Les 500 meilleurs experts mondiaux de la cybersécurité n'ont pas réussi à pirater le processeur Morpheus
Il y a quelques années, nous faisions un reportage sur l'annonce du processeur informatique Morpheus "inviolable" développé par les chercheurs en informatique de l'université du Michigan aux États-Unis. Sur le papier, le processeur présentait un changement de paradigme par rapport à la cybersécurité traditionnelle qui repose généralement sur la recherche et l'élimination des bogues logiciels, puisque Morpheus est conçu pour reconfigurer les bits clés de son code et de ses données des dizaines de fois par seconde, transformant ainsi toute vulnérabilité en impasse pour les pirates informatiques. Cependant, dans la pratique, il semble que, si l'on dispose de suffisamment de temps, et à l'aide de puissants outils d'IA, les murs sophistiqués dressés par Morpheus pourraient finalement être franchis. La DARPA a voulu tester cette théorie et a rassemblé plus de 500 des meilleurs experts en cybersécurité du monde pour essayer de pirater Morpehus, mais personne n'a réussi.
Le défi de piratage de Morpheus faisait partie d'un programme de prime aux bogues appelé Finding Exploits to Thwart Tampering (FETT) organisé par le DARPA, le service numérique de la défense (DDS) du ministère de la défense et Synack - une plateforme de sécurité à forte fréquentation. Ce programme s'est déroulé de juin à août 2020 et a évalué l'intégrité du processeur Morpheus ainsi que des solutions similaires développées par le MIT, l'université de Cambridge, Lockheed Martin et l'institut technologique à but non lucratif SRI International. Il semble que seul Morhpeus en soit sorti indemne. Selon Todd Austin, chef d'équipe de l'université du Michigan, le succès du processeur Morpheus est une preuve supplémentaire que la sécurité informatique doit s'éloigner de son paradigme traditionnel de "bugs et correctifs".
"L'approche actuelle qui consiste à éliminer les bogues de sécurité un par un est une partie perdue d'avance", a déclaré M. Austin. "Les développeurs écrivent constamment du code, et tant qu'il y aura du nouveau code, il y aura de nouveaux bogues et de nouvelles vulnérabilités de sécurité. Avec Morpheus, même si un hacker trouve un bug, l'information nécessaire pour l'exploiter disparaît en quelques millisecondes. C'est peut-être ce qui se rapproche le plus d'un système sécurisé à l'épreuve du temps"
Dans le cadre du programme FETT, des experts en cybersécurité se sont vus offrir des dizaines de milliers de dollars pour pirater un système informatique alimenté par Morpheus et contenant une fausse base de données médicales. Le système Morpheus a été la deuxième cible la plus populaire des sept processeurs évalués dans le cadre du FETT. Les experts ont essayé de pirater Morpheus en faisant de la rétro-ingénierie des machines les plus basiques du processeur comme l'emplacement, le format et le contenu du code du programme, également connu sous le nom de "sémantique indéfinie" Cette approche est rendue inefficace par la capacité de la puce à protéger une sémantique non définie par "cryptage et barattage" Le cryptage randomise l'importante sémantique indéfinie dont les pirates ont besoin pour lancer une attaque réussie, tandis que le churn les re-randomise pendant que le système fonctionne. Austin explique que le taux d'attrition est normalement maintenu à un faible niveau pour maintenir les performances du système à un niveau élevé, mais lorsqu'un pirate informatique en puissance exerce une sémantique non définie lors d'une tentative d'attaque, le taux d'attrition augmente, stoppant les attaquants dans leur élan.
Comme elle a réussi à déjouer toutes les cyber-attaques, la puce Morpheus a reçu de la DARPA la note A, qui signifie "Approved for Public Release, Distribution Unlimited"
Source(s)
