Formation Hacking et Pentest : IoT


Formation Hacking et Pentest : IoT

Catalogue : Robotique, systèmes embarqués, IoT



Rappel sur les IoTs (Object connectés)
• Les différents types d'IoT (Objets connectés).
• Les protocoles sans fil (WiFi...) et leurs portées (distance de fonctionnement). Liens avec M2M.
• Les architectures : ARM, MIPS, SuperH, PowerPC.
Le hacking et la sécurité
• Formes d'attaques, modes opératoires, acteurs, enjeux.
• Audits et tests d'intrusion.
L'environnement de l'IoT
• Réseau : 4G, LTE, LoRA, WiFi, MQTT, 802.11.15.4, ZigBee, Z-Wave, 6LoWPAN et BLE (Bluetooth LE).
• Application : Web App, Mobile App, Web, mobiles ou API (SOAP, REST).
• Firmware, le système d'exploitation de l'appareil : Windows, Linux x86/x64 bits ou Raspbian.
• Cryptage : protège les communications et les données stockées sur le périphérique.
• Matériel : puce, jeu de puces, Storagestorage, JTAG, ports UART, capteurs, caméra, etc.), port, capteur, caméra.
• Architecture : ARM, MIPS, SuperH, PowerPC.
• La structure du système, ses composants, sa protection et les mises à jour.
Travaux pratiques
Recueillir les informations (matériel, puce…) constituant l’objet connecté.
Les vulnérabilités
• La recherche de vulnérabilités.
• Les liaisons de l'objet connecté avec un réseau.
• Les mécanismes d'authentification.
• La recherche d'installation et mot de passe par défaut.
• La méthodologie des tests d’intrusion sur les IoTs (Objets connectés).
• Les outils : analyseurs logiques, débogueurs, désassembleurs et décompilateurs.
Travaux pratiques
Mesurer le niveau de sécurité d'un IoT (Objet connecté).
Les attaques
• Logiciel (XSS, SQLi, injection de commandes, exceptions mal traitées et attaques de corruption de mémoire RCE ou DoS).
• Matériels (JTAG, SWD, UART, SPI, bus I2C…).
• Connectivités sans fil, protocole de communication. Analyse d’émission.
Travaux pratiques
Accéder à un objet connecté via différentes attaques. Réaliser un test de pénétration.
Le rapport d'audit
• Son contenu.
• Ses rubriques à ne pas négliger.
Travaux pratiques
Compléter un rapport pré rempli.

Fiche de la formation



 Cible :

Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.


 Prérequis :

Bonnes connaissances en sécurité SI, réseaux, systèmes (en particulier Linux) et en programmation. Ou connaissances équivalentes à celles du stage Sécurité systèmes et réseaux, niveau 1 (réf. FRW).


 Durée : 3 jours

 Type : Stage pratique


 Contactez-nous