Parameter interdependence and uncertainty induced by lumping in a hydrologic model

Throughout the world, watershed modeling is undertaken using lumped parameter hydrologic models that represent real-world processes in a manner that is at once abstract, but nevertheless relies on algorithms that reflect real-world processes and parameters that reflect real-world hydraulic properties. In most cases, values are assigned to the parameters of such models through calibration against flows at watershed outlets. One criterion by which the utility of the model and the success of the calibration process are judged is that realistic values are assigned to parameters through this process. This study employs regularization theory to examine the relationship between lumped parameters and corresponding real-world hydraulic properties. It demonstrates that any kind of parameter lumping or averaging can induce a substantial amount of ‘structural noise’ which devices such as Box-Cox transformation of flows and auto-regressive moving average (ARMA) modeling of residuals are unlikely to render homoscedastic and uncorrelated. Furthermore, values estimated for lumped parameters are unlikely to represent average values of the hydraulic properties after which they are named and are often contaminated to a greater or lesser degree by the values of hydraulic properties which they do not purport to represent at all. As a result, the question of how rigidly they should be bounded during the parameter estimation process is still an open one

Efficient nonlinear predictive error variance for highly parameterized models

Predictive error variance analysis attempts to determine how wrong predictions made by a calibrated model may be. Predictive error variance analysis is usually undertaken following calibration using a small number of parameters defined through a priori parsimony. In contrast, we introduce a method for investigating the potential error in predictions made by highly parameterized models calibrated using regularized inversion. Vecchia and Cooley (1987) describe a method of predictive error variance analysis that is constrained by calibration data. We extend this approach to include constraints on parameters that lie within the calibration null space. These constraints are determined by dividing parameter space into combinations of parameters for which estimates can be obtained and those for which they cannot. This enables the contribution to predictive error variance from parameterization simplifications required to solve the inverse problem to be quantified, in addition to the contribution from measurement noise. We also describe a novel technique that restricts the analysis to a strategically defined predictive solution subspace, enabling an approximate predictive error variance analysis to be completed efficiently. The method is illustrated using a synthetic and a real-world groundwater flow and transport model

Méthodes et modèles pour la vérification formelle de l'attestation à distance sur microprocesseur

In this thesis, we deal with how to secure the execution of an algorithm in a complex environment. We consider that it is impossible to verify that this execution is secure at every instant, even if the adversary accesses the system remotely. Nevertheless, it is possible to detect an intrusion, an alteration of this algorithm, at a specific instant: this allows to establish a dynamic root of trust. To do so, we rely on the remote attestation protocol. To secure the execution of this protocol, a static root of trust must be established, according to the threat model. This static root of trust, when formally verified, has formerly been established for simple embedded devices, such has microcontrollers from the MSP430 family. Obtaining it on these systems requires dedicated hardware support, with enough simplicity so that formal verification remains possible. In order to allow formal verification to scale and to be able to target more complex hardware systems, we propose an automated formal verification approach that is compatible with the industrial requirements. The purpose of this approach is to minimize the abstraction effort and then to reduce the impact of the state-space explosion problem. Then, we take advantage of modern SoC: we leverage the architecture to extend formally verified remote attestation to more complex devices. Our case study aims at establishing a static root of trust for a of-the-shelf microprocessor: the ARM Cortex-A9. To do so, we must provide secure execution for an attesting function and maintain confidentiality for a secret. We propose a definition for the security when targeting this family of systems, taking into account the rise of attack surface and capabilities of an adversary with high privileges. We separate these capabilities into uncorrelated problems, so that we can deal with them independently during formal verification. We propose a design that we implement, and we confront our definition of security to this design and prove that it is verified. The solution we verify does not require any hardware modification: it is simply an extension for the microprocessor, a trusted peripheral, that is implemented in a field-programmable gate array. Although, targeting proprietary architectures comes with an issue: with no access to the source, we cannot formally model their behaviour. Also, according to our strong threat model, we do not consider that the microprocessor represent a secure environment for the execution of the attesting function. As a consequence, we propose to enforce access controls and secure execution from outside the microprocessor: in the trusted peripheral. This mechanism relies on some hypothesis regarding the behaviour of the microprocessor, which we audit so that a reasonable amount of trust can be achieved.Dans ce manuscrit, nous considérons comme problématique la sécurisation de l'exécution d'un algorithme dans un environnement complexe. Nous partons du principe que nous ne pouvons pas vérifier qu'à tout instant, cette exécution est sécurisée, même dans le cadre d'un adversaire distant. Néanmoins, il est possible de détecter une intrusion, une compromission de cet algorithme, à un instant donné et d'établir une racine de confiance dynamique. Pour cela, il existe le protocole d'attestation à distance. Sécuriser l'exécution du protocole nécessite d'établir une racine de confiance statique, vis-à-vis des capacité d'un adversaire. Cette racine de confiance statique, lorsqu'elle est accompagnée d'une vérification formelle, a jusqu'à présent été établie sur des microcontrôleurs simples, tels que la famille des MSP430. L'obtenir sur ces systèmes nécessite des composants matériels dédiés, suffisamment simples pour que la vérification formelle reste possible. Afin de permettre la vérification formelle de système matériels plus complexes, nous proposons une approche de vérification formelle automatique et industrialisable. L'objectif de cet approche est de minimiser l'effort d'abstraction et ainsi réduire l'impact de l'explosion combinatoire. Ensuite, en nous appuyant sur les architectures des SoC modernes, nous envisageons d'étendre le domaine d'application de l'attestation à distance vérifiée formellement. Notre cas d'étude vise à établir une racine de confiance statique sur un microprocesseur pris sur étagère: le ARM Cortex-A9. Pour cela, nous devons sécuriser l'exécution d'une fonction d'attestation et maintenir la confidentialité d'un secret. Nous proposons une définition de la sécurité sur cette famille de systèmes, en tenant compte de l'augmentation de la surface d'attaque et des capacités d'un adversaire privilégié. Nous décomposons ces capacités en des problématiques décorrélées, que nous pouvons traiter indépendamment pour permettre la vérification formelle. Nous réalisons une implémentation, que nous confrontons à notre définition de la sécurité et apportons la preuve que celle-ci est vérifiée. La solution que nous proposons ne nécessite pas de modification matérielle, mais simplement d'une extension sous forme d'un périphérique de confiance, implémenté dans un circuit de logique programmable. Considérer les architectures propriétaires apporte cependant une problématique: sans accès aux sources, nous ne pouvons pas modéliser formellement leur comportement. Également, vis-à-vis de notre modèle de menace fort, nous ne considérons pas que le microprocesseur constitue un environnement sûr. Nous proposons donc de reconstruire un mécanisme de gestion des privilèges externe à celui-ci, dans la partie matérielle de notre périphérique de confiance. Ce mécanisme s'appuie sur des hypothèses émises vis-à-vis du comportement du microprocesseur, que nous auditons pour pouvoir y accorder un fort degré de confiance

Méthodes et modèles pour la vérification formelle de l'attestation à distance sur microprocesseur

In this thesis, we deal with how to secure the execution of an algorithm in a complex environment. We consider that it is impossible to verify that this execution is secure at every instant, even if the adversary accesses the system remotely. Nevertheless, it is possible to detect an intrusion, an alteration of this algorithm, at a specific instant: this allows to establish a dynamic root of trust. To do so, we rely on the remote attestation protocol. To secure the execution of this protocol, a static root of trust must be established, according to the threat model. This static root of trust, when formally verified, has formerly been established for simple embedded devices, such has microcontrollers from the MSP430 family. Obtaining it on these systems requires dedicated hardware support, with enough simplicity so that formal verification remains possible. In order to allow formal verification to scale and to be able to target more complex hardware systems, we propose an automated formal verification approach that is compatible with the industrial requirements. The purpose of this approach is to minimize the abstraction effort and then to reduce the impact of the state-space explosion problem. Then, we take advantage of modern SoC: we leverage the architecture to extend formally verified remote attestation to more complex devices. Our case study aims at establishing a static root of trust for a of-the-shelf microprocessor: the ARM Cortex-A9. To do so, we must provide secure execution for an attesting function and maintain confidentiality for a secret. We propose a definition for the security when targeting this family of systems, taking into account the rise of attack surface and capabilities of an adversary with high privileges. We separate these capabilities into uncorrelated problems, so that we can deal with them independently during formal verification. We propose a design that we implement, and we confront our definition of security to this design and prove that it is verified. The solution we verify does not require any hardware modification: it is simply an extension for the microprocessor, a trusted peripheral, that is implemented in a field-programmable gate array. Although, targeting proprietary architectures comes with an issue: with no access to the source, we cannot formally model their behaviour. Also, according to our strong threat model, we do not consider that the microprocessor represent a secure environment for the execution of the attesting function. As a consequence, we propose to enforce access controls and secure execution from outside the microprocessor: in the trusted peripheral. This mechanism relies on some hypothesis regarding the behaviour of the microprocessor, which we audit so that a reasonable amount of trust can be achieved.Dans ce manuscrit, nous considérons comme problématique la sécurisation de l'exécution d'un algorithme dans un environnement complexe. Nous partons du principe que nous ne pouvons pas vérifier qu'à tout instant, cette exécution est sécurisée, même dans le cadre d'un adversaire distant. Néanmoins, il est possible de détecter une intrusion, une compromission de cet algorithme, à un instant donné et d'établir une racine de confiance dynamique. Pour cela, il existe le protocole d'attestation à distance. Sécuriser l'exécution du protocole nécessite d'établir une racine de confiance statique, vis-à-vis des capacité d'un adversaire. Cette racine de confiance statique, lorsqu'elle est accompagnée d'une vérification formelle, a jusqu'à présent été établie sur des microcontrôleurs simples, tels que la famille des MSP430. L'obtenir sur ces systèmes nécessite des composants matériels dédiés, suffisamment simples pour que la vérification formelle reste possible. Afin de permettre la vérification formelle de système matériels plus complexes, nous proposons une approche de vérification formelle automatique et industrialisable. L'objectif de cet approche est de minimiser l'effort d'abstraction et ainsi réduire l'impact de l'explosion combinatoire. Ensuite, en nous appuyant sur les architectures des SoC modernes, nous envisageons d'étendre le domaine d'application de l'attestation à distance vérifiée formellement. Notre cas d'étude vise à établir une racine de confiance statique sur un microprocesseur pris sur étagère: le ARM Cortex-A9. Pour cela, nous devons sécuriser l'exécution d'une fonction d'attestation et maintenir la confidentialité d'un secret. Nous proposons une définition de la sécurité sur cette famille de systèmes, en tenant compte de l'augmentation de la surface d'attaque et des capacités d'un adversaire privilégié. Nous décomposons ces capacités en des problématiques décorrélées, que nous pouvons traiter indépendamment pour permettre la vérification formelle. Nous réalisons une implémentation, que nous confrontons à notre définition de la sécurité et apportons la preuve que celle-ci est vérifiée. La solution que nous proposons ne nécessite pas de modification matérielle, mais simplement d'une extension sous forme d'un périphérique de confiance, implémenté dans un circuit de logique programmable. Considérer les architectures propriétaires apporte cependant une problématique: sans accès aux sources, nous ne pouvons pas modéliser formellement leur comportement. Également, vis-à-vis de notre modèle de menace fort, nous ne considérons pas que le microprocesseur constitue un environnement sûr. Nous proposons donc de reconstruire un mécanisme de gestion des privilèges externe à celui-ci, dans la partie matérielle de notre périphérique de confiance. Ce mécanisme s'appuie sur des hypothèses émises vis-à-vis du comportement du microprocesseur, que nous auditons pour pouvoir y accorder un fort degré de confiance

Méthodes et modèles pour la vérification formelle de l'attestation à distance sur microprocesseur

In this thesis, we deal with how to secure the execution of an algorithm in a complex environment. We consider that it is impossible to verify that this execution is secure at every instant, even if the adversary accesses the system remotely. Nevertheless, it is possible to detect an intrusion, an alteration of this algorithm, at a specific instant: this allows to establish a dynamic root of trust. To do so, we rely on the remote attestation protocol. To secure the execution of this protocol, a static root of trust must be established, according to the threat model. This static root of trust, when formally verified, has formerly been established for simple embedded devices, such has microcontrollers from the MSP430 family. Obtaining it on these systems requires dedicated hardware support, with enough simplicity so that formal verification remains possible. In order to allow formal verification to scale and to be able to target more complex hardware systems, we propose an automated formal verification approach that is compatible with the industrial requirements. The purpose of this approach is to minimize the abstraction effort and then to reduce the impact of the state-space explosion problem. Then, we take advantage of modern SoC: we leverage the architecture to extend formally verified remote attestation to more complex devices. Our case study aims at establishing a static root of trust for a of-the-shelf microprocessor: the ARM Cortex-A9. To do so, we must provide secure execution for an attesting function and maintain confidentiality for a secret. We propose a definition for the security when targeting this family of systems, taking into account the rise of attack surface and capabilities of an adversary with high privileges. We separate these capabilities into uncorrelated problems, so that we can deal with them independently during formal verification. We propose a design that we implement, and we confront our definition of security to this design and prove that it is verified. The solution we verify does not require any hardware modification: it is simply an extension for the microprocessor, a trusted peripheral, that is implemented in a field-programmable gate array. Although, targeting proprietary architectures comes with an issue: with no access to the source, we cannot formally model their behaviour. Also, according to our strong threat model, we do not consider that the microprocessor represent a secure environment for the execution of the attesting function. As a consequence, we propose to enforce access controls and secure execution from outside the microprocessor: in the trusted peripheral. This mechanism relies on some hypothesis regarding the behaviour of the microprocessor, which we audit so that a reasonable amount of trust can be achieved.Dans ce manuscrit, nous considérons comme problématique la sécurisation de l'exécution d'un algorithme dans un environnement complexe. Nous partons du principe que nous ne pouvons pas vérifier qu'à tout instant, cette exécution est sécurisée, même dans le cadre d'un adversaire distant. Néanmoins, il est possible de détecter une intrusion, une compromission de cet algorithme, à un instant donné et d'établir une racine de confiance dynamique. Pour cela, il existe le protocole d'attestation à distance. Sécuriser l'exécution du protocole nécessite d'établir une racine de confiance statique, vis-à-vis des capacité d'un adversaire. Cette racine de confiance statique, lorsqu'elle est accompagnée d'une vérification formelle, a jusqu'à présent été établie sur des microcontrôleurs simples, tels que la famille des MSP430. L'obtenir sur ces systèmes nécessite des composants matériels dédiés, suffisamment simples pour que la vérification formelle reste possible. Afin de permettre la vérification formelle de système matériels plus complexes, nous proposons une approche de vérification formelle automatique et industrialisable. L'objectif de cet approche est de minimiser l'effort d'abstraction et ainsi réduire l'impact de l'explosion combinatoire. Ensuite, en nous appuyant sur les architectures des SoC modernes, nous envisageons d'étendre le domaine d'application de l'attestation à distance vérifiée formellement. Notre cas d'étude vise à établir une racine de confiance statique sur un microprocesseur pris sur étagère: le ARM Cortex-A9. Pour cela, nous devons sécuriser l'exécution d'une fonction d'attestation et maintenir la confidentialité d'un secret. Nous proposons une définition de la sécurité sur cette famille de systèmes, en tenant compte de l'augmentation de la surface d'attaque et des capacités d'un adversaire privilégié. Nous décomposons ces capacités en des problématiques décorrélées, que nous pouvons traiter indépendamment pour permettre la vérification formelle. Nous réalisons une implémentation, que nous confrontons à notre définition de la sécurité et apportons la preuve que celle-ci est vérifiée. La solution que nous proposons ne nécessite pas de modification matérielle, mais simplement d'une extension sous forme d'un périphérique de confiance, implémenté dans un circuit de logique programmable. Considérer les architectures propriétaires apporte cependant une problématique: sans accès aux sources, nous ne pouvons pas modéliser formellement leur comportement. Également, vis-à-vis de notre modèle de menace fort, nous ne considérons pas que le microprocesseur constitue un environnement sûr. Nous proposons donc de reconstruire un mécanisme de gestion des privilèges externe à celui-ci, dans la partie matérielle de notre périphérique de confiance. Ce mécanisme s'appuie sur des hypothèses émises vis-à-vis du comportement du microprocesseur, que nous auditons pour pouvoir y accorder un fort degré de confiance

Méthodes et modèles pour la vérification formelle de l'attestation à distance sur microprocesseur

In this thesis, we deal with how to secure the execution of an algorithm in a complex environment. We consider that it is impossible to verify that this execution is secure at every instant, even if the adversary accesses the system remotely. Nevertheless, it is possible to detect an intrusion, an alteration of this algorithm, at a specific instant: this allows to establish a dynamic root of trust. To do so, we rely on the remote attestation protocol. To secure the execution of this protocol, a static root of trust must be established, according to the threat model. This static root of trust, when formally verified, has formerly been established for simple embedded devices, such has microcontrollers from the MSP430 family. Obtaining it on these systems requires dedicated hardware support, with enough simplicity so that formal verification remains possible. In order to allow formal verification to scale and to be able to target more complex hardware systems, we propose an automated formal verification approach that is compatible with the industrial requirements. The purpose of this approach is to minimize the abstraction effort and then to reduce the impact of the state-space explosion problem. Then, we take advantage of modern SoC: we leverage the architecture to extend formally verified remote attestation to more complex devices. Our case study aims at establishing a static root of trust for a of-the-shelf microprocessor: the ARM Cortex-A9. To do so, we must provide secure execution for an attesting function and maintain confidentiality for a secret. We propose a definition for the security when targeting this family of systems, taking into account the rise of attack surface and capabilities of an adversary with high privileges. We separate these capabilities into uncorrelated problems, so that we can deal with them independently during formal verification. We propose a design that we implement, and we confront our definition of security to this design and prove that it is verified. The solution we verify does not require any hardware modification: it is simply an extension for the microprocessor, a trusted peripheral, that is implemented in a field-programmable gate array. Although, targeting proprietary architectures comes with an issue: with no access to the source, we cannot formally model their behaviour. Also, according to our strong threat model, we do not consider that the microprocessor represent a secure environment for the execution of the attesting function. As a consequence, we propose to enforce access controls and secure execution from outside the microprocessor: in the trusted peripheral. This mechanism relies on some hypothesis regarding the behaviour of the microprocessor, which we audit so that a reasonable amount of trust can be achieved.Dans ce manuscrit, nous considérons comme problématique la sécurisation de l'exécution d'un algorithme dans un environnement complexe. Nous partons du principe que nous ne pouvons pas vérifier qu'à tout instant, cette exécution est sécurisée, même dans le cadre d'un adversaire distant. Néanmoins, il est possible de détecter une intrusion, une compromission de cet algorithme, à un instant donné et d'établir une racine de confiance dynamique. Pour cela, il existe le protocole d'attestation à distance. Sécuriser l'exécution du protocole nécessite d'établir une racine de confiance statique, vis-à-vis des capacité d'un adversaire. Cette racine de confiance statique, lorsqu'elle est accompagnée d'une vérification formelle, a jusqu'à présent été établie sur des microcontrôleurs simples, tels que la famille des MSP430. L'obtenir sur ces systèmes nécessite des composants matériels dédiés, suffisamment simples pour que la vérification formelle reste possible. Afin de permettre la vérification formelle de système matériels plus complexes, nous proposons une approche de vérification formelle automatique et industrialisable. L'objectif de cet approche est de minimiser l'effort d'abstraction et ainsi réduire l'impact de l'explosion combinatoire. Ensuite, en nous appuyant sur les architectures des SoC modernes, nous envisageons d'étendre le domaine d'application de l'attestation à distance vérifiée formellement. Notre cas d'étude vise à établir une racine de confiance statique sur un microprocesseur pris sur étagère: le ARM Cortex-A9. Pour cela, nous devons sécuriser l'exécution d'une fonction d'attestation et maintenir la confidentialité d'un secret. Nous proposons une définition de la sécurité sur cette famille de systèmes, en tenant compte de l'augmentation de la surface d'attaque et des capacités d'un adversaire privilégié. Nous décomposons ces capacités en des problématiques décorrélées, que nous pouvons traiter indépendamment pour permettre la vérification formelle. Nous réalisons une implémentation, que nous confrontons à notre définition de la sécurité et apportons la preuve que celle-ci est vérifiée. La solution que nous proposons ne nécessite pas de modification matérielle, mais simplement d'une extension sous forme d'un périphérique de confiance, implémenté dans un circuit de logique programmable. Considérer les architectures propriétaires apporte cependant une problématique: sans accès aux sources, nous ne pouvons pas modéliser formellement leur comportement. Également, vis-à-vis de notre modèle de menace fort, nous ne considérons pas que le microprocesseur constitue un environnement sûr. Nous proposons donc de reconstruire un mécanisme de gestion des privilèges externe à celui-ci, dans la partie matérielle de notre périphérique de confiance. Ce mécanisme s'appuie sur des hypothèses émises vis-à-vis du comportement du microprocesseur, que nous auditons pour pouvoir y accorder un fort degré de confiance

Method and models for formal verification of remote attestation on microprocessors

Dans ce manuscrit, nous considérons comme problématique la sécurisation de l'exécution d'un algorithme dans un environnement complexe. Nous partons du principe que nous ne pouvons pas vérifier qu'à tout instant, cette exécution est sécurisée, même dans le cadre d'un adversaire distant. Néanmoins, il est possible de détecter une intrusion, une compromission de cet algorithme, à un instant donné et d'établir une racine de confiance dynamique. Pour cela, il existe le protocole d'attestation à distance. Sécuriser l'exécution du protocole nécessite d'établir une racine de confiance statique, vis-à-vis des capacité d'un adversaire. Cette racine de confiance statique, lorsqu'elle est accompagnée d'une vérification formelle, a jusqu'à présent été établie sur des microcontrôleurs simples, tels que la famille des MSP430. L'obtenir sur ces systèmes nécessite des composants matériels dédiés, suffisamment simples pour que la vérification formelle reste possible. Afin de permettre la vérification formelle de système matériels plus complexes, nous proposons une approche de vérification formelle automatique et industrialisable. L'objectif de cet approche est de minimiser l'effort d'abstraction et ainsi réduire l'impact de l'explosion combinatoire. Ensuite, en nous appuyant sur les architectures des SoC modernes, nous envisageons d'étendre le domaine d'application de l'attestation à distance vérifiée formellement. Notre cas d'étude vise à établir une racine de confiance statique sur un microprocesseur pris sur étagère: le ARM Cortex-A9. Pour cela, nous devons sécuriser l'exécution d'une fonction d'attestation et maintenir la confidentialité d'un secret. Nous proposons une définition de la sécurité sur cette famille de systèmes, en tenant compte de l'augmentation de la surface d'attaque et des capacités d'un adversaire privilégié. Nous décomposons ces capacités en des problématiques décorrélées, que nous pouvons traiter indépendamment pour permettre la vérification formelle. Nous réalisons une implémentation, que nous confrontons à notre définition de la sécurité et apportons la preuve que celle-ci est vérifiée. La solution que nous proposons ne nécessite pas de modification matérielle, mais simplement d'une extension sous forme d'un périphérique de confiance, implémenté dans un circuit de logique programmable. Considérer les architectures propriétaires apporte cependant une problématique: sans accès aux sources, nous ne pouvons pas modéliser formellement leur comportement. Également, vis-à-vis de notre modèle de menace fort, nous ne considérons pas que le microprocesseur constitue un environnement sûr. Nous proposons donc de reconstruire un mécanisme de gestion des privilèges externe à celui-ci, dans la partie matérielle de notre périphérique de confiance. Ce mécanisme s'appuie sur des hypothèses émises vis-à-vis du comportement du microprocesseur, que nous auditons pour pouvoir y accorder un fort degré de confiance.In this thesis, we deal with how to secure the execution of an algorithm in a complex environment. We consider that it is impossible to verify that this execution is secure at every instant, even if the adversary accesses the system remotely. Nevertheless, it is possible to detect an intrusion, an alteration of this algorithm, at a specific instant: this allows to establish a dynamic root of trust. To do so, we rely on the remote attestation protocol. To secure the execution of this protocol, a static root of trust must be established, according to the threat model. This static root of trust, when formally verified, has formerly been established for simple embedded devices, such has microcontrollers from the MSP430 family. Obtaining it on these systems requires dedicated hardware support, with enough simplicity so that formal verification remains possible. In order to allow formal verification to scale and to be able to target more complex hardware systems, we propose an automated formal verification approach that is compatible with the industrial requirements. The purpose of this approach is to minimize the abstraction effort and then to reduce the impact of the state-space explosion problem. Then, we take advantage of modern SoC: we leverage the architecture to extend formally verified remote attestation to more complex devices. Our case study aims at establishing a static root of trust for a of-the-shelf microprocessor: the ARM Cortex-A9. To do so, we must provide secure execution for an attesting function and maintain confidentiality for a secret. We propose a definition for the security when targeting this family of systems, taking into account the rise of attack surface and capabilities of an adversary with high privileges. We separate these capabilities into uncorrelated problems, so that we can deal with them independently during formal verification. We propose a design that we implement, and we confront our definition of security to this design and prove that it is verified. The solution we verify does not require any hardware modification: it is simply an extension for the microprocessor, a trusted peripheral, that is implemented in a field-programmable gate array. Although, targeting proprietary architectures comes with an issue: with no access to the source, we cannot formally model their behaviour. Also, according to our strong threat model, we do not consider that the microprocessor represent a secure environment for the execution of the attesting function. As a consequence, we propose to enforce access controls and secure execution from outside the microprocessor: in the trusted peripheral. This mechanism relies on some hypothesis regarding the behaviour of the microprocessor, which we audit so that a reasonable amount of trust can be achieved

L'influence de la reconnaissance de la CPNEJ sur l'insertion professionnelle des journalistes. Étude de cas : l’insertion des étudiants de l’EJDG, de l’ICOM et de l’ISCPA Lyon

La reconnaissance des formations attribuée par la Commission paritaire des journalistes est-elle utile au moment de chercher son premier emploi ? Pour répondre à cette question, trois formations représentatives de la diversité des offres de cursus en France ont été étudiées. Une formation reconnue : le master de l’École de journalisme de Grenoble ; et deux formations non reconnues : une publique, le master Nouvelles pratiques journalistiques de l’Institut de la communication, de l’Université Lyon 2 ; et une privée, le bachelor Journalisme délivré par l’Institut supérieur de la communication, de la presse et de l’audiovisuel de Lyon. Ces trois cursus sont situés dans la même zone géographique, et sont donc amenés à entrer en concurrence pour trouver des partenariats et insérer leurs étudiants dans les médias locaux. Bien que ce label apporte des avantages non négligeables à une formation et à ses étudiants, elle n'handicape pas forcément ceux qui n'y ont pas accès. Et si la reconnaissance joue un rôle, dans une moindre mesure, au moment de la recherche du premier emploi, sortir d’une formation reconnue n’est plus important avec le temps

Remote attestation of bare-metal microprocessor software: a formally verified security monitor

International audienceRemote attestation is a protocol to verify that a remote algorithm satisfies security properties, allowing to establish dynamic root of trust. Modern architectures for remote attestation combine signature or MAC primitives with hardware monitors to enforce secret confidentiality. Our works are based on a verified hardware/software co-design for remote attestation, VRASED. Its proof is established using formal methods and its implementation is conducted on a simple embedded device based on a single core microcontroller. A heavy modification of the core, along with a hardware monitor, enforces security properties. We propose to extend this method to microprocessors where cores cannot be modified. In this paper, we tackle this problem with support from the microprocessor's debug interface and demonstrate that the same security properties also hold