La sécurité des objets connectés

Découverte des principales vulnérabilités existantes sur des objets connectés au niveau matérielles et logicielles, au travers de la rétro-ingénierie et l’utilisation d’une plateforme d’entraînement. 

Formation de 3 jours

  • Comprendre la rétro-ingénierie d’une carte électronique par l’utilisation d’un outil permettant de s’interfacer avec les bus électroniques (JTAG / SWD / I²C / SPI / UART)
  • Initiation à la cryptographie pour concevoir et choisir une implémentation robuste
  • Analyser des risques du smartphone à l’IoT par le Cloud
  • Découverte des bonnes pratiques

Développeur, architecte, intégrateur, concepteur hardware et logiciel embarqué

Il est possible d’installer une marchine virtuelle (instruction de virtualisation activée dans le BIOS).

Avoir un PC/Mac portable avec :

  • Avoir déjà installer un outil de virtualisation tel que Vmware Player, Vmware Workstation ou
    Vmware Fusion (ou VirtualBox le cas échéant)
  • Minimum de 15Go d’espace libre (pour déposer et déployer la machine virtuelle)
  • Minimum 6Go de RAM
  • Minimum 2 coeurs de CPU (Intel, I3, I5, I7 ou AMD équivalent)
  • 2 ports USB libres (USB2)
  • Système 64bits avec les droits d’administrations (Windows, Linux ou Mac OS)
  • Un fichier OVA pour déployer simplement la VM sera fourni

Il sera remis à chaque participant un kit d’entraînement I²Cx Cyber Range comprenant une plateforme d’entraînement (I²Cx Platform) ainsi qu’une carte permettant de s’interfacer avec la plateforme (I²Cx Scanner Lite).

  • QCM (en début et fin de session)
  • Support de cours PowerPoint (en français)
  • Travaux pratiques (plateforme d’entraînement I²Cx Cyber Range)

Programme

JOUR 1

Introduction à la cybersécurité

  • Présentation de la cybersécurité IoT (état de l’art, vocabulaire, exemples concrets, références)

Cybersécurité IoT : méthodes et outils

  • Rétro-ingénierie d’une carte électronique (identification des composants, protocoles et des outils)
  • Comment accéder au logiciel et au matériel
  • Création d’une méthodologie / stratégie d’un audit de sécurité

TP : Tests d’intrusions sur un vrai système

  • Interaction avec différents bus de communication à la recherche de vulnérabilités (I²C, SPI, UART, SWD / JTAG)
  • Présentation d’OpenOCD

JOUR 2

TP : Rétro-ingénierie d’un logiciel embarqué

  • Les bases de la rétro-ingénierie
  • Présentation des outils (Radar2, GHIDRA, BINWALK)
  • Analyse statique et dynamique de la mémoire interne
  • Recherche et exploitation d’un buffer overflow

Cryptographie

  • Introduction à la cryptographie (chiffrement, signature…)
  • Présentation des algorithmes de chiffrement (asymétrique, symétrique) et de Hashage (SHA256, BCRYPT…)
  • Comment choisir un algorithme de chiffrement et s’assurer de son implémentation
  • Introduction au démarrage sécurisé (Secure Boot)
  • Comment stocker ses secrets (TPM, Secure Element, Readback Protection)

JOUR 3

Cryptographie

  • L’entropie le secret de la cryptographie
  • Attaque par dictionnaire (sel, poivre)
  • Système « anti-brutforce »( exponentiation du temps, déni de service)
  • Choix de mot de passe (en ligne, hors-ligne, espace de clés)
  • Comment générer des nombres aléatoires (PRGN, TRGN…) et des secrets (clés de chiffrement…)
  • Algorithme de dérivation de clés

Les liaisons radio et canaux cachés

  • Notions d’attaques radio et de canaux cachés
  • Démonstrations de vulnérabilités

Du smartphone à l’IoT par le Cloud

  • Comment concevoir ou choisir une implémentation robuste et comment s’y prendre
  • Objets communicants
  • Protocoles réseau du monde IoT (MQTT, HTTP, REST…)
  • Architectures types (découpage en service et webservice, 3G, 4G data limité consommation limitée)
  • Notion de confiance : les Backdoors des fondeurs (Intel Management Engine…) et Backdoor dans pare-feu Zyxel
  • Gestion de projet et du risque cyber dans l’ensemble du processus (Secure by design et SDLC)

Cartographie et étude de risques

  • Présentation d’une analyse de risque, de la méthode EBIOS / EBIOS RM, des outils disponibles
  • Exemple d’application sur un cas concret

Vous avez un besoin en cybersécurité ?

Retour en haut