Formation Sécurité des objets connectés

La multiplication des objets connectés, que ce soit chez les particuliers ou dans les entreprises, étend le périmètre d'internet. L'Internet des Objets (IoT) s'est implanté dans les secteurs phares des activités courantes : santé, domotique, automobile, logistique...

Ces nouveaux usages mixant objets et web accroissent le nombre de données générées, les types d'échanges et la diversité des technologies en interaction (connexions, protocoles, logciels...). Se pose alors la question de la sécurité.

Cette formation Sécurité des objets connectés a pour objectif de fournir suffisament d’éléments techniques et de langage afin de permettre aux développeurs et integrateurs de solutions communiquantes de comprendre l’aspect multi-vectoriel de la sécurité des systèmes embarqués avec notamment une approche de défense vis-à-vis d’une vision attaquant.

De cette manière, chaque participant sera en mesure d’évaluer une solution IoT en prenant en compte l’ensemble de la chaine de données, depuis sa production jusqu’à sa consommation. Sur l’ensemble de la formation, le profil type attaquant est un attaquant opportuniste.

Objectif opérationnel : 

Savoir maîtriser l’aspect multi-vectoriel de la sécurité des systèmes embarqués en identifiant le rôle et les outils à disposition des attaquants comme des défenseurs.

Objectifs pédagogiques :

À l'issue de cette formation Sécurité des objets connectés, vous aurez acquis les connaissances et compétences nécessaires pour :

• Disposer de suffisamment d'éléments techniques et du langage nécessaires pour comprendre l'aspect multi-vectoriel de la sécurité des systèmes embarqués
• Comprendre l'approche défensive en réaction à une vision attaquante
• Être en mesure d'évaluer une solution IoT en prenant en compte l'ensemble de la chaine de données, depuis sa production jusqu'à sa consommation

Public :

Ce cours Sécurité des objets connectés s'adresse à un profil industriel de type développeur ou intégrateur en charge de superviser ou d'implémenter la sécurité au sein d'un projet IoT. Les participants cherchent plus particulièrement à comprendre la logique d'un attaquant, sa palette offensive et les outils de défense à disposition.

Prérequis :

Les participants à cette formation Sécurité des objets connectés disposent d'une bonne connaissance générale en environnement Linux et possèdent des notions en système. Ils ont idéalement participé au prototypage d'un système IoT et sont sensibles aux problématiques de sécurité engendrées par le développement d'applications (IoT ou non).

Qu'est-ce que l'IoT ?

Au cœur de la révolution industrielle et sociétale
L'environnement IoT
Cadre légal
Analyse de risque
Référentiels (ANSSI / GSMA / GIE / norme
ISO / Internationale / NIST / CIS)
Méthodologie test d'intrusion :
- MITRE ATT&CK ICS
- PTES
- OSTMM
- OWASP

Caractéristiques spécifiques

Contraintes spécifiques / contraintes d'encombrement
Microcontrôleur vs CPU
Notion d'architecture
Système temps-réel
Protocoles
Attaque

Récupération d'information

Lecture de documentation technique (ex. : DataSheet et cartographie)
Suivi des pistes physiques (ex.: Gerber)
Voyage dans le temps (ex. : Gitlog / timemachine)
Fiches d'identité

Couche matérielle

Liaison série (Synchrone et Asynchrone)
Accès au microcode (port débogage / lecture mémoire)
Accès indirect / Injection de fautes (DMA/DPA)
Introduction aux radio fréquences (SDR)

Couche microcode

Rétro-ingénierie ARM (ex. : R2 et Ghidra)
Exploitation ARM (Emulateur, Debogueur, Montage des partitions de fichiers)
Développement sécurisé
Simulation d'une carte “alpha” (version de développement)

Couche concentrateurs

Passerelles

Modèle souscription/publication
Modèle ad-hoc
Gestion par événements

Android

Architecture
Décompilation d'une archive applicative (APK)
Interaction avec la pile d'exécution
Analyse légale post-incident (Forensic)

Couche Internet

Terminaison API / fonctions lambda
Application Web
Gestion des réseaux d'énergie / villes intelligentes

Défense

Protection du matériel
Développement sécurité par construction (Secure design)
Sécurité périmétrique et surveillance (Parefeu, IDS/IPS, Gestion de journaux VS SIEM)

Cette formation vous propose de réaliser un audit global d'une solution IoT en mode matriochka. Plusieurs challenges sont imbriqués avec une construction en plusieurs niveaux. Chacun d'entre eux sera étudié tout au long du cours.
À chaque découverte d'une vulnérabilité, une fiche détail composée d'une description, d'un score (CVSSv3) et d'une recommandation sera réalisée. Les travaux pratiques sont basés sur la plateforme Microbit et sur les puces STM32 (STM32F103C8T6).