| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2015/03/27 19:56]
rthion [Évaluation] |
enseignement:tiw4 [2019/02/04 12:06]
rthion [Programme] |
| ===== TIW4 2014-2015: Sécurité des systèmes d'information ===== | ===== TIW4 2018-2019: Sécurité des systèmes d'information ===== |
| |
| L'unité d'enseignement TIW4 2014-2015 ([[http://offre-de-formations.univ-lyon1.fr/front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=156|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique et à la protection de la vie privée. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, les vulnérabilités web et la gestion des autorisations. | L'unité d'enseignement TIW4 ([[http://offre-de-formations.univ-lyon1.fr///front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=345|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, la configuration de serveurs HTTPS, l'authentification, les vulnérabilités web et la gestion des autorisations. |
| ==== Programme ==== | ==== Programme ==== |
| |
| Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TI/#planning|le site du M2TI]]. Les enseignements seront sur le mode des cours intégrés, sans distinctions entre les séances de CM et celles de TD. | Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TIW/#planning|le site du M2TIW]]. |
| |
| ^ Thématique ^ Séance ^^ Diapos ^ Exercices ^ CC ^ | * 19/09 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] |
| ^ ::: | * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]] |
| ^ Introduction | 17/09 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|introduction]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM1-AnalyseDeRisques.pdf|analyse de risques EBIOS]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD1.pdf|TD 1]] | | * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]]) |
| ^ ::: | * 07/11 - TD principes de la cryptographie (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]] |
| ^ Cryptographie | 24/09 | 08h15-09h45 - C1 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|cryptographie et applications]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Exemples/|exemples]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD2.pdf|TD 2]] | | * 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1 |
| ^ ::: | 24/09 | 13h30-16h00 - C1 | ::: | ::: | | * 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous |
| ^ ::: | 01/10 | 13h45-18h00 - C5 | ::: | ::: | | * 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite) |
| ^ ::: | |
| ^ Vie privée | 08/10 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM3-Privacy.pdf|introduction à la protection de la vie privée]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD3.pdf|TD 3]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TD3_decisions_CNIL/|CNIL]]| **CC1**| | |
| ^ ::: | |
| ^ Vulnérabilités | 29/10 | 13h45-18h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|vulnérabilités logicielles et web]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD4.pdf|TD 4]] | | |
| ^ ::: | 05/11 | 13h00-14h00 - C3 | présentation de la plateforme de TP | | |
| ^ ::: | 05/11 | 14h00-18h00 - TP4| //serious-game// sur les vulnérabilités web | | |
| ^ ::: | ::: | 14h00-18h00 - TP5| ::: | | |
| ^ ::: | 12/11 | 14h00-16h00 - C5 | retours sur le TP| | **rapport** | | |
| ^ ::: | |
| ^ Autorisations | 19/11 | 13h45-17h00 - C2| [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|gestion des autorisations]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD5.pdf|TD5]] | **CC2** | | |
| ^ ::: | 03/12 | 13h45-17h00 - C5 | ::: | :::| | |
| ^ ::: | |
| ^ Conclusion | 10/12 | 13h45-15h45 - C5 | débriefing et révisions | | |
| ^ ::: | 17/12 | 14h00-16h00 - C2 | contrôle final (1h30) | | **CCF**| | |
| |
| <note>La [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-corrections.zip|correction]] des sujets de TD protégée par mot de passe</note> | |
| |
| ==== Évaluation ==== | <note>Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret des exercices]]</note> |
| |
| * 20% : Contrôle continu 1 | |
| * 20% : Contrôle continu 2 | |
| * <del>30%</del> 26% : Compte-rendu de TP | |
| * <del>30%</del> 33% : Contrôle continu final | |
| |
| //Les modalités de contrôle imposent que le CCF ait un poids de 1 et le contrôle continu un poids de 2// | <note>**Consignes de rendu pour HTTPS et authentification ** |
| === Consignes pour le TP === | |
| |
| | La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : |
| |
| | - un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; |
| | - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59. |
| |
| <note important>La plateforme //HackMe// sur les vulnérabilités web est déployée sur http://192.168.74.163:80</note> | Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). |
| | |
| | Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé). |
| | **Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.** |
| |
| <note important>Pour la validation de l'exploit CSRF, vous pouvez | |
| [[romuald.thion@univ-lyon1.fr?subject=[HackMe]|m'écrire directement]] plutôt que de contacter le webmaster de la plateforme. | |
| </note> | </note> |
| |
| La plateforme comporte 9 défis intitulés ''r2d2'', ''c3po'', ''lando'', ''leia'', ''han'', ''chewbacca'', ''luke'', ''obiwan'' et ''yoda''. Le rapport contiendra 10 sections une section pour chaque défi et une conclusion. Chaque section consacrée à un défi (merci de respecter les intitulés) contiendra les sous-sections suivantes : | |
| |
| * type de vulnérabilité : expliquer de quoi il s'agit et trouver une référence associée (e.g., lien sur owasp) | |
| * exploitation de la vulnérabilité : expliquer comment vous avez réussi à exploiter la faille pour vous ajouter à la liste des gagnants, préciser les outils (e.g., data tampering) et les méthodes utilisés | |
| * contre-mesure : proposer quelques suggestions pour éviter ce type de faille | |
| |
| La section conclusion est libre : il s'agit de prendre un peu de recul pour voir ce que ce TP vous a apporté. | <note>**Consignes de rendu pour BlackOps ** |
| L'évaluation du rapport portera sur : la qualité de la rédaction, le nombre de défis remportés et la valeur ajoutée de chaque section. | |
| | Une machine 192.168.239.xx a été attribuée à votre binôme du TP1. Accessible dans la case Tomuss **IP_VM_TP_2**. |
| | |
| | Pour le TBA, vous rendrez un **rapport PDF synthétique d'au plus 4 pages** (titres inclus, hors annexes) de pen-test, à déposer dans la case idoine de Tomuss. |
| | |
| | Sa structure comprendra une conclusion à l'attention des décideurs suivie du tableau (exhaustif) des vulnérabilités trouvées. |
| | Ce tableau constituera l'essentiel du corps du rapport. Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités. |
| | Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : |
| | * une évaluation du risque (faible, moyen, fort), |
| | * une référence OWASP et/ou CVE |
| | * une courte description de la vulnérabilité |
| | * une courte description de l'impact |
| | * une preuve de concept de l'exploit (avec une référence extérieure ou vers l'annexe le cas échéant) |
| | * une proposition de remédiation (avec une référence extérieure ou vers l'annexe le cas échéant) |
| | |
| | Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. La DSI fera une proposition au décideur de remédiation à partir de votre travail. [[https://github.com/juliocesarfort/public-pentesting-reports|Quelques exemples]] (qui ne sont pas toujours très synthétiques). |
| | |
| | </note> |
| | |
| | ==== Évaluation ==== |
| | |
| | * Contrôle continu : 2/3 |
| | * TP HTTPS et authentification : 24/11 |
| | * TP Vulnérabilités BlackOps : TBD |
| | * Contrôle intermédiaire : 24/11 |
| | * Contrôle final : 1/3 |
| |
| <note important>Le rapport est à rendre par email au format ''pdf'' ou ''html'' le mercredi 12/10 9h du matin **au plus tard**, pour me permettre de préparer une synthèse pour le cours qui aura lieu le même jour à 14h.</note> | |
| ==== Informations complémentaires ==== | ==== Informations complémentaires ==== |
| |
| * [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] (CCF 2010 à 2013, CC1 et CC2 2013). Nota : les exercices du CCF sont généralement intégrés dans les sujets de TD de l'année suivante. | * [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] |
| | * Projet de référence sur la sécurité [[https://www.owasp.org/index.php/Main_Page|OWASP]] |
| * cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] | * cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] |
| | *// “...no one can hack my mind”: Comparing Expert and Non-Expert Security Practices// un [[https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf|article de recherche]] sur la perception de la sécurité selon l'expertise |
| | * [[https://www.cs.utexas.edu/~byoung/cs361/syllabus361.html|Introduction to Computer Security, Bill Young]] |
