A l'issue de cette formation, vous serez capable de :

• Décrire les bonnes pratiques de déploiement sécurisé des services d'échange réseaux
• Identifier les menaces courantes sur les équipements embarqués
• Analyser la sécurité des micrologiciels embarqués dans les périphériques
• Examiner le fonctionnement des applications d'interactions avec les périphériques.

Jour 1

Panorama de la sécurité IoT

• Rappels sur les périphériques embarqués
• La cybersécurité et l'IoT
• Vulnérabilités et attaques les plus courantes
• Méthodologie de test de sécurité IoT

Sécurité des réseaux IoT

• Les protocoles spécifiques pour l'IoT
• Analyse de la surface d'attaque (Edge to Cloud)
• Protocoles de communication sans fil (Zigbee / 5G / LORA...)
• Etude de la sécurité des couches applicatives (MQTT)

Exemples de travaux pratiques (à titre indicatif)

• Tests d'intrusion sur un broker MQTT
• Sécurisation d'un broker MQTT

Jour 2

Pentest appliqué à l'IoT

• Le Top 10 IoT de l'OWASP
• Analyse des interfaces de l'écosystème
• Tests de sécurité des services réseaux exposés
• Exploitation de mécanismes de communication sans fil

Analyse de Firmware

• Méthodologie d'émulation de Firmware
• Extraction du contenu d'un Firmware
• Découverte d'éléments codés en dur
• Exploitation des services réseaux
• Analyse de code source interne

Exemple de travaux pratiques (à titre indicatif)

• Analyse de sécurité d'un Firmware vulnérable

Jour 3

Analyse des contrôleurs

• Etude des communications externes (API, Lambda...)
• Interception et rejeux
• Injection d'évènement

Android

• Architecture et sécurité du système
• Décompilation d'un fichier APK
• Etude des interactions avec les périphériques IoT
• Découverte de vulnérabilités dans les applications

Exemples de travaux pratiques (à titre indicatif)

• Analyse de sécurité d'une application Android
• Exploitation des interactions entre les périphériques et le Cloud