple, la notation BB _k -i est, dans ces cas simples, utilisée pour désigner le bloc de base qui est systématiquement exécuté immédiatement avant le bloc de base BB _k .

[0064] Ici, le vecteur d'initialisation de chaque bloc de base est choisi de manière à ce que la valeur attendue de la signature de ce bloc de base soit unique pour chaque bloc de base du code machine 32. Par « unique pour chaque bloc de base», on désigne le fait que la probabilité que deux blocs de base du code machine 32 aient la même valeur attendue pour leur signature respective est inférieure à 1 chance sur 100 ou sur 1000. En pratique, la probabilité que deux blocs de base aient la même valeur attendue est généralement beaucoup plus petite. Par exemple, de préférence, cette probabilité est inférieure à N _V a/2 ^{c l} ou N _va /2 ^C , où N _Va est le nombre de valeurs attendues utilisées dans le code machine, « c » est le nombre de bits utilisés pour coder la valeur maximale des vecteurs d'initialisation en binaire. En particulier, l'expression « unique pour chaque bloc de base» couvre donc le cas où les valeurs attendues des signatures de tous les blocs de base sont systématiquement différentes les unes des autres. Ici, « c » est égal à N. Par exemple, dans une mode réalisation simple, lors de la génération du code 32, les vecteurs d'initialisation de chaque bloc de base sont tirées de façon aléatoire ou pseudo-aléatoire dans l'ensemble {1 ; ... ;2 ^N }.

[0065] Dans ce mode de réalisation, chaque bloc de base comporte une instruction spécifique désignée dans les figures et dans ce texte par le symbole « Update(v) ». Pour simplifier les figures, cette instruction spécifique est uniquement représentée dans la figure 2 dans le cas du bloc 50. L'instruction « Update(v) » est une instruction du jeu d'instructions du microprocesseur 2. Lorsqu'elle est exécutée par le microprocesseur 2 elle provoque le remplacement de la valeur actuelle du paramètre v par une nouvelle valeur. De préférence, la valeur du paramètre v est enregistrée dans la mémoire 29. Ici, la nouvelle valeur est directement contenue dans le code machine à l'intérieur du bloc de base. Comme le vecteur d'initialisation, cette nouvelle valeur est une constante choisie lors de la génération du code machine. Plus précisément, lors de la génération du code 32, la valeur du paramètre v est choisie pour vérifier la relation suivante : r _k -i = F _vs (v, IV _k )

[0066] Chaque bloc de base comporte au moins une instruction à protéger. Sur la figure 2 et dans ce texte, chaque instruction à protéger est désignée par le symbole h, où l'indice i désigne le numéro d'ordre de l'instruction à protéger à l'intérieur du bloc de base. L'instruction i, peut être n'importe quelle instruction valable du jeu d'instructions du microprocesseur 2.

[0067] Dans ce mode de réalisation, toutes les instructions de tous les blocs de base du code machine 32 sont considérées comme étant des instructions à protéger. Pour simplifier les figures, la présence de ces autres instructions à protéger dans chaque bloc de base est représentée par le symbole « ... ». En particulier, dans ce mode de réalisation, l'instruction « Udpate(v) » et l'instruction de branchement située à la fin du bloc de base sont aussi des instructions à protéger.

[0068] La figure 3 représente un autre agencement possible de plusieurs blocs de base du code 32. Cet agencement est utilisé pour montrer l'intérêt du paramètre v. Ceci est ici illustré dans le cas particulier de deux blocs de base précédents 60 et 62 et d'un bloc de base suivant 64. Ici, les blocs 60 et 64 sont, par exemple, identiques, respectivement, aux blocs 50 et 52. Le bloc 62 est construit comme décrit plus en détail pour le bloc 50 mais la valeur attendue Γ ₆₂ de sa signature est différente de la valeur attendue Γ ₆₀ pour la signature du bloc 60. Dans le cas d'un tel agencement et si le paramètre v n'était pas utilisé, alors il faudrait que les valeurs attendues Γ ₆₀ et Γ ₆₂ vérifient la relation suivante : Γ ₆₀ = Γ ₆₂ = F _VS (IV ₂ ), où IV ₂ est le vecteur d'initialisation du bloc 64. Une telle égalité entre les valeurs attendues Γ ₆₀ et Γ ₆₂ ne peut généralement être obtenue qu'en choisissant de façon appropriée les vecteurs d'initialisation IVi et IV ₃ . Grâce à l'utilisation du paramètre v dont la valeur est mise à jour lors de l'exécution des blocs 60 et 62, les valeurs attendues Γ ₆₀ et Γ ₆₂ peuvent être différentes tout en restant capable de construire la valeur attendue correcte à partir du même vecteur d'initialisation IV ₂ . Ainsi, l'utilisation du paramètre v relâche les contraintes imposées sur le choix des vecteurs d'initialisation IVi et IV ₃ . Cela simplifie donc la génération du code 32.

[0069] La figure 4 représente un procédé d'exécution du code binaire 30 par le microprocesseur 2.

[0070] Le procédé débute par une étape 150 de fourniture du code binaire 30 dans la mémoire 4. Pour cela, par exemple, le microprocesseur 2 recopie la copie 40 à l'intérieur de la mémoire 4 pour obtenir le code binaire 30 enregistré dans la mémoire 4.

[0071] Ensuite, lors d'une phase 152, le microprocesseur 2 exécute le code binaire 30 et, en particulier, le code machine 32.

[0072] Pour cela, lors d'une étape 154, le chargeur 18 charge les instructions à exécuter les unes après les autres dans la file 22. [0073] Ensuite, si l'instruction chargée ne suit pas immédiatement une instruction de branchement, alors, lors d'une étape 156, cette instruction est décodée puis l'unité 10 l'exécute. Dès lors, lorsqu'une instruction « Update(v) » est chargée, celle-ci est exécutée et la valeur actuelle de paramètre v dans la mémoire 29 est remplacée par une nouvelle valeur.

[0074] En parallèle de l'étape 156, lors d'une étape 157, à chaque fois qu'une instruction à protéger est chargée dans la file 22, le module 28 construit la nouvelle valeur C _k de la signature du bloc de base en cours d'exécution. Pour cela, il met en œuvre la relation C _k := F _C s(ii, C _k ), c'est-à-dire dans le cas particulier décrit ici, la relation C _k :=F _k i(|ii| XOR C _k ), où les différents symboles ont été définis précédemment. Ainsi, la valeur C _k de la signature du bloc BB _k se construit au fur et à mesure que les instructions de ce bloc de base sont exécutées par le microprocesseur 2. Typiquement, l'étape 157 est exécutée avant que l'instruction chargée soit exécutée par l'unité 10. Par exemple, elle est exécutée avant que l'instruction chargée soit décodée.

[0075] Lorsque l'instruction chargée est l'instruction de branchement qui délimite la fin du bloc de base précédent, alors en réponse :

- lors d'une étape 158, le module 28 vérifie l'intégrité du bloc de base précédent, puis,

- lors d'une étape 160, le module 28 initialise la construction de la signature du bloc de base suivant.

[0076] Par la suite, on note BB _k -i et BB _k , respectivement, le bloc de base précédent et le bloc de base suivant.

[0077] L'étape 158 débute par une opération 162 lors de laquelle le microprocesseur 2 charge le vecteur d'initialisation IV _k qui se trouve à l'adresse de branchement du bloc BB _k comme s'il s'agissait d'une instruction à exécuter par l'unité 10. Toutefois, après l'exécution d'une instruction de branchement, l'instruction chargée est transmise au module 28 et non pas à l'unité 10.

[0078] En réponse, lors d'une opération 164, le module 28 calcule la valeur attendue r _k -i à l'aide de la relation suivante : r _k- i := F _vs (v, IV _k ), c'est-à-dire ici à l'aide de la relation r _k -i :=F _k i(v XOR IV _k ), où « v » est la valeur actuelle du paramètre v chargée lors de l'exécution de l'instruction « Update(v) » contenue dans le bloc BB _k -i.

[0079] Ensuite, lors d'une opération 166, le module 28 compare la valeur construite Ck-i de la signature du bloc BB _k -i à la valeur attendue r _k -i calculée pour ce même bloc. Si ces valeurs correspondent, c'est-à-dire ici si elles sont identiques, alors l'intégrité du bloc BB _k -i est confirmée. De plus, étant donné que pour calculer la valeur attendue r _k -i, la valeur du vecteur IV _k contenue dans le bloc BB _k est utilisée, la valeur r _k- i calculée ne peut correspondre à la valeur C _k -i que si l'intégrité du flot de contrôle n'a pas été altérée. Par conséquent, lors de l'opération 166, le module vérifie, en même temps et en seule opération de comparaison, l'intégrité du flot de contrôle et l'intégrité du bloc BBk-i. [0080] Si l'intégrité du bloc BB _k -i et l'intégrité du flot de contrôle sont confirmées, l'étape 158 s'achève et le procédé se poursuit par l'exécution de l'étape 160. Dans le cas contraire, le procédé se poursuit par une étape 170 de signalement, par le microprocesseur 2, d'une faute d'exécution.

[0081] Lors de l'étape 160, le module 28 initialise la construction de la valeur C _k de la signature du bloc BB _k avec le vecteur IV _k . Autrement ici, le module 28 réalise l'opération suivante : C _k := IV _k .

[0082] Lors de l'exécution du code machine 32, si des attaques conduisent à altérer une instruction à protéger ou à modifier le flot de contrôle, le microprocesseur 2 signale, lors de l'étape 170, une faute dans l'exécution du code machine 32. En réponse à un tel signalement, lors d'une étape 172, par exemple, le microprocesseur 2 met en œuvre une ou plusieurs contre-mesures. De très nombreuses contre- mesures sont possibles. Les contre-mesures mises en œuvre peuvent avoir des degrés de sévérité très différents. Par exemple, les contre-mesures mises en œuvre peuvent aller d'un simple affichage d'un message d'erreur sans interrompre l'exécution normale du code machine 32 jusqu'à une mise hors service définitive du microprocesseur 2. Le microprocesseur 2 est considéré comme étant hors service lorsqu'il est définitivement placé dans un état où il est incapable d'exécuter un quelconque code machine. Entre ces degrés de sévérité extrêmes, il existe de nombreuses autres contre-mesures possibles telles que :

- l'indication par l'intermédiaire d'une interface homme-machine de la détection des fautes,

- l'interruption immédiate de l'exécution du code machine 32 et/ou sa réinitialisation, et

- la suppression du code machine 32 de la mémoire 4 et/ou la suppression de la copie 40 de sauvegarde et/ou la suppression des données secrètes.

[0083] La figure 5 représente un compilateur 190 apte à générer automatiquement le code machine 32 à partir d'un code source 192. À cet effet, le compilateur 190 comporte typiquement un microprocesseur 194 programmable et une mémoire 196. La mémoire 196 contient les instructions et les données nécessaires pour, lorsqu'elles sont exécutées par le microprocesseur 194, générer automatiquement le code machine 32 à partir d'un code source 192. En particulier, lors de la compilation du code source 192, le microprocesseur 194 introduit automatiquement les instructions « Update(v) » et les vecteurs d'initialisation IV _k appropriés dans le code machine 32. La conception et la réalisation d'un tel compilateur sont à la portée de l'homme du métier à partir des explications données dans cette description.

[0084] Variantes du code binaire :

[0085] Il est possible de garantir l'unicité de la valeur attendue r _k pour chaque bloc de base par d'autres moyens qu'un simple tirage aléatoire. Par exemple, lors de la génération du code machine, la valeur attendue de la signature de chaque bloc de base est établie en fonction des valeurs attendues déjà utilisées pour d'autres blocs de base. Pour cela, à titre d'illustration, lors de la génération du code machine les opérations suivantes sont exécutées dans l'ordre :

a) La valeur attendue pour le bloc de base actuellement traité est d'abord construite en tirant aléatoirement le vecteur d'initialisation.

b) La valeur attendue de la signature du bloc de base actuellement traité est calculée puis comparée aux valeurs attendues construites et mémorisées pour les blocs de base déjà traités.

c) Si la valeur attendue du bloc de base actuellement traité est égale à l'une des valeurs attendues déjà construites et mémorisées, les opérations a) à c) sont réitérées. Dans le cas contraire, la valeur attendue construite pour ce bloc de base actuellement traité est mémorisée.

La réitération des opérations a) à c) conduit à tirer de façon aléatoire un nouveau vecteur d'initialisation pour le bloc de base traité. Plutôt que de tirer aléatoirement un nouveau vecteur d'initialisation, il est aussi possible de modifier la valeur du paramètre v ou de modifier certaines instructions de ce bloc de base sans en modifier le fonctionnement. Par exemple, il est possible de changer les registres utilisés, ou d'introduire une opération qui ne fait rien lorsqu'elle est exécutée, ou de réexprimer une séquence d'instructions en une nouvelle séquence d'instructions différente mais sémantiquement équivalente, c'est-à-dire produisant le même résultat.

[0086] Dans une variante simplifiée, le vecteur d'initialisation a la même valeur et cela quel que soit le bloc de base à l'intérieur duquel elle se situe. Il suffit alors que les blocs de base ne comportent pas toujours les mêmes instructions à protéger pour que les valeurs attendues des signatures de différents blocs de base soient différentes. Dès lors, cela permet toujours de détecter un grand nombre de fautes d'exécution.

[0087] Variantes de l'appareil :

[0088] La mémoire 4 peut aussi être une mémoire non volatile. Dans ce cas, il n'est pas nécessaire de copier le code binaire 30 à l'intérieur de cette mémoire avant le lancement de son exécution puisqu'il s'y trouve déjà.

[0089] En variante, la mémoire 4 peut aussi être une mémoire interne intégrée à l'intérieur du microprocesseur 2. Dans ce dernier cas, elle est réalisée sur le même substrat que les autres éléments du microprocesseur 2. Enfin, dans d'autres configurations, la mémoire 4 se compose de plusieurs mémoires dont certaines sont des mémoires internes et d'autres des mémoires externes.

[0090] Variantes de construction de la signature :

[0091] En variante, seules certaines instructions de chaque bloc de base sont des instructions à protéger. Dans ce cas, la valeur C _k de la signature est construite sans prendre en compte toutes les valeurs de toutes les instructions du bloc de base mais seulement certaines de ces instructions. Ainsi, selon une première alternative, la valeur C _k est construite en prenant en compte uniquement les instructions dont le numéro d'ordre, dans le bloc de base BB _k , est pair.

[0092] Selon une deuxième alternative, seules les instructions du bloc de base BB _k dont l'opcode comporte un bit ou un groupe de bits ayant une valeur spécifique sont utilisées pour construire la valeur C _k de la signature de ce bloc. Les autres instructions de ce bloc, pour lesquels le bit ou le groupe de bits de l'opcode a une valeur différente de cette valeur spécifique, ne sont pas prises en compte pour la construction de la valeur C _k . Par exemple, le jeu d'instruction du microprocesseur est modifié pour y ajouter un bit supplémentaire qui, lorsqu'il prend la valeur « 1 », indique que cette instruction est une instruction à protéger qui doit être prise en compte pour la construction de la valeur C _k . À l'inverse, si ce bit supplémentaire prend la valeur « 0 », cette instruction n'est pas une instruction à protéger et ne doit donc pas être prise en compte pour la construction de la valeur C _k de la signature.

[0093] Selon une troisième alternative, une instruction spécifique est ajoutée au jeu d'instructions du microprocesseur 2. Lorsque cette instruction spécifique est exécutée par ce microprocesseur, elle indique au microprocesseur que les M prochaines instructions du bloc de base ne sont pas des instructions à protéger et ne doivent donc pas être prises en compte pour la construction de la valeur C _k de la signature. Typiquement, M est un nombre entier supérieur ou égal à 1.

[0094] Selon une quatrième alternative, c'est un bit spécifique d'un registre de statut ou de contrôle du microprocesseur qui indique si l'instruction chargée est ou non une instruction à protéger. Plus précisément, lorsque ce bit spécifique prend une valeur prédéterminée, l'instruction chargée est prise en compte pour la construction de la valeur C _k de la signature. Si ce bit spécifique prend une valeur différente de cette valeur prédéterminée, alors l'instruction chargée n'est pas prise en compte pour la construction de la valeur C _k de la signature.

[0095] D'autres fonctions F _C s() peuvent être utilisées. En particulier, la fonction F _C s() n'est pas nécessairement une fonction de chiffrement mettant en œuvre une clé kl secrète. Ainsi, dans un autre mode de réalisation, la fonction F _C s() est une simple opération logique ou modulaire entre les valeurs et C _k . Par exemple, dans un mode de réalisation particulièrement simple, la fonction F _C s() est une simple opération « OU exclusif ». La valeur C _k est alors construite en utilisant la relation suivante : C _k := XOR C _k .

[0096] Dans un autre exemple de réalisation intéressant, la fonction F _C s() est un homomorphisme entre deux ensembles algébriques A et B. L'ensemble A est doté d'une opération notée « + » et l'ensemble B est doté d'une opération notée « * ». Cet homomorphisme est tel que F _cs (x+y) = F _cs (x)*F _cs (y), où x et y sont des nombres appartenant à l'ensemble A. De plus, cette fonction homomorphe F _C s est injective et les opérations « + » et « * » sont des opérations commutatives et inversibles. Lorsque la fonction F _cs () est un homomorphisme, la valeur C _k -i de la signature est par exemple construite de la façon suivante :

C2, k i■— Fcs ( I ii I ) * Ci, k i,

C _n , k l Fcs ( I In I ) * C _n -i, k l , OÙ ^' .

- Cj, k i désigne la valeur C _k -i au cours de la j-ième itération de l'opération de construction de la valeur C _k -i,

[0097] À cause du fait que la fonction F _cs () est un homomorphisme, la valeur C _k- i construite peut aussi s'écrire sous la forme suivante : C _k- i := F _cs (IV _k -i + | i ₀ | + | ii | + ... + I in I )■ Par ailleurs, la fonction F _vs () est identique à la fonction F _C s() et le calcul de la valeur r _k- i est réalisé à l'aide de la relation suivante : r _k- i = F _C s(v + IV _k ). Dès lors, la valeur du paramètre v peut être calculée de la façon suivante : v:= IV _k -i + | i ₀ | + | ii | + ... I in I - IV _k , où le symbole « - » désigne l'inverse de l'opération « + ». Par conséquent, la valeur du paramètre v peut être déterminée sans qu'il soit nécessaire d'inverser la fonction F _cs (). De façon similaire, si la valeur du paramètre v est imposée, le vecteur d'initialisation est déterminé à l'aide de la relation suivante : IV _k := IV _k -i + | i ₀ | + | ii | + ... I in I - v. Autrement dit, lorsque la fonction F _C s() est un homomorphisme, la fonction F _C s n'a pas besoin d'être inversible. De plus, la même fonction F _cs () est utilisée pour construire la valeur C _k- i et pour calculer la valeur attendue r _k- i. Ce qui a été expliqué ici est valable pour n'importe quelles opérations « + » et « * » et n'est pas limité, par exemple, aux opérations d'addition et de multiplication. En particulier, ce mode de réalisation permet d'utiliser en tant que fonction F _C s() des fonctions non inversibles telles que certaines fonctions de hachage (« hash function » en anglais) ou certaines fonctions de chiffrement asymétrique pour lesquelles seule la clé publique ou seule la clé privée est connue. À titre d'illustration, les fonctions qui suivent sont des homomorphismes qui conviennent pour réaliser la fonction F _cs () :

- la fonction exponentielle « e » car e ^x+y = e ^x * e ^y , où « + » et « * » sont, respectivement, les opérations d'addition et de multiplication,

- la fonction logarithme « log » car log(x * y) = log (x) + log (y), où « + » et « * » sont, respectivement, les opérations d'addition et de multiplication,

- la fonction « E » de chiffrement de Pallier car E (x) * E (y) = E (x+y mod(N)), où « + » et « * » sont, respectivement, les opérations d'addition modulaire (modulo N) et de multiplication,

- la fonction « E » de chiffrement connu sous le terme « Unpadded RSA » avec une clé publique k exprimée avec un modulo m est une exponentiation « e » telle que e(x) = x ^e mod m, car E (x) * E (y) = E (x*y), où « * » est l'opération de multiplication, - la fonction « E » de chiffrement de Goldwasser-Micali car E (x) * E (y) = E (x XOR y), où « XOR » et « * » sont, respectivement, les opérations « ou exclusif » et la multiplication,

- les fonctions de chiffrement homomorphes.

[0098] Dans le cas où la fonction F _C s() est un homomorphisme, avantageusement, le vecteur d'initialisation IV _k -i enregistré au début du bloc BB _k -i est remplacé par un vecteur d'initialisation F _cs (IV _k -i), c'est-à-dire par la valeur C ₀ ,k-i. Dans ce cas, la construction de la valeur C _k -i débute directement par l'opération Ci, _k -i := F _C s( | lo | ) * Co,k-i, et non plus par l'opération C ₀ , _k -i := F _C s(IV _k -i). Cela limite donc le nombre d'opérations à réaliser pour construire la valeur C _k -i. De plus, lorsque la fonction F _cs () est une fonction de chiffrement asymétrique, cela peut être utilisé pour garantir soit l'authenticité du code binaire exécuté soit pour garantir l'authenticité du module 28. Plus précisément, une première possibilité consiste à utiliser une clé publique kp pour construire la valeur C _k . Dans ce cas, la valeur C _k est construite à l'aide de la relation suivante : C _k := F _kp (ii, C _k ), où F _kp () est la fonction de chiffrement asymétrique paramétrée avec la clé publique kp. Dans ce cas, le vecteur d'initialisation placé au début du bloc BB _k+i est la valeur C ₀ , _k +i, c'est-à-dire la valeur F _kp (IV _k+ i). Pour calculer la valeur attendue r _k , le module 28 déchiffre la valeur C ₀ , _k+ i à l'aide de la fonction de déchiffrement D _ks () correspondant à la fonction F _kp (). La fonction D _ks () est paramétrée par une clé secrète ks connue seulement du module 28. Le module 28 obtient ainsi le vecteur IV _k+ i. Puis, le module calcule la valeur r _k , par exemple comme précédemment décrit, c'est-à-dire à l'aide de l'opération r _k = F _vs (v, IV _k+ i). Par conséquent, la vérification de l'intégrité du code machine ne peut être réalisée que par un module 28 muni de la clé ks alors que le code machine peut être généré par tout compilateur ayant accès à la clé publique kp. A l'inverse, la valeur C _k peut être construite à l'aide de la relation suivante : C _k := D _ks (ii, C _k ). Dans ce cas, le vecteur d'initialisation placé au début du bloc BB _k+ i est la valeur C ₀ , _k +i égale à D _ks (IV _k+ i). Pour calculer la valeur attendue r _k , le module 28 chiffre avec la clé publique kp la valeur C ₀ , _k +i. Il obtient ainsi la valeur du vecteur IV _k+ i. Puis, le module 28 calcule la valeur r _k à l'aide de l'opération r _k = F _vs (v, IV _k+ i). Par conséquent, dans ce dernier mode de réalisation, la vérification de l'intégrité du code machine peut être réalisée par tout module 28 muni de la clé kp alors que le code machine peut être généré uniquement par un compilateur muni de la clé privée ks.

[0099] Dans une autre variante la fonction F _vi () est une fonction bijective différente de l'identité qui à chaque code d'une instruction en langage machine associe une valeur numérique respective. Par exemple, choisir une fonction F _vi () différente de l'identité peut avoir un intérêt lorsque les instructions du jeu d'instructions ont des tailles différentes. Dans ce cas, une fonction F _V i(), différente de l'identité, est utilisée pour associer à chaque instruction de ce jeu d'instruction, une valeur numérique choisie dans un ensemble où toutes les valeurs numériques ont la même taille. [00100] Variantes de la fonction ^Q :

[00101] En variante, la fonction F _V s() est différente de la fonction F _C s(). Par exemple, dans une variante simplifiée, la fonction F _V s() est la fonction identité. Dans ce cas, le vecteur d'initialisation IV _k situé au début du bloc BB _k est égal à la valeur attendue r _k- i du bloc BB _k -i. De plus, lorsque ce vecteur d'initialisation IV _k est utilisé pour initialiser la construction de la signature du bloc BB _k , en absence de faute d'exécution, cela revient à initialiser la construction de la valeur C _k avec la valeur C _k -i. Ainsi, la construction de la valeur de la signature n'est pas ré-initialisée après l'exécution d'une instruction de branchement.

[00102] Dans tous les modes de réalisation décrits ici, la fonction F _V s() peut être remplacée par une fonction F _vs () qui n'a qu'un seul argument à savoir le vecteur d'initialisation IV _k . On a alors r _k- i := F _vs (IV _k ). Dans ce cas, pour relâcher les contraintes sur le choix des vecteurs d'initialisation IV _k , la valeur C _k- i est construite à partir des valeurs des instructions à protéger du bloc BB _k- i et à partir du paramètre v. Par exemple, la valeur C _k- i est construite comme décrit précédemment sauf qu'on ajoute l'opération supplémentaire suivante : C _k- i := F _cs (C _k -i, v). L'exécution de cette opération supplémentaire est par exemple déclenchée lorsque l'instruction de branchement du bloc BB _k- i est chargée par le microprocesseur 2. Dans ce mode de réalisation, la fonction F _vs () peut être la fonction identité.

[00103] Le paramètre v peut être omis. Par exemple, c'est le cas si chaque bloc de base a au plus un seul prédécesseur et un seul bloc de base suivant.

[00104] Une autre possibilité pour ne pas utiliser le paramètre v tout en relâchant les contraintes sur le choix des vecteurs d'initialisation consiste, lors de l'opération 166, à comparer la valeur C _k- i aux différentes valeurs attendues possibles pour les blocs de base précédents. Par exemple, dans le cas de l'agencement de la figure 3, après l'exécution de l'instruction de branchement vers le bloc 64, lors de l'opération 166, le module 28 compare successivement la valeur C _k- i à la valeur attendue Γ ₆₀ de la signature du bloc 60 puis à la valeur attendue Γ ₆₂ de la signature du bloc 62. Si la valeur C _k- i construite ne correspond à aucune des valeurs Γ ₆₀ et Γ ₆₂ , l'étape 170 est exécutée. Si, au contraire, la valeur C _k- i est égale à l'une des valeurs r ₆₀ et Γ ₆₂ , alors l'étape 160 est exécutée. Lors de l'opération 164, le module 28 calcule les valeurs Γ ₆₀ et Γ ₆₂ a partir, respectivement, de vecteurs d'initialisation IV ₂ i et IV ₂₂ situés tous les deux au début du bloc 64. Par exemple, le vecteur d'initialisation IV ₂ i est enregistré à l'adresse @2 et le vecteur d'initialisation IV ₂₂ est enregistré à l'adresse immédiatement suivante. Dans ce cas, le nombre N _iv de lignes consacrées au stockage du ou des vecteurs d'initialisation au début de chaque bloc de base est constant. Ainsi, le microprocesseur peut déterminer simplement où débutent les instructions à exécuter dans chacun des blocs de base. Alternativement, le nombre Niv peut aussi être un paramètre réglable du fonctionnement du microprocesseur. [00105] En variante, la construction de la valeur C _k est initialisée non pas directement avec le vecteur IV _k mais avec une valeur g(IV _k ) où g est une fonction prédéterminée connue du module 28 et différente de la fonction identité. Par exemple, la fonction g peut être un « ou exclusif » entre le vecteur d'initialisation IV _k et une constante connue seulement du module 28 et enregistrée dans la mémoire 29.

[00106] Variantes de l'instruction « Update(v) » :

[00107] L'instruction « Update(v) » peut être remplacée par une instruction « Update(reg) », où « reg » est l'adresse d'un registre. Lorsque le microprocesseur exécute l'instruction « Update(reg) », il remplace la valeur actuelle du paramètre v par la valeur contenue dans le registre situé à l'adresse « reg ».

[00108] L'instruction « Update(v) » peut aussi être remplacée par une instruction Update(@ _0ff ) où @ _0ff est une valeur d'offset par rapport à une adresse fixe prédéterminée @ _init . Lorsque le microprocesseur 2 exécute l'instruction « Update(@ ₀ ff) », il remplace la valeur actuelle du paramètre v par la valeur contenue dans un mot machine situé à l'adresse @ _in it + (g

[00109] L'instruction « Update(v) » peut aussi être remplacée par deux instructions « Update(viow) » et « Update(v _high ) ». Lorsque le microprocesseur exécute l'instruction « Update(viow) », il remplace les bits de poids faible de la valeur actuelle du paramètre v par la valeur V| _0W . Lorsque le microprocesseur exécute l'instruction « Update(v _high ) », il remplace les bits de poids fort de la valeur actuelle du paramètre v par la valeur

Vhigh-

[00110] Ces différents modes de réalisation de l'instruction « Update(v) » sont en particulier utiles si la valeur du paramètre v est codée sur le même nombre de bits que les instructions du microprocesseur. Dans ce cas, il n'est pas possible de coder directement la nouvelle valeur du paramètre v dans cette instruction.

[00111] Dans une autre variante, la valeur du paramètre v n'est pas directement contenue à l'intérieur du bloc de base mais déduite d'une valeur v* contenue dans ce bloc de base. Par exemple, la valeur v* est un cryptogramme de la valeur du paramètre v obtenu en chiffrant cette valeur du paramètre v à l'aide d'une fonction de chiffrement, par exemple symétrique. Dans un mode de réalisation simplifié, la valeur v* est égale à F _ki (v). Dans ce cas, lorsque l'instruction « Update(v) » est chargée, la valeur v* est transmise au module 28 qui la déchiffre à l'aide de la clef kl et de la fonction F _k i ¹ pour obtenir la nouvelle valeur du paramètre v. Ensuite, cette nouvelle valeur du paramètre v est stockée dans la mémoire 29 à la place de la précédente.

[00112] Un bloc de base précédent peut se terminer par une instruction de branchement conditionnelle vers un premier bloc de base si la condition est vérifiée et, en alternance, vers un second bloc de base sinon. Dans ce cas les premier et second blocs de base suivants peuvent comporter à leurs adresses de branchement respectives le même vecteur d'initialisation. Ainsi, ce qui a été décrit ici s'applique sans aucune modification supplémentaire pour gérer ce type d'agencement des blocs de base du code 32. Alternativement, s'il est souhaitable que les vecteurs d'initialisation des premier et second blocs de base suivants soient différents, alors une instruction « Update(vi) » et une instruction « Update(v ₂ ) » sont introduites dans le bloc de base précédent. Ces instructions sont alors paramétrées par une condition telle que l'instruction « Update(vi) » est exécutée uniquement si le bloc de base suivant est le premier bloc de base et l'instruction « Update(v ₂ ) » est exécutée uniquement si le bloc de base suivant est le second bloc de base suivant. Le choix des valeurs Vi et v ₂ du paramètre v est alors réalisé comme décrit précédemment de manière à vérifier la condition r _k -i = F _V s (vi, IVi) = F _V s(v ₂ , IV ₂ ) où IVi et IV ₂ sont les vecteurs d'initialisation, respectivement, des premier et second blocs suivants. Ce mode de réalisation est utilisable avec les microprocesseurs capables d'exécuter des instructions de façon conditionnelle, c'est-à-dire uniquement si une condition paramétrable est satisfaite. Dans le cas contraire, le microprocesseur n'exécute pas cette instruction. De préférence, la condition testée est la même que celle testée par l'instruction de branchement conditionnelle. De plus, grâce à cela, il est possible de déclencher le signalement d'une faute d'exécution si le flot d'instructions est détourné vers le premier bloc de base alors que la condition n'est pas vérifiée.

[00113] Il existe encore d'autre alternative au mode de réalisation du paragraphe précédent. Par exemple, l'ensemble 12 peut contenir un registre dédié qui contient une valeur qui varie en fonction de la condition d'un branchement conditionnel. Plus précisément, sa valeur n'est pas la même selon que cette condition est vérifiée ou non. Ce registre dédié est souvent appelé « registre de statut ». Dans une architecture ARM, ce registre dédié est connu sous l'acronyme CPSR (« Current Program Statut Register »). Le CPSR contient notamment les bits suivants :

- le bit N qui prend la valeur « 1 » si le résultat de la condition est négatif et la valeur « 0 » sinon,

- le bit Z qui prend la valeur « 1 » si le résultat de la condition est nul et « 0 » sinon,

- le bit C qui prend la valeur « 1 » si le résultat de la condition a une retenue et sinon la valeur « 0 »,

- le bit V qui prend la valeur « 1 » si le résultat de la condition a débordé et sinon la valeur « 0 ».

[00114] Ici, la valeur de ces quatre bits N, Z, C et V est collectivement désignée par le terme « valeur NZCV ». Selon la condition à vérifier, seule une partie des bits de la valeur NZCV est utile et les valeurs des autres bits doivent être ignorées. Pour cela, la valeur d'un masque M identifiant la position des bits utiles est chargée dans un registre du microprocesseur 2 avant l'exécution de l'instruction de branchement conditionnelle. Le bloc de base précédent comporte donc à cet effet une instruction de chargement de ce masque M. Ce masque M, comme la valeur NZCV attendue, est déterminé lors de la génération du code machine. Ici, le masque M comporte quatre bits. Un bit du masque M prend la valeur « 1 » pour indiquer la position d'un bit utile dans la valeur NZCV. Dans ce cas, la valeur du paramètre v est calculée à l'aide de la relation suivante : v:= h(vi, c, M), où :

- Vi est une valeur chargée par une instruction « update(vi) » contenue dans le bloc de base précédent,

- « c » est la valeur NZCV,

- « M » est la valeur du masque M.

Par exemple, la fonction h(vi, c, M) est la suivante : h(vi, c, M) = Vi XOR extend(c Λ M), où :

- le symbole « Λ » désigne l'opération « ET » logique, et

- extend(...) est une fonction qui renvoie un nombre codée sur N bits à partir du nombre c Λ M codé sur quatre bits.

Dans ce mode de réalisation, la valeur du paramètre v n'est donc pas la même si la condition de l'instruction du branchement conditionnelle est vérifiée ou non. Ainsi, selon que l'exécution du code machine se poursuit par l'exécution du premier ou du second bloc de base, la valeur du paramètre v n'est pas la même.

[00115] Variantes du déclenchement du contrôle d'intégrité :

[00116] Il n'est pas indispensable que le contrôle de l'intégrité du bloc de base précédent et du flot de contrôle soit déclenché systématiquement et immédiatement après l'exécution d'une instruction de branchement. Par exemple, en variante, la vérification de l'intégrité n'est pas déclenchée par une instruction de branchement mais par une instruction spécifique appelée ici « Verify ». Lorsque le microprocesseur rencontre dans le code machine l'instruction « Verify », il exécute alors les opérations suivantes :

1) Il lit la valeur de l'instruction qui suit immédiatement l'instruction « Verify ». Cette valeur lue est un vecteur d'initialisation qui a été construit lors de la génération du code machine pour vérifier, comme décrit précédemment, l'intégrité du bloc de base et l'intégrité du flot de contrôle.

2) Ensuite, le microprocesseur compare la valeur construite C _k de la signature à la valeur r _k attendue calculée à partir de la valeur du paramètre v et du vecteur d'initialisation IV _k+ i comme précédemment décrit.

3) Ensuite, la valeur C _k+ i de la signature est initialisée à l'aide du vecteur IV _k+ i comme décrit précédemment.

4) Enfin, le compteur ordinal est incrémenté pour pointer sur l'instruction située immédiatement après le vecteur IV _k+ i.

[00117] Une telle instruction « Verify » peut être placée à n'importe quel endroit à l'intérieur du bloc de base BB _k+i et non pas seulement au début de ce bloc de base. Dès lors, la valeur construite de la signature peut être fonction des instructions à protéger présentes entre cette occurrence de l'instruction « Verify » et la précédente instruction « Verify » exécutée. Dans ce cas, la valeur C _k peut dépendre à la fois d'instructions à protéger contenues dans le bloc de base précédent et d'instructions à protéger également contenues dans le bloc de base suivant. Typiquement, l'instruction « Verify » est une instruction supplémentaire ajoutée au jeu d'instructions du microprocesseur 2.

[00118] Dans le même mode de réalisation, il est aussi possible de déclencher le contrôle d'intégrité à la fois en réponse au chargement d'une instruction de branchement et en réponse à l'exécution d'une instruction « verify ».

[00119] Dans un autre mode de réalisation, c'est une valeur spécifique d'un bit ou d'un groupe de bits des opcodes du jeu d'instructions du microprocesseur 2 qui déclenche la vérification de l'intégrité et l'initialisation du calcul de la signature du bloc de base suivant. Par exemple, à cet effet, le jeu d'instructions du microprocesseur 2 est modifié pour que chaque opcode comporte un bit supplémentaire ou un groupe de bits supplémentaires. Typiquement, si le microprocesseur détecte que la valeur de ce bit supplémentaire dans l'opcode chargé est égale à « 1 », alors il déclenche la vérification de l'intégrité et l'initialisation de la signature du bloc de base suivant avant d'exécuter cette instruction. Si au contraire, la valeur du bit supplémentaire de l'opcode chargé est égale à 0, le microprocesseur 2 ne déclenche pas ces opérations de vérification de l'intégrité et d'initialisation de la signature du bloc de base suivant.

[00120] Dans les modes de réalisation où la vérification de la valeur construite est déclenchée par une instruction spécifique, telle que l'instruction « verify », ou par une valeur spécifique d'un bit ou d'un groupe de bits des opcodes, les instructions de branchement à la fin des blocs de base peuvent être des instructions de branchement implicites.

[00121] L'initialisation de la valeur C _k du bloc de base suivant et le contrôle d'intégrité ont été décrits jusqu'à présent comme étant déclenchés par la même instruction du code machine. Toutefois, l'initialisation de la valeur C _k et le déclenchement du contrôle de l'intégrité peuvent être déclenchés par des instructions différentes du code machine. Dans ce cas, ces deux opérations ne sont alors pas nécessairement réalisées immédiatement l'une après l'autre. Par exemple, l'initialisation de la signature du bloc de base suivant peut être déclenchée en réponse à l'exécution d'une instruction de branchement et la vérification de l'intégrité peut être déclenchée seulement lorsqu'une instruction « Verify » est rencontrée dans le bloc de base en cours d'exécution.

[00122] Autres variantes :

[00123] Dans tous les modes de réalisation, les combinaisons de deux valeurs, tels que la valeur actuelle du paramètre v avec le vecteur d'initialisation IV _k , n'est pas nécessairement réalisée avec un « ou exclusif ». Par exemple, en variante, le « ou exclusif » est remplacé par une opération d'arithmétique modulaire.

[00124] Ici, le vecteur d'initialisation IV _k est d'abord choisi puis la valeur du paramètre v est déterminée pour que, en absence de faute d'exécution, les valeurs C _k et ΓΛ correspondent. Toutefois, tous les modes de réalisation décrit ici peuvent être adaptés pour faire l'inverse, c'est-à-dire fixer d'abord la valeur du paramètre v, puis calculer le vecteur d'initialisation IV _k pour que, en absence de faute d'exécution, les valeurs C _k et r _k correspondent.

[00125] Il est possible d'ajouter automatiquement des instructions supplémentaires de branchement inconditionnel au milieu d'un bloc de base pour le diviser en plusieurs blocs de base successifs. Cela permet notamment de déclencher plus fréquemment la vérification de l'intégrité du code machine.

[00126] Dans une autre variante, la valeur C _k n'est pas initialisée à partir du vecteur d'initialisation IV _k mais à partir d'un autre vecteur d'initialisation IV _K bis. Le vecteur IV _K bis est indépendant du vecteur IV _k . Comme le vecteur IV _k , le vecteur IV _kbis est enregistré dans le code du bloc de base BB _k . Par exemple, le vecteur IV _kbis est systématiquement enregistré après le vecteur IV _k et chargé dans la mémoire 29 immédiatement après le chargement du vecteur IV _k . Dans ce cas, les opérations de vérification de la valeur C _k -i et d'initialisation de la valeur C _k ne sont pas systématiquement réalisées en même temps et en utilisant le même vecteur d'initialisation. Par exemple, l'initialisation de la valeur C _k peut être déclenchée par une instruction spécifique au milieu du bloc de base BB _k et non pas nécessairement située au début de ce bloc de base BB _k . La vecteur IV _kbis est alors de préférence choisi pour être unique pour chaque bloc de base. Par exemple, il est tiré de façon aléatoire ou pseudo-aléatoire lors de la compilation du code machine.

[00127] Dans une autre variante, le code machine et en particulier les blocs de base sont instrumentés pour qu'une erreur d'exécution dans un branchement conditionnel puisse être détectée. Pour cela, le code machine est modifié comme décrit en référence aux figures 5 et 6 de la demande de brevet déposée par le présent déposant le 11 avril 2017 sous le n°FR1753175.

[00128] Il est possible d'ajouter dans le code machine des instructions d'activation et de désactivation d'un mode sécurisé lorsqu'elles sont exécutées par le microprocesseur. Dans le mode sécurisé, l'intégrité des blocs de base et du flot de contrôle est vérifiée comme décrit ici. Lorsque le mode sécurisé est désactivé, l'intégrité des blocs de base et du flot de contrôle n'est pas vérifiée. Ainsi, des portions du code machine peuvent être sécurisées tandis que d'autres portions ne le sont pas.

[00129] Les différents modes de réalisation décrits ici peuvent être combinés ensemble.

[00130] Avantages des modes de réalisation décrits ici :

[00131] Le module 28 compare la valeur construite C _k -i à la valeur r _k- i. La valeur r _k- i est déterminée lors de la génération du code machine 32. Ainsi, si une instruction à protéger du bloc BB _k- i est modifiée lors de l'exécution du code machine, le module 28 est capable de détecter et signaler cette faute. [00132] De plus, la valeur attendue r _k- i peut seulement être calculée à partir d'un vecteur d'initialisation IV _k qui se trouve dans le bloc de base suivant BB _k . Dès lors, si le flot de contrôle est modifié lors de l'exécution du code machine 32 et que le bloc de base suivant BB _k est remplacé par un autre bloc de base BB _t différent, le vecteur d'initialisation IV _t chargé à partir du bloc BB _t est différent du vecteur d'initialisation IV _k . Dès lors, la valeur attendue r _t calculée pour la signature du bloc BB _k -i à partir du vecteur IV _t est différente de la valeur initialement attendue r _k- i. Il est alors très peu probable que la valeur C _k -i corresponde à la valeur r _t . Ainsi, le module 28 est aussi capable de détecter une modification du flot de contrôle. Pour faire cela, on notera que ce sont les mêmes données, c'est-à-dire les vecteurs d'initialisation contenus dans les blocs de base, qui sont utilisées pour faire ces deux vérifications. À cause de cela, les procédés décrits ici sont plus simples que les procédés connus tout en restant capables de vérifier à la fois l'intégrité du code machine et l'intégrité du flot de contrôle. En particulier, la vérification de l'intégrité du flot de contrôle ne nécessite pas de modifications supplémentaires du code machine en plus de celles déjà nécessaires pour vérifier l'intégrité du code machine. La vérification de l'intégrité du flot de contrôle ne nécessite pas non plus l'exécution par le module 28 de traitement supplémentaire qui ne serait pas utile si seule l'intégrité du code machine était vérifiée.

[00133] Le fait d'utiliser le même vecteur d'initialisation à la fois pour calculer la valeur r _k- i et pour initialiser la valeur C _k renforce la sécurité du procédé. En effet, un attaquant peut essayer de modifier les instructions à protéger du bloc BB _k- i et le vecteur d'initialisation IV _k , contenu dans le bloc BB _k , de manière à ce que le module 28 ne détecte pas ces modifications et ne signale pas une faute d'exécution. Toutefois, en faisant cela, l'attaquant modifie nécessairement aussi la valeur construite C _k de la signature du bloc BB _k . Dès lors, le module 28 signalera quand même une faute au moment de la vérification de l'intégrité du bloc BB _k .

[00134] Le fait d'utiliser la valeur du paramètre v pour calculer la valeur attendue ou la valeur construite de la signature du bloc de base précédent et de charger la valeur de ce paramètre lors de l'exécution du bloc de base précédent permet de faire fonctionner le procédé décrit ici même dans le cas où il existe plusieurs blocs de base précédents pour un même bloc de base suivant. De plus, l'utilisation du paramètre v relâche les contraintes sur le choix des vecteurs d'initialisation des blocs de base précédents. Cela simplifie donc la génération du code machine.

[00135] Le fait de calculer la valeur attendue ou la valeur construite en fonction de la condition de l'instruction de branchement conditionnelle qui termine le bloc de base précédent permet de déclencher le signalement d'une faute d'exécution en cas d'erreur d'aiguillage dans le flot d'instructions. Par exemple, cela permet de déclencher le signalement d'une faute d'exécution si le premier bloc de base est exécuté alors que la condition n'est pas vérifiée. [00136] Le fait d'utiliser une fonction de chiffrement pour construire la valeur attendue r _k -i à partir du vecteur IV _k accroît la sécurité car il est alors très difficile de retrouver la valeur attendue r _k -i en connaissant seulement le vecteur IV _k . Par exemple, cela rend plus difficile les attaques dans lesquelles l'attaquant essaie de remplacer le bloc BB _k -i par un autre bloc de base qui aurait la même signature. En effet, dans ce cas, la valeur attendue r _k- i n'est pas facile à déterminer.

[00137] Le fait d'utiliser un homomorphisme pour construire la valeur de la signature permet de déterminer la valeur du paramètre v qui devra être utilisée sans qu'il soit nécessaire que cette fonction préprogrammée soit inversible.

[00138] Le fait d'utiliser pour la réalisation des fonctions F _C s() et F _vs () des fonctions de chiffrement et de déchiffrement asymétrique permet de garantir en plus soit l'authenticité du module 28 soit l'authenticité du code machine.

[00139] Le fait de choisir la fonction F _vs () égale à la fonction identité simplifie le procédé.