| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2015/09/15 15:56]
rthion |
enseignement:tiw4 [2019/09/11 11:08]
rthion |
| ===== TIW4 2015-2016: Sécurité des systèmes d'information ===== | ===== TIW4 2019-2020: Sécurité des systèmes d'information ===== |
| |
| L'unité d'enseignement TIW4 2015-2016 ([[http://offre-de-formations.univ-lyon1.fr/front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=156|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique et à la protection de la vie privée. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, les vulnérabilités web et la gestion des autorisations. | L'unité d'enseignement TIW4 ([[http://offre-de-formations.univ-lyon1.fr///front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=345|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, l'authentification, les vulnérabilités web et la gestion des autorisations. |
| ==== Programme ==== | ==== Programme ==== |
| |
| Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TI/#planning|le site du M2TI]]. Les enseignements seront sur le mode des cours intégrés, sans distinctions entre les séances de CM et celles de TD. | Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TIW/#planning|le site du M2TIW]]. |
| |
| ^ Thématique ^ Séance ^^ Diapos ^ Exercices ^ CC ^ | * 11/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] |
| ^ ::: | * 18/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] (authentification) |
| ^ Introduction | 17/09 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|introduction]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM1-AnalyseDeRisques.pdf|analyse de risques EBIOS]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD1.pdf|TD 1]] | | * 09/10 - 1h + 3h - TP Authentification (partie 1) |
| ^ ::: | * 16/10 - 3h + 1h - TP Authentification (partie 2) |
| ^ Cryptographie | 24/09 | 08h15-09h45 - C1 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|cryptographie et applications]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Exemples/|exemples]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD2.pdf|TD 2]] | | * 06/11 - 1h30 - CC1 ? |
| ^ ::: | 24/09 | 13h30-16h00 - C1 | ::: | ::: | | * 13/11 - 3h - |
| ^ ::: | 01/10 | 13h45-18h00 - C5 | ::: | ::: | | * 04/12 - 3h - |
| ^ ::: | * 11/12 - 3h - |
| ^ Vie privée | 08/10 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM3-Privacy.pdf|introduction à la protection de la vie privée]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD3.pdf|TD 3]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TD3_decisions_CNIL/|CNIL]]| **CC1**| | * 08/01 - 1h30 - Vulnérabilité |
| ^ ::: | * 14/01 - 1h + 2h - TP PenTest |
| ^ Vulnérabilités | 29/10 | 13h45-18h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|vulnérabilités logicielles et web]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD4.pdf|TD 4]] | | * 15/01 - 3h + 1h - TP PenTest |
| ^ ::: | 05/11 | 13h00-14h00 - C3 | présentation de la plateforme de TP | | * 05/02 - 3h |
| ^ ::: | 05/11 | 14h00-18h00 - TP4| //serious-game// sur les vulnérabilités web | | * 12/02 - 1h30 |
| ^ ::: | ::: | 14h00-18h00 - TP5| ::: | | * 04/03 - Examen |
| ^ ::: | 12/11 | 14h00-16h00 - C5 | retours sur le TP| | **rapport** | | |
| ^ ::: | |
| ^ Autorisations | 19/11 | 13h45-17h00 - C2| [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|gestion des autorisations]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD5.pdf|TD5]] | **CC2** | | |
| ^ ::: | 03/12 | 13h45-17h00 - C5 | ::: | :::| | |
| ^ ::: | |
| ^ Conclusion | 10/12 | 13h45-15h45 - C5 | débriefing et révisions | | |
| ^ ::: | 17/12 | 14h00-16h00 - C2 | contrôle final (1h30) | | **CCF**| | |
| |
| <note>La [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-corrections.zip|correction]] des sujets de TD protégée par mot de passe</note> | |
| |
| ==== Évaluation ==== | <note>Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret des exercices]]</note> |
| |
| * 20% : Contrôle continu 1 | |
| * 20% : Contrôle continu 2 | |
| * <del>30%</del> 26% : Compte-rendu de TP | |
| * <del>30%</del> 33% : Contrôle continu final | |
| |
| //Les modalités de contrôle imposent que le CCF ait un poids de 1 et le contrôle continu un poids de 2// | <note>**Consignes de rendu pour HTTPS et authentification ** |
| === Consignes pour le TP === | |
| |
| | La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : |
| |
| | - un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; |
| | - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59. |
| |
| <note important>La plateforme //HackMe// sur les vulnérabilités web est déployée sur http://192.168.74.163:80</note> | Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). |
| | |
| | Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé). |
| | **Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.** |
| |
| <note important>Pour la validation de l'exploit CSRF, vous pouvez | |
| [[romuald.thion@univ-lyon1.fr?subject=[HackMe]|m'écrire directement]] plutôt que de contacter le webmaster de la plateforme. | |
| </note> | </note> |
| |
| La plateforme comporte 9 défis intitulés ''r2d2'', ''c3po'', ''lando'', ''leia'', ''han'', ''chewbacca'', ''luke'', ''obiwan'' et ''yoda''. Le rapport contiendra 10 sections une section pour chaque défi et une conclusion. Chaque section consacrée à un défi (merci de respecter les intitulés) contiendra les sous-sections suivantes : | |
| |
| * type de vulnérabilité : expliquer de quoi il s'agit et trouver une référence associée (e.g., lien sur owasp) | |
| * exploitation de la vulnérabilité : expliquer comment vous avez réussi à exploiter la faille pour vous ajouter à la liste des gagnants, préciser les outils (e.g., data tampering) et les méthodes utilisés | |
| * contre-mesure : proposer quelques suggestions pour éviter ce type de faille | |
| |
| La section conclusion est libre : il s'agit de prendre un peu de recul pour voir ce que ce TP vous a apporté. | <note>**Consignes de rendu pour BlackOps ** |
| L'évaluation du rapport portera sur : la qualité de la rédaction, le nombre de défis remportés et la valeur ajoutée de chaque section. | |
| | Une machine 192.168.239.xx a été attribuée à votre binôme du TP1 dans la case Tomuss **IP_VM_TP_2**. Une Kali est disponible à l'IP 192.168.239.30 (root/etudiant) |
| | |
| | Pour le 03/03/19, vous rendrez une **synthèse d'au plus 4 pages** de pen-test (hors annexe) à déposer au format PDF dans la case idoine de Tomuss. |
| | Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, les points qui vous sont demandés dans le sujet constituent les annexes du rapport. |
| | |
| | La partie synthèse comprendra une conclusion à l'attention des décideurs et surtout le tableau (exhaustif) des vulnérabilités trouvées. |
| | Ce tableau constituera l'essentiel de la synthèse, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. |
| | Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. |
| | La DSI fera une proposition au décideur de remédiation à partir de votre travail. |
| | |
| | |
| | Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : |
| | * une évaluation du risque (faible, moyen, fort), |
| | * une référence OWASP et/ou CWE |
| | * une courte description de la vulnérabilité |
| | * une courte description de l'impact |
| | * une preuve de concept de l'exploit (avec une référence vers l'annexe) |
| | * une proposition de remédiation (avec une référence vers l'annexe) |
| | |
| | |
| | </note> |
| | |
| | ==== Évaluation ==== |
| | |
| | * Contrôle continu : 2/3 |
| | * TP HTTPS et authentification : 24/11 |
| | * TP Vulnérabilités BlackOps : TBD |
| | * Contrôle intermédiaire : 24/11 |
| | * Contrôle final : 1/3 |
| |
| <note important>Le rapport est à rendre par email au format ''pdf'' ou ''html'' le mercredi 12/10 9h du matin **au plus tard**, pour me permettre de préparer une synthèse pour le cours qui aura lieu le même jour à 14h.</note> | |
| ==== Informations complémentaires ==== | ==== Informations complémentaires ==== |
| |
| * [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] (CCF 2010 à 2013, CC1 et CC2 2013). Nota : les exercices du CCF sont généralement intégrés dans les sujets de TD de l'année suivante. | * [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] et en particulier **[[https://cheatsheetseries.owasp.org/|les cheatsheet]]** ([[https://github.com/OWASP/CheatSheetSeries|github]]) |
| | * [[https://www.owasp.org/index.php/Main_Page|OWASP]] |
| * cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] | * cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] |
| | * // “...no one can hack my mind”: Comparing Expert and Non-Expert Security Practices// un [[https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf|article de recherche]] sur la perception de la sécurité selon l'expertise |
| | |
