% INF4471 — Introduction à la sécurité informatique % UQAM — Département d'informatique % Plan de cours — Automne 2019 * Horaires, locaux et enseignants: Responsable(s) du cours ======================= Coordination ------------ Gambs, Sébastien PK-4925 poste 0906 Description du cours ==================== Principes et concepts fondamentaux de la sécurité des systèmes informatiques. Principaux objectifs de sécurité: confidentialité, intégrité, disponibilité, authentification, non-répudiation, contrôle d'accès. Typologie des attaques et menaces: fuites, modifications, dénis de service. Introduction aux mécanismes de sécurité modernes: systèmes de chiffrage symétriques et asymétriques; codes d'authentification de messages et signatures électroniques; fonctions de hachage; protocoles sécuritaires: authentification, contrôle d'accès. Sécurité des réseaux: gestion et infrastructure de clés; étude de la sécurité de protocoles existants (TLS, IPSec); protocoles d'authentification dans les réseaux sans fil (WEP, WPA et WPA2); surveillance et détection d'intrusion; appareils mobiles. Sujets avancés: introduction à la protection de la vie privée; sécurité en infonuagique; sécurité de l'internet des objets; Bitcoin et blockchain. Gestion des incidents de sécurité et améliorations des systèmes: mécanismes de recouvrement. Analyse de risque. Gestion des vulnérabilités techniques. Éducation des usagers. Considérations légales, politiques et éthiques. Politiques et modèles de sécurité. Objectif du cours ================= Introduire les étudiants aux différents aspects de la sécurité des systèmes informatiques. Sensibiliser les étudiants aux risques et menaces. Présenter les techniques permettant d'assurer la sécurité des systèmes d'information. Décrire les méthodes de mitigation du risque. À la fin de ce cours, l'étudiant devra être en mesure de: - distinguer les principaux objectifs de sécurité; - expliquer le fonctionnement et justifier l'utilisation des principaux mécanismes de sécurité: chiffrement, signature, hachage, protocoles, etc.; - identifier les risques et les menaces auxquels fait face un système; - proposer des mesures de contrôle appropriées. Contenu du cours ================ Introduction: Problématique de la sécurité: confidentialité, authentification, intégrité, disponibilité, non-répudiation, respect de la vie privé, contrôle d'accès. Vulnérabilités, menaces à la sécurité et attaques. Attaques conduisant à des fuites d'information (divulgation de contenu, analyse de trafic), à des modification d'information (modifications de contenu ou d'ordre des messages, reprises de messages), à des privations de service (retard de messages, destruction). Techniques de base en sécurité: Terminologie. Notion de confiance. Analyse de risque. Principes et politiques de sécurité. Éducation des usagers. Contre-mesures: Journaux de bord (logs) et audits. Détection d'intrusion. Filtrage. Mécanismes de recouvrement. Authentification par mot de passe. Fonctions de hachage (MD5, SHA-1, SHA-3). Stockage sécurisé de mots de passe. Politique de composition de mots de passe. Quantification de la sécurité des mots de passe. Craquage de mots de passe. Authentification par biométrie. Chiffrement symétrique. Principes de Kerckhoffs. Exemples de chiffrements historiques et de mécanismes de base: transposition, permutation. Caractérisation des systèmes de chiffrement. Cryptanalyse et attaques. Notions de base fondamentales: entropie, redondance. Chiffrement à sécurité inconditionnelle : masque jetable. Systèmes de chiffrement symétriques modernes (DES, AES). Modes de fonctionnement : ECB, CBC, CTR. Chiffrement par flux (RC4). Authentification de messages. Codes d'authentification de message (HMAC, CBC-MAC). Introduction aux protocoles d'authentification. Protocole: authentification mutuelle directe, authentification par serveur de confiance. Chiffrement asymétrique (clé publique: RSA, Diffie-Hellman, DSA). Fonctions à sens unique. Intégrité des données et authentification de messages. Génération pseudo-aléatoire. Signature numérique. Échange et gestion de clés. Tiers de confiance. Authentification par défi et réponse. Protocoles à divulgation nulle de connaissances. Infrastructures de distribution et de gestion de clés. Certificats: X.509. Étude détaillée de protocoles de sécurité: TLS, PGP. Sécurité des systèmes répartis et de réseaux: Menaces spécifiques: écoute illicite, imposture, déni de service, brouillage. Caractéristiques des médiums de transmission. Gestion de la confiance. Autorisation décentralisée. Pare-feu. Réseaux privés virtuels. Authentification dans les réseaux Wi-Fi (WEP, WPA et WPA2). Respect de la vie privée. Lien avec la sécurité informatique. Outil de traçage, traces numériques. Attaques par inférence et méthodes d'assainissement. Technologies de protection de la vie privée (réseaux de communication anonyme, accréditations anonymes, retrait privé d'information). Modalités d'évaluation ====================== - Examen intra (22 octobre): 30% - Devoirs (étalés sur toute la session): 40% - Examen final (10 décembre): 30% Examen intra (30 %) ------------------- Examen à livre ouvert, portant sur la matière vue pendant la première moitié de la session. Devoirs notés et travaux pratiques (40 %) ----------------------------------------- Occasionnellement au cours de la session, des devoirs écrits notés ou des travaux pratiques permettront aux étudiants d'approfondir les sujets vus en cours ou encore de mettre en pratique et de vérifier expérimentalement certains des concepts présentés en classe. Les devoirs et travaux, qui pourront être réalisés en équipes de deux, toucheront à différents sujets en sécurité informatique. Il pourra y avoir de la programmation à effectuer, mais pas de développements majeurs. Examen final (30 %) ------------------- Examen à livre ouvert, portant sur l'ensemble de cours. Prenez note que la correction des exercices et examens tient abondamment compte des développements. Il est donc avantageux d'exposer votre travail. Une réponse correcte obtenue au terme d'un raisonnement invalide ne vaut pas grand chose. Par contre, un raisonnement valide, conduisant à une réponse erronée à cause d'erreurs mineures vaut beaucoup plus. Dans le doute, il vaut mieux être explicite que succinct. Notes ----- Les règlements de l'UQAM concernant le plagiat seront strictement appliqués. Pour plus de renseignements, consultez le site suivant : Tout travail que vous soumettez doit être le fait de votre propre travail. Vous pouvez échanger avec vos collègues sur les travaux, les approches de solutions, mais les idées et solutions que vous soumettez doivent émaner de votre propre réflexion. Dans le cas de programmes, vous devez créer et coder votre propre code source, et le documenter vous même. Une fois le programme écrit, il est possible de se faire aider pour le déboguage. En cas de doute sur l'originalité des travaux, un test oral pourra être exigé. Une pénalité de retard de 10% par jour ouvrable sera appliquée sur les travaux remis après les dates prévues. Il est de la responsabilité de l'étudiant de se faire des copies de ses travaux. Médiagraphie ============ Sera complété au fur et à mesure des lectures.