Avis de Décès d’André Lannes
Chers collègues, C’est avec une grande tristesse que nous faisons part du décès d’André Lannes...
11 Janvier 2024
Catégorie : Soutenance de thèse
Raphaël JOUD soutiendra sa thèse: Analyses side channel contre la confidentialité des modèles de Machine Learning embarqués
Le jeudi 18 janvier 2024 à 14h00, Campus CMP, Centre de microélectronique de Provence Georges Charpak, 880 route de Mimet, 13120 GARDANNE, Grand Amphithéâtre.
Avis de soutenance de thèse
Raphaël JOUD soutiendra sa thèse
École doctorale : SCIENCES INGÉNIERIE SANTÉ SIS (ED SIS 488, Univ. Lyon)
Unité de recherche : Equipe Commune CEA-LETI / Mines Saint-Etienne : Sécurité des Architectures et des Systèmes (SAS)
Analyses side channel contre la confidentialité des modèles
de Machine Learning embarqués
Le jeudi 18 janvier 2024 à 14h00
La soutenance publique se déroulera à
Campus CMP, Centre de microélectronique de Provence Georges Charpak
880 route de Mimet, 13120 GARDANNE
Grand Amphithéâtre
La soutenance pourra également être suivie par visioconférence (lien à la demande pierre-alain.moellic@cea.fr)
Composition du jury:
Résumé :
Le déploiement des modèles de Deep Learning (DL) sur des plateformes embarquées prend de plus en plus d'importance. Ces modèles étant amenés à réaliser des tâches et manipuler des données parfois sensibles, leur sécurité doit être assurée, notamment dans le cadre des projets de régulation européens. Cependant, la sécurisation des modèles de DL n'est pas pensée au moment de leur conception et leurs déploiements les exposent aux attaques physiques en plus des nombreuses attaques algorithmiques déjà existantes. Cette thèse se concentre sur les menaces visant la confidentialité des modèles de DL exploitant les attaques matérielles, plus spécifiquement les analyses side channel. Les paramètres qui font la spécificité d'un modèle sont ciblés sous l'angle de la fidélité. Ce type de scénario ne se concentre pas seulement sur la performance du modèle victime, mais vise à en obtenir un clone. Les travaux de recherche s'organisent en trois thématiques. Tout d'abord, nous étudions l'extraction des paramètres d'un modèle de DL implémenté sur un microcontrôleur 32 bits (Cortex-M7). En s'appuyant sur une méthode d'extraction itérative, nous mettons en évidence plusieurs défis liés à l'extraction complète d'un modèle par analyse side-channel. Ensuite, nous nous concentrons sur l'obtention de l'architecture de modèles quantifiés dans un contexte boîte-noire restrictif. Ces évaluations ont été réalisées en ne s'appuyant que sur des analyses simples de reconnaissance de motifs observés au niveau des émanations électromagnétiques du circuit. À partir de ces résultats, nous considérons différentes contre-mesures visant à renforcer la confidentialité des modèles embarqués
Abstract :
Usage of Deep Learning (DL) models on embedded systems keep getting more and more popular. Their security must be ensured as those models may be required to perform sensitive tasks or handle confidential data. This question is notably brought in European regulation projects. However, securing DL model is not considered at the design phase and their deployment exposes them to physical attacks in addition to numerous algorithmic attacks that already exist. This PhD focuses on confidentiality threats of DL models leveraging on physical attacks, especially side channel analysis. Characteristics behind model performances are targeted with a fidelity objective, meaning that such a scenario aims to obtain a clone rather than just steal model performance. Studies are divided in three distinct themes. First, we focus on parameters extraction from DL model embedded on 32-bit microcontroller (Cortex-M7). Leveraging on an iterative strategy, we highlight several challenges induced by complete model extraction through side channel analysis. Then, we study architecture extraction considering quantized models in a restrictive black-box context. Such evaluations have been made using only basic pattern recognition methods applied to circuit electromagnetic emanations. From these results, we consider some countermeasures aiming at strengthening embedded DL model confidentiality.