Logo ÉTS
Session
Cours
Responsable(s) Chamseddine Talhi

Se connecter
 

Sauvegarde réussie
Echec de sauvegarde
Avertissement
École de technologie supérieure

Responsable(s) de cours : Chamseddine Talhi


PLAN DE COURS

Hiver 2020
GTI723 : Test d’intrusion (3 crédits)





Préalables
Programme(s) : 7065,7070,7365,7610
             
  Profils(s) : Tous profils  
             
    GTI619    
             
Unités d'agrément
Total d'unités d'agrément : 59 60,0 % 40,0 %




Qualités de l'ingénieur

Qn
 Qualité visée dans ce cours  
Qn
   Qualité visée dans un autre cours  
  Indicateur enseigné
  Indicateur évalué
  Indicateur enseigné et évalué



Descriptif du cours
Le test d’intrusion représente une étape cruciale dans la sécurisation d’un système d’information ou d’une infrastructure informatique. En effet, il consiste à mettre à l’épreuve la sécurité du système en l’exposant à une équipe d’experts ayant comme mission la découverte des vulnérabilités et leur exploitation afin de compromettre le bon fonctionnement du système, d’obtenir un accès illégal à une ressource, de perturber ou interrompre un service, etc. De ce fait, les spécialistes en test d’intrusion doivent maîtriser les principes fondamentaux de cette approche et maîtriser ses techniques afin de permettre la découverte méthodique de la majorité des vulnérabilités et d’analyser leur niveau d’exploitabilité. L’objectif ultime de cette activité est de documenter ces vulnérabilités afin d’identifier les correctifs à apporter.

Ce cours a pour objectif général de présenter les principaux aspects du test d’intrusion : les principales vulnérabilités des logiciels et des infrastructures informatiques et leur exploitabilité, les méthodes et outils de reconnaissance et de récolte d’information, les techniques de test d’intrusion et la documentation des résultats de l’analyse.

Au terme de ce cours, les étudiants seront en mesure de : d’étudier et d’analyser des logiciels et des infrastructures informatiques afin de découvrir des vulnérabilités qui peuvent représenter des brèches exploitables par des utilisateurs mal intentionnés ou des logiciels malveillants; d’utiliser des techniques de test d'intrusion afin d’exploiter des menaces et des vulnérabilités de sécurité découvertes dans des logiciels et des infrastructures informatiques; d’adopter une attitude éthique qui permet d’identifier ce qui est nécessaire et approprié comme pratique lors de la réalisation des tests d’intrusion



Objectifs du cours

À la fin de ce cours, l'étudiant devrait être en mesure de:

  • Analyser des logiciels et des infrastructures informatiques afin de découvrir des vulnérabilités qui peuvent représenter des brèches exploitables.
  • Créer des exploits et les utiliser dans des tests d'intrusion.
  • Utiliser des outils de la sécurité informatique.
  • Adopter une attitude éthique qui permet d’identifier ce qui est nécessaire et approprié comme pratique lors de la réalisation des tests d’intrusion.



Stratégies pédagogiques

La pédagogie du cours est basée sur les méthodes suivantes :

  • Familiariser l'étudiant avec les langages de programmation interprétés (scripting) et la création  des exploits.
  • Familiariser l'étudiant avec les bases de chaque concept de la sécurité informatique et des tests d'intrusion avant l'utilisation des outils automatiques.
  • Accompagner les principes et concepts abordés d'exemples concrets et d’exercices pratiques.
  • Les travaux pratiques effectués au cours des séances de laboratoire permettent aux étudiants de se familiariser avec les vulnérabilités dans les protocoles de communication, les applications, et les systèmes d'exploitation et d’expérimenter la création des exploits.

Charge d’enseignement : 39 heures de cours, 24 heures de laboratoire. Sur une base hebdomadaire, ceci correspond à trois heures de cours magistral, deux heures de laboratoire et 4 heures et demi de travail hors classe. Totalisant ainsi 145 heures de travail.



Utilisation d’appareils électroniques

Aucun enregistrement (photographie, film ou audio) ne sera toléré.



Horaire
Groupe Jour Heure Activité
01 Lundi 18:00 - 21:30 Activité de cours
Mardi 18:00 - 20:00 Laboratoire



Coordonnées de l’enseignant
Groupe Nom Activité Courriel Local Disponibilité
01 Oussama Boudar Activité de cours cc-Oussama.Boudar@etsmtl.ca



Cours
  1. Introduction au test d'intrusion
    • Méthodologies
    • Approches
    • Types
  2. Réseaux et protocoles de communication
    • Concepts réseau reliés a la sécurité informatique
    • Test d'intrusion sur les protocoles de communication
    • Forger des paquets réseau
  3. Collecte d'informations
    • Collecte d'informations sur le web
    • Collecte d'informations a partir des services : dns, courriel, etc.
  4. Balayage et énumération
    • Énumération des serveurs et postes de travail
    • Énumération des ports
    • Identification des systèmes d'exploitation
    • Énumération des vulnérabilités
  5. Vulnérabilités dans les logicielles et les systèmes d'exploitation
    • Vulnérabilités logicielle
    • Vulnérabilités dans les système d'exploitation
    • Vulnérabilités vs exploits
    • Création d'exploits
  6. Maintenir l'accè
    • Types des malwares
    • Création de malware
  7. Rapports de test d'intrusion.



Laboratoires et travaux pratiques

Ce cours comporte trois laboratoires :

  • Le premier laboratoire permet de familiariser les étudiants avec :
    • Certains concepts réseau reliés a la sécurité informatique.
    • Langages de programmation interprétés.
    • Les vulnérabilités dans les protocoles de communication et les approches d'exploitation utilisées lors d'un test d'intrusion.  
  • Le deuxième laboratoire permet de familiariser les étudiants avec :
    • Balayage et énumération
    • Vulnérabilités logicielles
    • Vulnérabilités dans les systèmes d'exploitation
    • Les test d'intrusion de types boite blanche et boite grise
  • Le troisième laboratoire permet de familiariser les étudiants avec :
    • Les outils de détection de vulnérabilités
    • Les outils et Framework d'exploitation
    • Les test d'intrusion de type boite noire



Utilisation d'outils d'ingénierie

L'étudiant se familiarise avec les langages de programmation interprétés, les outils et framework d’exploitation de vulnérabilités logicielles, systèmes d'exploitation et protocoles de communication.


Évaluation
  • Laboratoires (35%)  Selon les dates communiquées durant la session
  • Examen intra (30%) : 17 Février
  • Quiz 1 (5 %) : 27 Janvier
  • Quiz 2 (5 %) : 23 mars
  • Examen final (25%) : Période examens finaux



Dates des examens intra
Groupe(s) Date
1 17 février 2020



Date de l'examen final
Votre examen final aura lieu pendant la période des examens finaux, veuillez consulter l'horaire à l'adresse suivante : http://etsmtl.ca/Etudiants-actuels/Baccalaureat/Examens-finaux


Politique de retard des travaux
Tout travail (devoir pratique, rapport de laboratoire, rapport de projet, etc.) remis en retard sans motif valable, c’est-à-dire autre que ceux mentionnés dans le Règlement des études (1er cycle, article 7.2.7 b / cycles supérieurs, article 6.5.4 b) se verra attribuer la note zéro, à moins que d’autres dispositions ne soient communiquées par écrit par l’enseignant dans les consignes de chaque travail à remettre ou dans le plan de cours pour l’ensemble des travaux.



Absence à un examen
Dans les cinq (5) jours ouvrables suivants, la tenue de son examen, l’étudiant devra justifier son absence d’un examen durant le trimestre auprès de la coordonnatrice – Affaires départementales qui en référera au directeur du département ou du SEG. Pour un examen final, l’étudiant devra justifier son absence auprès du Bureau du registraire. Dans tous les cas, l’étudiant doit effectuer sa demande en complétant le formulaire prévu à cet effet qui se trouve dans son portail Mon ÉTS/Formulaires. Toute absence non justifiée par un motif majeur (maladie certifiée par un billet de médecin, décès d’un parent immédiat, Activité compétitive d’un étudiant appartenant à un club scientifique ou un club sportif d’élite de l’ÉTS ou au programme « Alliance sport étude » ou autre) à un examen entraînera l’attribution de la note zéro (0).



Infractions de nature académique
Les clauses du « Règlement sur les infractions de nature académique de l’ÉTS » s’appliquent dans ce cours ainsi que dans tous les cours du département. Les étudiants doivent consulter le Règlement sur les infractions de nature académique (https://www.etsmtl.ca/docs/ETS/Gouvernance/Secretariat-general/Cadre-reglementaire/Documents/Infractions-nature-academique ) pour identifier les actes considérés comme étant des infractions de nature académique ainsi que prendre connaissance des sanctions prévues à cet effet.  À l’ÉTS, le respect de la propriété intellectuelle est une valeur essentielle et les étudiants sont invités à consulter la page Citer, pas plagier ! (https://www.etsmtl.ca/Etudiants-actuels/Baccalaureat/Citer-pas-plagier).



Documentation obligatoire

Matériel pédagogique développé par le professeur. Disponible sur le site web du cours. Articles disponibles sur le site web du cours complétant le matériel pédagogique.



Ouvrages de références
  • Livre : Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (5e édition). ACISSI - Damien BANCAL - David DUMAS - David PUCHE - Franck EBEL - Frédéric VICOGNE - Guillaume FORTUNATO - Jérôme HENNECART - Laurent SCHALKWIJK - Marion AGÉ - Raphaël RAULT - Robert CROCFER - Sébastien LASSON, 887 pages, septembre 2017, ISBN : 978-2-409-00974-7. Éditions ENI, Ref. ENI : EP5SEC.
  • Livre : Sécurité informatique sur le Web - Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel). Jérôme THÉMÉE, 340 pages, mars 2017, ISBN : 978-2-409-00634-0, Éditions ENI. Ref. ENI : EPSECAW
  • Weidman, G., 2014. Penetration testing: a hands-on introduction to hacking. No Starch Press.

 



Adresse internet du site de cours et autres liens utiles

Site du cours sur Moodle!