Sécurité des systèmes embarqués et des objets connectés. Comprendre les attaques hardware/software pour se prémunir
Cette formation vous présente les différentes attaques possibles lors des tentatives de piratage du hardware et du software de votre produit et les contremesures à déployer pour se protéger.
Cette formation propose une méthode, des outils et travaux pratiques pour appréhender les concepts enseignés. Un objet connecté peut présenter des faiblesses allant de l’électronique, jusqu’à l’infrastructure web en passant par la liaison sans fil ou filaire. L’objectif est donc de non seulement connaître ces potentiels vecteurs d’intrusion, mais aussi de pratiquer les attaques qui conduisent à leur exploitation.
- Pré-inscription en ligne session du 19 au 21 novembre 2024
Pré-inscription en ligne session du 25 au 27 mars 2025
OBJECTIFS
Maitriser les techniques d’attaque utilisées par les pirates pour savoir comment limiter les impacts
Comprendre les faiblesses de sécurité des systèmes embarqués dits IoT (Internet of Things)
Apprendre à sécuriser les systèmes embarqués dès les phases de conception
Identifier les vulnérabilités pour pouvoir ensuite limiter les risques.
PUBLIC VISE
Ingénieurs ou techniciens hardware / logiciel embarqué impliqués dans le développement de produits connectés ainsi que les professionnels de la sécurité IT.
PREREQUIS
Connaissances de l’environnement LINUX (débutant)
Prévoir un PC avec Internet avec les droits d’administration pour installer des logiciels (ex : Remmina, RemoteNG, VNC player Putty…)
INTERVENANT
Auditeur, formateur expérimenté en cyber sécurité.
Le programme CAP’TRONIC aide, chaque année, 400 entreprises à monter en compétences sur les technologies liées aux systèmes électroniques et logiciel embarqué.
PRIX
Non-adhérent : 2 500 € HT
Adhérent CAP’TRONIC : 2 000 € HT
Remarque : Notre certification QUALIOPI vous garantit un process certifié sur nos actions de formation et permet un financement des formations CAP’TRONIC par votre Opérateur de Compétences (OPCO) hors CPF.
LIEU
Formation à distance : Les accès à un outil informatique en ligne adapté seront fournis au stagiaire avant le démarrage de la formation. Aucun logiciel spécifique n’est à installer. Seule une connexion à Internet est requise
PROGRAMME
JOUR 1
Tour de table
MODULE 1 : Les bases du Hardware Hacking
Revue historique des attaques sur les objets connectés
Revue des vulnérabilités et des aspects offensifs et défensifs
Rappel des connaissances fondamentales en électronique
MODULE 2 : Comment les pirates accèdent au Hardware ?
Présenter des outils et méthodes disponibles pour auditer un produit
Extraire des données sensibles avec les outils d’audit (HardSploit) après avoir réalisé une prise d’information
Acquérir les signaux électroniques, outils et démonstration
MODULE 3 : Comment accéder au logiciel ?
Présentation des différents types d’architecture (Microcontrôleur, FPGA), accès direct au logiciel via les interfaces d’E/S (JTAG / SWD, I2C, SPI, UART, RF bande ISM, etc.)
Présentation d’accès au logiciel via des attaques à canal latéral (analyse de puissance)
Accès au Firmware par différentes interfaces
MODULE 4 : Attaques sur un système embarqué particulier, l’objet connecté (IoT)
Réaliser un audit complet appliqué à notre système embarqué vulnérable :
TP : Identifier les composants électroniques et analyser les protocoles
TP : Modifier et extraire un firmware via les fonctions de débogage SWD avec HardSploit
TP : Réaliser un fuzzing simplifié des interfaces externes pour détecter des vulnérabilités basiques sur l’embarqué
TP : Exploiter des vulnérabilités (dépassement de mémoire tampon) durant un audit de sécurité hardware en identifiant les caractères de fin de copie de tampon (bad char)
JOUR 2
MODULE 5 : Comment sécuriser votre matériel
Découvrir la cryptographie et les différents moyens de sécuriser son système et ses communications
Conception sécurisée et cycle de vie de développement (SDLC)
Examen des meilleures pratiques de sécurité matérielle pour limiter les risques
Limiter les accès JTAG et les vulnérabilités logicielles au niveau de l’embarqué
MODULE 6 : SDR Hacking
Méthodologie d’audit SDR (capture / analyse / exploitation avec radio logiciel)
Présentation des outils (GNU Radio, etc.)
TP : rétro-ingénierie d’un protocole sans fil à partir à partir des émissions radio capturées dans les aires (communication sans fil d’un panneau à LED)
JOUR 3
MODULE 7 : Exercice « CTF : Road to Botnet » :
Apprendre les notions d’attaque web
Présenter un scénario pratique d’attaque d’une solution de IIoT (Industriel Internet Of Things)
Compromettre la solution IIoT et prendre le contrôle du serveur
Apprendre les techniques couramment employées par les attaquants pour mieux comprendre les faiblesses et ainsi les atténuer voire les supprimer
Tour de table
Le découpage de la formation est proposé à titre indicatif et pourra être adapté
ORGANISATION
Moyens pédagogiques : Outil de visioconférence - Support de cours - Travaux pratiques. Assistance pédagogique sur le cours assurée par le formateur pendant 1 mois à l’issue de la formation.
Moyens permettant d’apprécier les résultats de l’action : Evaluation de l’action de formation par l’envoi d’un questionnaire de satisfaction à chaud à l’issue de la formation, puis d’un questionnaire à froid quelques semaines après la formation.
Moyen permettant de suivre l’exécution de l’action : Evaluation des connaissances via un questionnaire avant et après la formation.
Sanction de la formation : Attestation d’assiduité.
RENSEIGNEMENTS ET INSCRIPTION
Sophie BASSE-CATHALINAT - cathalinat@captronic.fr - 06 79 49 15 99
Pour toute question y compris les conditions d’accès pour les publics en situation de handicap.
Sécurité des systèmes embarqués et des objets connectés. Comprendre les attaques hardware/software pour se prémunir du 19 au 21 novembre à distance
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par JESSICA France à des fins de communication via emailing. Elles sont conservées jusqu’à votre demande de désinscription et sont destinées aux équipes de JESSICA France localisées en France. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant contact@captronic.fr
Sécurité des systèmes embarqués et des objets connectés. Comprendre les attaques hardware/software pour se prémunir du 25 au 27 mars 2025
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par JESSICA France à des fins de communication via emailing. Elles sont conservées jusqu’à votre demande de désinscription et sont destinées aux équipes de JESSICA France localisées en France. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant contact@captronic.fr
Informations mises à jour le 26/09/2024