Logo de la rubrique La sécurité des objets connectés

La sécurité des objets connectés

Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.




Cette formation vous présente les principales vulnérabilités possibles d’un produit connecté au niveau hardware & software et comment faire de la rétro-ingénierie pour les trouver. Nous présenterons une introduction à la sécurisation cryptographique et des outils pour vérifier la sécurité de vos produits, ainsi qu’une méthode de sécurisation de votre système dans son ensemble, du capteur à l’application cloud.

Pré-inscription en ligne

Un kit d’entrainement à la cybersécurité des objets connectés sera fourni à chaque participant !

OBJECTIFS

- Parcourir les vulnérabilités possibles d’un produit connecté (hardware & software)
- Découvrir les bonnes pratiques de sécurisation cryptographique pour limiter les risques
- Anticiper les risques d’attaques dès la conception et penser la sécurité du système dans son ensemble

PUBLIC VISE

Cette formation cible les personnes intéressées par les aspects de sécurité liés au hardware ou à l’embarqué : ingénieurs ou techniciens hardware / logiciel embarqué impliqués dans le développement de produits connectés.

PREREQUIS

Afin de tirer un enseignement maximum de cette formation, les stagiaires devront idéalement disposer d’une expérience minimum en développement de logiciel embarqué mais aucune expérience en sécurité informatique n’est nécessaire.
Disposer d’un PC avec les droits d’administration : pour installer des logiciels pour utiliser un kit matériel pour les TP qui sera fourni.

INTERVENANT

Spécialiste en conception sécurisée d’architecture IT et IoT, implémentation cryptographique, système embarqué, conception de circuit et programme embarqué, réseau, cybersécurité opérationnelle.
Le programme CAP’TRONIC aide, chaque année, 400 entreprises à monter en compétences sur les technologies liées aux systèmes électroniques et logiciel embarqué.

PRIX

Non-adhérent : 2 100€ HT
Adhérent CAP’TRONIC : 1 800€ HT

Remarque : Jessica France est titulaire d’un numéro d’agrément de formation continue et est référencé DATADOCK depuis le 1er juillet 2017. Cette formation est éligible au financement par votre Opérateur de Compétences (OPCO) hors CPF.
JPEG

LIEU

MAISON DE LA SALLE
78A rue de Sèvres
75007 PARIS

Métro : LIGNE 13 arrêt DUROC

PROGRAMME

JOUR 1
Tour de table
Introduction à la cybersécurité
• État de l’art, vocabulaire, exemples concrets, références

Cybersécurité IoT : méthodes et outils
• Rétro-ingénierie d’une carte électronique
• Identification des composants
• Identification des protocoles (UART,I2C, SPI, JTAG, SWD…)
• Identification des outils
• Comment accéder au logiciel
• Comment accéder au matériel
• Création d’une méthodologie / stratégie d’audit de sécurité

3 TP : Interaction I²C , SPI, UART ,
• Interaction avec I²C SPI, Fuzzing de l’interface UART
TP : Interaction SWD / JTAG
• Présentation d’OpenOCD
• Interaction avec SWD / JTAG (extraction du Firmware)

JOUR 2
TP : Analyse statique de la mémoire interne
• Les bases de la rétro-ingénierie
• Présentation de Radar2 (avec CUTTER), GHIDRA (NSA) et BINWALK
• Analyse statique : rétro-ingénierie à la recherche de vulnérabilités
TP : Analyse dynamique de la mémoire interne
• Analyse dynamique : rétro-ingénierie exploitation des vulnérabilités
• Présentation de GDB

Introduction à la cryptographie
• Présentation des algorithmes Asymétrique / Symétrique / Hash
• Comment choisir un algorithme de chiffrement et s’assurer de son implémentation
• Introduction au démarrage sécurisé (Secure Boot)
• Comment stocker ses secrets (TPM, Secure Element, readback protection)
• L’entropie le secret de la cryptographie ?
• Système anti bruteforce (exponentiation du temps)
• Déni de service
• Espace de clés
• Algorithme de dérivation de clé
• Choix d’un mot de passe
• Attaque par dictionnaire (sel, poivre)
• Génération de nombres aléatoires (PRGN, TRGN...)
• Choix des clés / IV
• Génération de clés

JOUR 3
Attaques par lien radio
• Notion d’attaques radio
• Démonstration sur des cas concrets

Attaques par canaux cachés
• Attaques par canaux cachés
• Démonstration sur des cas concrets

Du smartphone à l’IoT par le Cloud
• Comment concevoir ou choisir une implémentation robuste ?
• Du smartphone à l’IoT par le Cloud : Comment bien s’y prendre ?
• Objets communicants
• Protocoles réseau du monde IoT (MQTT, HTTP, REST...)
• Architectures types (découpage en service et webservice, 3G, 4G data limité consommation limitée)
• La notion de confiance : les backdoors des fondeurs
• Gestion de projet et gestion du risque cyber dans l’ensemble du processus (Secure by design et SDLC)
• Introduction à l’analyse de risque ( EBIOS RM)

ORGANISATION

Moyens pédagogiques : Support de cours - Etude de cas et/ou travaux pratiques– Assistance pédagogique assurée par le formateur 1 mois après la formation.

Moyens permettant d’apprécier les résultats de l’action  : Evaluation de l’action de formation par la remise d’un questionnaire de satisfaction à chaud à l’issue de la formation, puis d’un questionnaire à froid quelques semaines après la formation.

Moyen permettant de suivre l’exécution de l’action : Evaluation des connaissances via un questionnaire avant et après la formation - Feuilles de présence signées par chaque stagiaire et le formateur par demi-journée de formation.

Sanction de la formation : Attestation de présence.

RENSEIGNEMENTS ET PRE-INSCRIPTION

Florence CAGNARD, cagnard@captronic.fr - 01 69 08 60 54
Pour toute question y compris les conditions d’accès pour les publics en situation de handicap.

Inscription en ligne

Les inscriptions sont closes. Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.

Informations mises à jour le 27/03/2023