Formation Sécuriser une solution IoT

1/ Introduction à l'IoT

• IoT : Définitions et concepts

• Smart City, Industrie 4.0, FOG Computing, …

• Ecosystème et nouveaux protocoles de communication

2/ Domaines d'application

• Les scénarios de l'IoT dans un contexte d'entreprise

• Nouvelles exigences pour l'IT

• Architecture fonctionnelle et solutions IoT dans le monde industriel

3/ Sécurité opérationnelle des objets connectés

• Historique et exemples d'attaques sur les objets connectés

• Problématique de confiance à distance

• Risques, menaces, vulnérabilités

• Évolution des modes d'attaques

• Organigramme typique d'une attaque

• Analyse d'un DDos – exemple MIRAI

• Observation des menaces : écosystème IoT, NFC, BLE

4/ Ports de communication série et debugger

• UART

• Interfaçage avec ordinateur

• Extraction des micrologiciels

• JTAG, SWD, CC, NAND Glitching

• Exploiter les bootloaders

• Exploiter les mécanismes de mise à jour

• Chip-off et dump

5/ Rétro-ingénierie de micrologiciels

• Système d'exploitation

• Interruptions matérielles

• Extraction de systèmes de fichiers

• Désassemblage et analyse

6/ Recherche de vulnérabilités

• Analyse de configuration

• Mots de passe faibles et par défaut

• Fonctionnalités cachées

• Vulnérabilités : Système, Web, Réseau

7/ Backdooring

• Mécanismes d'installation de porte dérobée

• Compilation de portes dérobées pour architectures embarquées : ARM, MIPS

• Persistance de la porte dérobée

8/ Communications sans-fil

• Introduction à la radio logicielle : RTL SDR, HackRF One...

• Utilisation simple de la radio logicielle :

• Capture et rejeu de communications

• Brouillage

• Protocoles propriétaires :

• Analyse d'un protocole propriétaire

• Attaque d'un équipement

• Interception de communications SPI

• Bluetooth Low Energy

9/ Les frameworks pour sécuriser l'IoT

• Sécurité du code

• Sécurité des infrastructures

• Chiffrement des canaux de communication

• Patch management

• Mettre un cycle de développement sécurisé