MSI1 - Cours sécurité IOT 2022-2023.md

Cours 1 - 29 août

Travail collaboratif :

• Introduction à l'IOT

• Les spécificités de l'embarqué et classification des périphériques

• Classification de quelques objets avec leurs vulnérabiliés associées

• https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/

• https://twitter.com/internetofshit/status/1563323339074334726

---

• Introduction à la sécurité by design
• Cycle de vie d'un IOT

https://coggle.it/

Exemple : pentest d'une prise Wifi-Lora

Cours 2 - 22 septembre

Etre capable d'analyser quelques protocoles réseaux utilisés en IOT

https://www.nextinpact.com/article/49999/pourquoi-et-comment-on-peut-ecouter-soldats-russes-etre-trolles-en-ukraine

Tour d'horizon des protocoles réseau

• Courte portée : Bluetooth, Wifi, Zwave, Zigbee, modulation 433MHz
• Longue portée : Lora, Lorawan, Sigfox

TP sur PC ou Raspberry Pi :

• Captures RF avec Tuner TNT
• Utilisation d'un service Bluetooth et Bluetooth low energy
• Identifier les antennes radio en fonction de la longueur d'onde correspondante

Cours 3 - 24 octobre

https://security.humanativaspa.it/tag/iot/ https://security.humanativaspa.it/a-journey-into-iot-unknown-chinese-alarm-part-1-discover-components-and-ports/

Vidéocapsule endoscopique : https://www.youtube.com/watch?v=baSsWlLG6nM

Pentest hardware : identifier et exploiter certains ports de débug

• UART
• Débug ARM
• Mesure de signaux avec analyseur logique
• Oscilloscope

Cours 4 - 12 décembre

Réflexion sur les surfaces d'attaque et pentest d'un objet connecté

TP sur Raspberry Pi + prototype de pompe à insuline

• Le cycle de vie de l'objet connecté
• Analyse des risques de sécurité et identification des points faibles
• Analyse des sources ouvertes + analyse technique
• Rétro-ingénierie de firmware

Cours 5 - 2 janvier

Soutenances des mini-projets

TP : fin du pentest