Table of Contents
[ Home ] – [ Research ] – [ Teaching ] – [ Resources ] – [ Misc ]
Sécurité
Description
Généralité
- Volume horaire : 30 h
- Public visé : DUT Informatique 2ème année
Objectifs
- Sensibiliser les étudiants aux problèmes de sécurité
- Présentation et utilisation des outils et des technologies visant à sécuriser des données, des systèmes, des réseaux et des applications
Pré-requis
Avoir suivi les enseignements : réseaux, système, administration des systèmes réseaux, mathématiques, 1ère et 2ème année
Compétences minimales :
- Savoir administrer un système d'exploitation multi-tâches et multi-utilisateurs
- Connaître les principes du fonctionnement des réseaux : des couches physiques aux couches applicatives, et plus particulièrement des applications internets
- Savoir mettre en place et configurer un réseau local
Modalités d'examen
- 1 DS de 2H couvrant les contenus vus en CM et TD ; Aucun document ni calculatrice autorisé.
- 1 test en TD (mise en pratique d'acquis en TD). Des documents devraient être autorisés.
Contenu
- Politique de sécurité des systèmes d'information
- Les techniques et outils d'attaque, d'analyse, de contrôle et de protection des données, des systèmes d'exploitation, des réseaux et des applications
- Sûreté du fonctionnement (techniques de redondance et quantification MTTR/MTBF)
- Cryptographie (confidentialité par chiffrement symétrique/asymétrique, authentification par signature, intégrité par empreinte, échange de clé)
- Communications sécurisées et protocoles (L2TP, IpSec, SSL/TLS, SSH) ; VPN et tunnels
- Architecture sécurisée d’un réseau : topologie (DMZ, VLAN) et composants principaux (Pare-feu, Système de détection d'intrus, Bastion, Reverse Proxy)
- Vulnérabilités des applications web (Injection de SQL, Cross Site Scripting, Phishing), sécuriser la conception et le développement d’applications
Bibliographie
- Tableaux de bord de la sécurité réseau ; Cédric Llorens, Laurent Levier, Denis Valois ; Éditeur : Eyrolles; Collection : Blanche; Parution : septembre 2006; Édition : 2ème édition (http://www.eyrolles.com/Informatique/Livre/9782212119732/livre-tableaux-de-bord-de-la-securite-reseau.php)
- Debian GNU/Linux - Sécurité du système, sécurité des données, pare-feu, chiffrement, authentification… de Franck Huet (Broché - 11 février 2008)
- Sécurité informatique - Ethical Hacking - Apprendre l'attaque pour mieux se défendre de Franck Ebel, Sébastien Baudru, Robert Crocfer, David Puche, Jérôme Hennecart, Sébastien Lasson Marion Agé (Broché - 12 octobre 2009)
- Professional Penetration Testing: Creating and Operating a Formal Hacking Lab de Thomas Wilhelm (Broché - 12 septembre 2009)
- La sécurité dans les réseaux sans fil et mobiles : Tome 1, Concepts fondamentaux de Hakima Chaouchi, Maryline Laurent-Maknavicius, et Collectif (Broché - 15 juin 2007)
- Sécurité informatique et réseaux de Solange Ghernaouti-Hélie et Michel Riguidel (Broché - 17 septembre 2008)
- Revues mensuelles Hakin9 (http://hakin9.org/) et MISC (http://www.miscmag.com/)
Support du cours et des TD : 2007 - 2008
This work is licensed under a Creative Commons Attribution-Noncommercial-Share Alike 2.0 France License.
| Date | CM | TD – TP |
|---|---|---|
| 28/1/8 | Sécurité des systèmes d'information, Pirate/administrateur, Attaques | Cassage de mots de passe ; collecte d'information par le web ; cartographie/scanning/fingerprinting d'un réseau, de ses services et OS |
| 4/2/8 | Sûreté de fonctionnement et notions de base de cryptographie appliquées à la sécurité des échanges | Calcul de la sûreté de fonctionnement d'une architecture ; Manipulation des principes de chiffrement pour la sécurité des échanges |
| 11/2/8 | Vulnérabilités des applications web, sécuriser la conception et le développement d'applications | Sécuriser une application web contre l'injection de SQL et de Cross Site Scripting |
| 18/2/8 | Semaine Projet2a | |
| 25/2/8 | Vacances de Février | |
| 3/3/8 | Sécuriser et auditer un poste local | Scan de ports et de vulnérabilités, Ecoute du trafic en réseau commuté, Mise en déni de service par MAC Flooding |
| 10/3/8 | Communications sécurisées et protocoles | ssh (connexion distante, authentification du client, agent des clefs, tunneling), |
| 17/3/8 | Topologie sécurisée, Pare-feu, IDS, Reverse proxy, Bastion, honeyspot... | Mise en place d'un Pare-feu (Netfilter) |
| 24/3/8 | Quizz de synthèse | Fin des TP précédents + révision + Test sur machine |
| 31/3/8 | DS | |
| 7/4/8 | Vacances de Printemps | |
Support du cours et des TD : 2006 - 2007
| Date | CM | TD – TP |
|---|---|---|
| 29/1/7 | Sécurité des systèmes d'information, Pirate/administrateur, Attaques | Buffer Stack Overflow, débogueur gdm |
| 5/1/7 | Sûreté de fonctionnement et notions de base de cryptographie appliquées à la sécurité des échanges  Erratum1) | Exercices qui mettent application le CM Erratum 2) |
| 12-23/2/7 | Vacances de Février | |
| 26/2/7 | Communications sécurisés et protocoles | Ecoute du traffic en réseau commuté, attaque par MAC Flooding |
| 5/3/7 | Pare-feu, IDS, Configuration sécurisée | ssh (connexion distante, authentification du client, agent des clefs, tunneling), scanning des ports et des OS, arrêter un service |
| 12/3/7 | Vulnérabilités des applications web, sécuriser la conception et le développement d'applications | Pare-feu – Netfilter ; blocage de services |
| 19/3/7 | Injection de SQL ; Cross Site Scripting | |
| 26/3/7 | DS et Test sur machine | |
| 2/4/7 | Vacances de Printemps | |
!– Buffer Stack Overflow –! !–Exercices applicatifs –! !– Sniffing –!
1)
Erratum: diapo 27 à propos de RSA, “la factorisation de nombres premiers” ne veut rien dire… il faut lire : “facile de calculer le produit de 2 grands nombres premiers mais difficile de trouver les facteurs premiers de celui-ci (problème de la décomposition en produit de facteurs premiers)”
2)
Erratum: Exercice 4 sur les certificats -dernière question : il ne faut pas lire signature mais empreinte