Logo de la rubrique Sécurité des systèmes embarqués et des objets connectés.  Comprendre les attaques hardware/software pour se prémunir

Sécurité des systèmes embarqués et des objets connectés. Comprendre les attaques hardware/software pour se prémunir

Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.




Cette formation vous présente les différentes attaques possibles lors des tentatives de piratage du hardware et du software de votre produit et les contremesures à déployer pour se protéger.

Cette formation propose une méthode, des outils et travaux pratiques pour appréhender les concepts enseignés. Un objet connecté peut présenter des faiblesses allant de l’électronique, jusqu’à l’infrastructure web en passant par la liaison sans fil ou filaire. L’objectif est donc de non seulement connaître ces potentiels vecteurs d’intrusion, mais aussi de pratiquer les attaques qui conduisent à leur exploitation.

OBJECTIFS

- Maitriser les techniques d’attaque utilisées par les pirates pour savoir comment limiter les impacts
- les faiblesses de sécurité des systèmes embarqués dits IoT (Internet of Things)
- Apprendre à sécuriser les systèmes embarqués dès les phases de conception
Identifier les vulnérabilités pour pouvoir ensuite limiter les risques.

PUBLIC VISE

Ingénieurs ou techniciens hardware / logiciel embarqué impliqués dans le développement de produits connectés ainsi que les professionnels de la sécurité IT.

PREREQUIS

Connaissances de l’environnement LINUX (débutant)
Prévoir un PC avec Internet avec les droits d’administration pour installer des logiciels (ex : Remmina, RemoteNG, VNC player Putty…)

INTERVENANT

Auditeur, formateur expérimenté en cyber sécurité.
Le programme CAP’TRONIC aide, chaque année, 400 entreprises à monter en compétences sur les technologies liées aux systèmes électroniques et logiciel embarqué.

PRIX

Non-adhérent : 1 650€ HT
Adhérent CAP’TRONIC : 1 350€ HT

Remarque : Jessica France est titulaire d’un numéro d’agrément de formation continue et est référencé DATADOCK depuis le 1er juillet 2017. Cette formation est éligible au financement par votre Opérateur de Compétences (OPCO) hors CPF.
JPEG

LIEU

Formation à distance : Les accès à un outil informatique en ligne adapté seront fournis au stagiaire avant le démarrage de la formation. Aucun logiciel spécifique n’est à installer. Seule une connexion à Internet est requise

PROGRAMME

Tour de table

MODULE 1 : Les bases du Hardware Hacking
Revue historique des attaques sur les objets connectés
Revue des vulnérabilités et des aspects offensifs et défensifs
Rappel des connaissances fondamentales en électronique

MODULE 2 : Comment les pirates accèdent au Hardware ?
Présenter des outils et méthodes disponibles pour auditer un produit
Extraire des données sensibles avec les outils d’audit (HardSploit) après avoir réalisé une prise d’information
Acquérir les signaux électroniques, outils et démonstration

MODULE 3 : Comment accéder au logiciel ?
Présentation des différents types d’architecture (Microcontrôleur, FPGA), accès direct au logiciel via les interfaces d’E/S (JTAG / SWD, I2C, SPI, UART, RF bande ISM, etc.)
Présentation d’accès au logiciel via des attaques à canal latéral (analyse de puissance)
TP : Accès au Firmware par différentes interfaces

MODULE 4 : Attaques sur un système embarqué particulier, l’objet connecté (IoT)
Réaliser un audit complet appliqué à notre système embarqué vulnérable :
Identifier les composants électroniques et analyser les protocoles
Modifier et extraire un firmware via les fonctions de débogage SWD avec HardSploit
Réaliser un fuzzing simplifié des interfaces externes pour détecter des vulnérabilités basiques sur l’embarqué
Exploiter des vulnérabilités (dépassement de mémoire tampon) durant un audit de sécurité hardware en identifiant les caractères de fin de copie de tampon (bad char)

MODULE 5 : Comment sécuriser votre matériel
Conception sécurisée et cycle de vie de développement (SDLC)
Examen des meilleures pratiques de sécurité matérielle pour limiter les risques
TP : Limiter les accès JTAG et les vulnérabilités logicielles au niveau de l’embarqué

MODULE 6 : SDR Hacking
Méthodologie d’audit SDR (capture / analyse / exploitation avec radio logiciel)
Présentation des outils (GNU Radio, etc.)
TP : rétro-ingénierie d’un protocole sans fil à partir à partir des émissions radio capturées dans les aires (communication sans fil d’un panneau à LED)

MODULE 7 : Exercice « CTF : Road to Botnet »
Apprendre les notions d’attaque web
Présenter un scénario pratique d’attaque d’une solution de IIoT (Industriel Internet Of Things)
Compromettre la solution IIoT et prendre le contrôle du serveur
Apprendre les techniques couramment employées par les attaquants pour mieux comprendre les faiblesses et ainsi les atténuer voire les supprimer

Tour de table

ORGANISATION

Moyens pédagogiques : Outil de visioconférence - Support de cours - travaux pratiques - Assistance pédagogique sur le cours assurée par le formateur pendant 1 mois à l’issue de la formation.
Moyens permettant d’apprécier les résultats de l’action : Evaluation de l’action de formation par l’envoi d’un questionnaire de satisfaction à chaud à l’issue de la formation, puis d’un questionnaire à froid quelques semaines après la formation.
Moyen permettant de suivre l’exécution de l’action : Evaluation des connaissances via un questionnaire avant et après la formation.
Sanction de la formation : Attestation d’assiduité.

RENSEIGNEMENTS ET INSCRIPTION

Sophie BASSE-CATHALINAT, cathalinat@captronic.fr - 06 79 49 15 99
Pour toute question y compris les conditions d’accès pour les publics en situation de handicap.

Pré inscription en ligne

Les inscriptions sont closes. Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par JESSICA France à des fins de communication via emailing. Elles sont conservées jusqu’à votre demande de désinscription et sont destinées aux équipes de JESSICA France localisées en France. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant contact@captronic.fr

Informations mises à jour le 15/11/2021