Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2019/09/11 11:05] rthion |
enseignement:tiw4 [2019/11/13 13:50] rthion [Programme] |
| |
L'unité d'enseignement TIW4 ([[http://offre-de-formations.univ-lyon1.fr///front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=345|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, l'authentification, les vulnérabilités web et la gestion des autorisations. | L'unité d'enseignement TIW4 ([[http://offre-de-formations.univ-lyon1.fr///front_fiche_ue.php?UE_ID=9543&PARCOURS_ID=345|odf]]) est une introduction à la sécurité du système d'information qui a pour objectif de sensibiliser les étudiants à la sécurité informatique. Sur les plans techniques et méthodologique, les étudiants acquerront des bases sur l'analyse de risques, la cryptographie, l'authentification, les vulnérabilités web et la gestion des autorisations. |
| |
==== Programme ==== | ==== Programme ==== |
| |
Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TIW/#planning|le site du M2TIW]]. | Retrouvez l'emploi du temps sur [[http://master-info.univ-lyon1.fr/M2TIW/#planning|le site du M2TIW]]. |
| |
* 11/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] | * 11/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre-intro.pdf|Introduction à la cryptographie]] |
* 18/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] (authentification) | * 18/09 - 3h - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre-auth.pdf|Introduction à l'authentification]] |
* 09/10 - 1h + 3h - TP Authentification (partie 1) | * 09/10 - 1h + 3h - [[https://github.com/romulusFR/tiw4-authentication|TP Authentification]] (partie 1) |
* 16/10 - 3h + 1h - TP Authentification (partie 2) | * 16/10 - 3h + 1h - [[https://github.com/romulusFR/tiw4-authentication|TP Authentification]] (partie 2) |
* 06/11 - 1h30 - CC1 ? | * 06/11 - 1h30 - Exercices de cryptographie sur [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret]] |
* 13/11 - 3h - | * 13/11 - 3h - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|Autorisations]] |
* 04/12 - 3h - | * 04/12 - 3h - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|Autorisations]] |
* 11/12 - 3h - | * 11/12 - 3h - CC1 |
* 08/01 - 1h30 - Vulnérabilité | * 08/01 - 1h30 - Vulnérabilité |
* 14/01 - 1h + 2h - TP PenTest | * 14/01 - 1h + 2h - TP PenTest |
* 15/01 - 3h + 1h - TP PenTest | * 15/01 - 3h + 1h - TP PenTest |
* 05/02 - 3h | * 05/02 - 3h - Analyse de risques |
* 12/02 - 1h30 | * 12/02 - 1h30 - Révisions/discussions |
* 04/03 - Examen | * 04/03 - Examen |
| |
| |
<note>Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret des exercices]]</note> | ==== Ressources ==== |
| |
| <note> |
<note>**Consignes de rendu pour HTTPS et authentification ** | * Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret des exercices]] |
| * Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] |
La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : | </note> |
| |
- un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; | |
- une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59. | |
| |
Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). | |
| |
Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé). | |
**Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.** | |
| |
</note> | |
| |
| |
| |
<note>**Consignes de rendu pour BlackOps ** | |
| |
Une machine 192.168.239.xx a été attribuée à votre binôme du TP1 dans la case Tomuss **IP_VM_TP_2**. Une Kali est disponible à l'IP 192.168.239.30 (root/etudiant) | |
| |
Pour le 03/03/19, vous rendrez une **synthèse d'au plus 4 pages** de pen-test (hors annexe) à déposer au format PDF dans la case idoine de Tomuss. | |
Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, les points qui vous sont demandés dans le sujet constituent les annexes du rapport. | |
| |
La partie synthèse comprendra une conclusion à l'attention des décideurs et surtout le tableau (exhaustif) des vulnérabilités trouvées. | |
Ce tableau constituera l'essentiel de la synthèse, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. | |
Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. | |
La DSI fera une proposition au décideur de remédiation à partir de votre travail. | |
| |
| |
Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : | |
* une évaluation du risque (faible, moyen, fort), | |
* une référence OWASP et/ou CWE | |
* une courte description de la vulnérabilité | |
* une courte description de l'impact | |
* une preuve de concept de l'exploit (avec une référence vers l'annexe) | |
* une proposition de remédiation (avec une référence vers l'annexe) | |
| |
| |
</note> | |
| |
==== Évaluation ==== | ==== Évaluation ==== |
| |
* Contrôle continu : 2/3 | * Contrôle continu : 2/3 |
* TP HTTPS et authentification : 24/11 | * Contrôle intermédiaire : TBD |
* TP Vulnérabilités BlackOps : TBD | * TP authentification : TBD |
* Contrôle intermédiaire : 24/11 | * TP vulnérabilités : TBD |
* Contrôle final : 1/3 | |
| |
==== Informations complémentaires ==== | * Contrôle final : 1/3 |
| |
* [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] | |
* Projet de référence sur la sécurité [[https://www.owasp.org/index.php/Main_Page|OWASP]] | |
* cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] | |
*// “...no one can hack my mind”: Comparing Expert and Non-Expert Security Practices// un [[https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf|article de recherche]] sur la perception de la sécurité selon l'expertise | |
* [[https://www.cs.utexas.edu/~byoung/cs361/syllabus361.html|Introduction to Computer Security, Bill Young]] | |