INF8750 - Sécurité des systèmes informatiques

Hiver 2017 - Version (21/02/17 14:35)

Groupe 50
Vendredi, de 9h30 à 12h30 SH-2580 (cours)

Vendredi, de 13h30 à 15h30 PK-S1560 (atelier)

Responsable(s) du cours

Nom du coordonnateur : GAMBS, Sébastien

Nom de l'enseignant : GAMBS, Sébastien
Local : PK-4925
Téléphone : (514) 987-3000 #2567
Disponibilité : mardi après-midi ou sur rendez-vous
Courriel : gambs.sebastien@uqam.ca
Site Web :

Description du cours

Principes et concepts fondamentaux de la sécurité des systèmes informatiques. Principaux services: confidentialité, intégrité, disponibilité, authentification, non répudiation, contrôle d'accès. Typologie des attaques: fuites, modifications d'information, privations de service. Mécanismes sécuritaires modernes: systèmes de chiffrage symétriques et asymétriques; fonctions de hachage; génération pseudo-aléatoire. Protocoles sécuritaires: authentification, signature, échange et gestion de clés. Sécurité des systèmes centralisés et des systèmes répartis: politiques et modèles de sécurité; contrôle d'accès; rôles et privilèges. Sécurité des programmes: virus, chevaux de Troie. Contre-mesures: journalisation, audits; détection d'intrusion; filtrage; mécanismes de recouvrement. Analyse de risque. Éducation des usagers. Considérations légales, politiques et éthiques.

Objectif du cours

Avec la croissance fulgurante que connaît le monde des télécommunications, entraînée par la locomotive Internet et stimulée par la pénétration des technologies de transmission sans fil, la problématique de la sécurité des données et des processus prend de nos jours une importance cruciale. On abordera dans ce cours le très vaste sujet de la sécurité informatique, en s'intéressant aux principes fondamentaux, aux mécanismes permettant d'assurer des services de sécurité, de même qu'aux applications concrètes rencontrées dans les derniers déploiements technologiques.

Le cours vise de prime abord à sensibiliser l'étudiant à la problématique de la sécurité dans un système informatique. Par la suite, par l'étude des principaux problèmes de sécurité et de leurs solutions possibles, on sera à même d'apprécier la complexité inhérente qui sous-tend la guerre perpétuelle que se livrent bons et méchants dans le monde de l'information électronique.

Les compétences développées dans le cadre de ce cours rendront l'étudiant capable de :

Définir des services de sécurité informatique tels que confidentialité, intégrité, non-répudiation, authentification.
Énoncer les principes fondamentaux qui gouvernent l'établissement de services sécuritaires.
Décrire et expliquer le fonctionnement des principaux algorithmes cryptographiques pour le chiffrage, le hachage, la signature électronique.
Décrire les caractéristiques des systèmes de chiffrage à clé publique et à clé secrète.
Mettre en oeuvre des mécanismes de sécurité comme le chiffrage, la signature, le hachage.
Décrire des protocoles cryptographiques courants utilisés pour la sécurité informatique.
Effectuer une analyse de risque, en fonction d'un contexte de fonctionnement spécifique et d'hypothèses sur les menaces possibles.
Identifier les particularités des menaces contre la sécurité selon le contexte centralisé ou décentralisé d'utilisation.
Proposer des contre-mesures selon les menaces envisagées.

Contenu du cours

Introduction: Problématique de la sécurité: confidentialité, intégrité, disponibilité, authentification, non-répudiation, contrôle d'accès. Vulnérabilités, menaces à la sécurité et attaques. Attaques conduisant à des fuites d'information (divulgation de contenu, analyse de trafic), à des modification d'information (modifications de contenu ou d'ordre des messages, reprises de messages), à des privations de service (retard de messages, destruction). Notion de confiance.

Techniques de base en sécurité: Terminologie. Techniques de chiffrage. Mécanismes de base: transposition, permutation. Caractérisation des systèmes de chiffrage. Cryptanalyse et attaques. Notions de base fondamentales: entropie, redondance

Mécanismes sécuritaires modernes: Systèmes de chiffrage symétriques (clé privée: DES, IDEA) et asymétriques (clé publique: Diffie-Hellman, RSA, DSA). Fonctions à sens unique. Fonctions de hachage (MD5, SHA). Hachage avec clé secrète. Intégrité des données et authentification de message. Génération pseudo-aléatoire. Modes de chiffrage: en blocs, continu, chaînage de blocs chiffrés.

Protocoles sécuritaires: Identification et authentification. Protocole: signature, authentification mutuelle. Échange et gestion de clés. Tiers de confiance. Authentification par défi et réponse. Protocoles sans transfert de connaissances. Infrastructures d'authentification et de distributions de clés: X.509. Certificats.

Exemples d'applications sécuritaires: IPSec, Snort, TLS, PGP.

Sécurité des systèmes centralisés:Politiques et modèles de sécurité: sécurité multi-niveaux, étiquetage. Contrôle d'accès: objets, sujets. Mots de passe. Rôles et privilèges. Politiques et matrices de contrôle d'accès. Sécurité des programmes: virus, chevaux de Troie, canaux subliminaux.

Sécurité des systèmes répartis et de réseaux: Menaces spécifiques: écoute illicite, imposture, déni de service, brouillage. Caractéristiques des médiums de transmission. Gestion de la confiance. Autorisation décentralisée. Pare-feu. Réseaux privés virtuels.

Contre-mesures: Journaux de bord (logs) et audits. Détection d'intrusion. Filtrage. Mécanismes de recouvrement. Analyse de risque. Principes et politiques de sécurité. Éducation des usagers. Normes, standards, recommandations, méthodes.

Considérations légales, politiques et éthiques: Hackers et crackers. Ingénierie sociale. Crime informatique.Considéraions légales, normatives , politiques et... Accès légal à l'information et consignation de clés. Restrictions à l'exportation.

Modalités d'évaluation

Description sommaire	Date	Pondération
Paticipation en classe		10 %
Devoirs et travaux pratiques	périodiques	30 %
Travail de session	voir calendrier ci-bas	30 %
Examen final	fin de session	30 %

Devoirs notés et travaux pratiques (30 %)

Occasionnellement au cours de la session, des devoirs écrits notés ou des travaux pratiques permettront aux étudiants d'approfondir les sujets vus en cours ou encore de mettre en pratique et de vérifier expérimentalement certains des concepts présentés en classe. Les devoirs et travaux, qui pourront être réalisés en équipes de deux, toucheront à différents sujets en sécurité informatique. Il pourra y avoir de la programmation à effectuer, mais pas de développements majeurs.

Travail de session (projet) (30 %)

Comme nous aborderons un domaine beaucoup plus vaste que ce qu'il est possible de couvrir durant le temps limité qui est alloué au cours, un travail de longue haleine, réalisé dans le cadre du cours, vous permettra d'en approfondir un aspect particulier à votre choix. Ce travail peut prendre diverse formes: compte-rendu de lectures, application pratique de notions vues en classe, réalisation de logiciel ou de matériel, etc. Le produit fini devra de toute façon comporter un rapport, qui rendra compte de votre travail et permettra de démontrer ce que vous avez pu apprendre au-delà de ce qui est couvert en classe.

Vous devrez d'abord sélectionner un sujet, qui sera ensuite approuvé par le professeur.

Pour faire ce choix, on peut:

penser à un aspect de l'informatique ou des télécommunications et de le relier au concept de sécurité
discuter avec des collègues étudiants ou de travail pour des suggestions
songer à l'amélioration de la sécurité d'un système sur lequel vous travaillez
consulter un (des) articles intéressants sur la sécurité

Les principales revues traitant de sécurité informatique sont: Computers & Security, Journal of Computer Security, mais on trouve des articles sur le sujet dans plusieurs autres revues. Les principales conférences sont Crypto et Eurocrypt (pour la cryptographie), Symposium on Research in Security and Privacy, National Computer Security Conference, Annual Computer Security Applications Conference ainsi que European Symposium on Research in Computer Security.

Quelques suggestions de sujets (liste non-exhaustive) :

Anonymat, vie privée et confidentialité
Aspects sécuritaires de systèmes d'exploitation connus
Authentification dans un environnement distribué
Cartes à puce pour la sécurité
Éthique informatique
Gestionnaires de licences pour logiciels
Pares-feu, contrôle d'accès par listes
Prévention et détection d'intrusion avancée
Sécurité et bases de données
Sécurité et commerce électronique
Sécurité et réseaux sans fil/ad hoc
Stéganographie, copyright et protection contre la copie
Virus
Nuisances (pourriels, adware, etc.)
Systèmes leurres (honey-pots)
Réseaux de zombies (botnets)
Virtualisation et techniques de méta-surveillance
Tests de Turing inversés (CAPTCHA)

Principaux jalons et éléments à remettre:

Semaine 5: Vous devez avoir fait le choix définitif du sujet. Vous devez remettre un document de 1 page expliquant ce que vous voulez faire et pourquoi. Vous devez fournir plusieurs sources bibliographiques et décrire comment vous comptez vous y prendre pour compléter le projet. (4 % de la note du projet)
Semaine 8 : Votre projet doit être bien avancé. Vous devez remettre un plan détaillé ou une spécification de design complète. Il importe de préciser ce que vous faites, comment et quels sont les résultats spécifiques que vous attendez. De plus, vous devez justifier la pertinence de votre travail et indiquer comment votre travail peut être d'intérêt général. (16 % de la note du projet)
Semaine 13 : Séance de présentations. Chaque étudiant prépare une présentation décrivant de manièere synthétique son travail. L'évaluation se fera par les pairs et par le professeur, à parts égales (40% de la note du projet)
Semaine 14: Remise du rapport final. Le produit fini doit être d'assez bonne qualité pour être soumis à un magazine ou à votre supérieur au travail. (40 % de la note du projet)

Examen final (30 %)

Examen à livre fermé, portant sur l'ensemble de cours. La note de l'examen final doit être égale ou supérieure à 50 %. Si ce seuil n'est pas atteint, la mention échec sera automatiquement attribuée au cours et ce, quelles que soient les notes obtenues dans les travaux pratiques.

Prenez note que la correction des exercices et examens tient abondamment compte des développements. Il est donc avantageux d'exposer votre travail. Une réponse correcte obtenue au terme d'un raisonnement invalide ne vaut pas grand chose. Par contre, un raisonnement valide, conduisant à une réponse erronée à cause d'erreurs mineures vaut beaucoup plus. Dans le doute, il vaut mieux être explicite que succinct.

Les règlements de l'UQAM concernant le plagiat seront strictement appliqués. Pour plus de renseignements, consultez le site suivant : http://www.sciences.uqam.ca/etudiants/integrite-academique.html

Tout travail que vous soumettez doit être le fait de votre propre travail. Vous pouvez échanger avec vos collègues sur les travaux, les approches de solutions, mais les idées et solutions que vous soumettez doivent émaner de votre propre réflexion. Dans le cas de programmes, vous devez créer et coder votre propre code source, et le documenter vous même. Une fois le programme écrit, il est possible de se faire aider pour le déboguage.

En cas de doute sur l'originalité des travaux, un test oral pourra être exigé.

Une pénalité de retard de 10% par jour ouvrable sera appliquée sur les travaux remis après les dates prévues. Il est de la responsabilité de l'étudiant de se faire des copies de ses travaux.

Engagements et Responsabilités

Politique d'absence aux examens

L'autorisation de reprendre un examen en cas d'absence est de caractère exceptionnel. Pour obtenir un tel privilège, l'étudiant-e doit avoir des motifs sérieux et bien justifiés.

Il est de la responsabilité de l'étudiant-e de ne pas s'inscrire à des cours qui sont en conflit d'horaire, tant en ce qui concerne les séances de cours ou d'exercices que les examens. De tels conflits d'horaire ne constituent pas un motif justifiant une demande d'examen de reprise.

Dans le cas d'une absence pour raison médicale, l'étudiant-e doit joindre un certificat médical original et signé par le médecin décrivant la raison de l'absence à l'examen. Les dates d'invalidité doivent être clairement indiquées sur le certificat. Une vérification de la validité du certificat pourrait être faite. Dans le cas d'une absence pour une raison non médicale, l'étudiant-e doit fournir les documents originaux expliquant et justifiant l'absence à l'examen – par exemple, lettre de la Cour en cas de participation à un jury, copie du certificat de décès en cas de décès d'un proche, etc. Toute demande incomplète sera refusée. Si la direction du programme d'études de l'étudiant-e constate qu'un étudiant a un comportement récurrent d'absence aux examens, l'étudiant-e peut se voir refuser une reprise d'examen.

L'étudiant-e absent-e lors d'un examen doit, dans les cinq (5) jours ouvrables suivant la date de l'examen, présenter une demande de reprise en utilisant le formulaire prévu, disponible sur le site Web du département à l'adresse suivante : http://info.uqam.ca/politiques/

L'étudiant-e doit déposer le formulaire dûment complété au secrétariat de la direction de son programme d'études : PK-3150 pour les programmes de premier cycle, PK-4150 pour les programmes de cycles supérieurs. Pour plus de détails sur la politique d'absence aux examens du Département d'informatique, consultez le site web suivant : http://info.uqam.ca/politiques

Intégrité académique

PLAGIAT Règlement no 18 sur les infractions de nature académique. (extraits)

Tout acte de plagiat, fraude, copiage, tricherie ou falsification de document commis par une étudiante, un étudiant, de même que toute participation à ces actes ou tentative de les commettre, à l'occasion d'un examen ou d'un travail faisant l'objet d'une évaluation ou dans toute autre circonstance, constituent une infraction au sens de ce règlement.

La liste non limitative des infractions est définie comme suit :

la substitution de personnes;
l'utilisation totale ou partielle du texte d'autrui en la faisant passer pour sien ou sans indication de référence;
la transmission d'un travail pour fins d'évaluatiion alors qu'il constitue essentiellement un travail qui a déjà été transmis pour fins d'évaluation académique à l'Université ou dans une autre institution d'enseignement, sauf avec l'accord préalable de l'enseignante, l'enseignant;
l'obtention par vol, manoeuvre ou corruption de questions ou de réponses d'examen ou de tout autre document ou matériel non autorisés, ou encore d'une évaluation non méritée;
la possession ou l'utilisation, avant ou pendant un examen, de tout document non autorisé;
l'utilisation pendant un examen de la copie d'examen d'une autre personne;
l'obtention de toute aide non autorisée, qu'elle soit collective ou individuelle;
la falsification d'un document, notamment d'un document transmis par l'Université ou d'un document de l'Université transmis ou non à une tierce persone, quelles que aoient les circonstances;
la falsification de données de recherche dans un travail, notamment une thèse, un mémoire, un mémoire-création, un rapport de stage ou un rapport de recherche;
Les sanctions reliées à ces infrations sont précisées à l'article 3 du Règlement no 18.

Les règlements concernant le plagiat seront strictement appliqués. Pour plus de renseignements, veuillez consulter les sites suivants : http://www.sciences.uqam.ca/etudiants/integrite-academique.html et http://www.bibliotheques.uqam.ca/recherche/plagiat/index.html

Médiagraphie

Sera complété au fur et à mesure des lectures.

A : article - C : comptes rendus - L : logiciel C : complémentaire - O : Obligatoire - R : recommandé
S: Standard - U : uri - V : volume