Formation : « La sécurité des objets connectés »

Retrouver LOOTUS au catalogue de formation 2021 de Cap’tronic du 23 au 24 juin 2021

Objectifs

La cryptographie est la discipline de la cryptologie s’attachant à protéger des messages afin d’assurer la confidentialité, l’authenticité et l’intégrité à l’aide de clés. Le fait de coder un message de telle façon à le rendre secret s’appelle le chiffrement. Les applications principales dans les systèmes embarqués sont la mise à jour du logiciel à distance et la protection des données transmises dans l’IoT. La formation à distance se déroulant sous 2 jours vise à fournir aux participants les clés et les connaissances pour identifier les algorithmes et comprendre la cryptographie, mettre en place une chaîne de communication sécurisée mais aussi un système de mise à jour de logiciel à distance.

Prérequis

Il est fortement recommandé d’avoir une expérience en développement de logiciel embarqué. Les stagiaires devront idéalement disposer d’une expérience minimum en développement de logiciel embarqué. Une machine virtuelle sera fournie avec l’ensemble des outils déjà installés.

Avoir un PC/Mac portable avec :

  • VMware Player, VMware Workstation, VMware Fusion (ou Virtual Box le cas échéant)
  • Minimum 20GB d’espace libre sur le disque dur
  • 4Go de RAM minimum, 6Go de RAM recommandés
  • 2 cœurs de CPU minimum (Intel, I3, I5, I7 ou AMD équivalent)
  • 2 ports USB libres
  • Système 64 bits avec les droits d’administrations (Windows, Linux ou Mac OS)
  • Webcam, haut-parleurs, micro et liaison Internet stable

Public concerné

Développeur, architecte, intégrateur, concepteur hardware et logiciel embarqué.

Moyens pédagogiques

  • QCM (en début et fin de session)
  • Support de cours PowerPoint (en français)
  • Travaux pratiques (en cours de formation)

Programme - 3 jours

Introduction à la cybersécurité

  • Présentation de la cybersécurité IoT (état de l’art, vocabulaire, exemples concrets, références)

Cybersécurité IoT : méthodes et outils

  • Rétro-ingénierie d’une carte électronique (identification des composants, protocoles et des outils)
  • Comment accéder au logiciel et au matériel
  • Création d’une méthodologie / stratégie d’un audit de sécurité

TP : Tests d’intrusions sur un vrai système

  • Interaction avec différents bus de communication à la recherche de vulnérabilités (I²C, SPI, UART, SWD / JTAG)
  • Présentation d’OpenOCD

TP : Rétro-ingénierie d’un logiciel embarqué

  • Les bases de la rétro-ingénierie
  • Présentation des outils (Radar2, GHIDRA, BINWALK)
  • Analyse statique et dynamique de la mémoire interne

Cryptographie

  • Introduction à la cryptographie (chiffrement, signature…)
  • Présentation des algorithmes de chiffrement (asymétrique, symétrique) et de Hashage (SHA256, BCRYPT…)
  • Comment choisir un algorithme de chiffrement et s’assurer de son implémentation
  • Introduction au démarrage sécurisé (Secure Boot)
  • Comment stocker ses secrets (TPM, Secure Element, Readback Protection)
  • L’entropie le secret de la crytpographie

Attaque par force brut

  • Attaque par dictionnaire (sel, poivre)
  • Système « anti-brutforce »( exponentiation du temps, déni de service)
  • Choix de mot de passe (en ligne, hors-ligne, espace de clés)
  • Comment générer des nombres aléatoires (PRGN, TRGN…) et des secrets (clés de chiffrement…)
  • Algorithme de dérivation de clés

Les liaisons radio et canaux cachés

  • Notions d’attaques radio et de canaux cachés
  • Démonstrations de vulnérabilités

Du smartphone à l’IoT par le Cloud

  • Comment concevoir ou choisir une implémentation robuste et comment s’y prendre
  • Objets communicants
  • Protocoles réseau du monde IoT (MQTT, HTTP, REST…)
  • Architectures types (découpage en service et webservice, 3G, 4G data limité consommation limitée)
  • Notion de confiance : les Backdoors des fondeurs (Intel Management Engine…) et Backdoor dans pare-feu Zyxel
  • Gestion de projet et du risque cyber dans l’ensemble du processus (Secure by design et SDLC)

Cartographie et étude de risques

  • Présentation d’une analyse de risque, de la méthode EBIOS / EBIOS RM, des outils disponibles
  • Exemple d’application sur un cas concret

Vous avez envi de vous inscrire ?

Formation : « La sécurité des objets connectés »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut