|
École de technologie supérieure
|
Responsable(s) de cours :
|
Chamseddine Talhi, Patrick Cardinal
|
PLAN DE COURS
Hiver 2023
GTI723 : Test d’intrusion (3 crédits)
Préalables
Programme(s) : 7065,7070,7365,7610 | | | | | | | | | Profils(s) : Tous profils | | | | | | | | | | | GTI619 | | | | | | | | | | |
|
Unités d'agrément
Total d'unités d'agrément : 59
|
Qualités de l'ingénieur
|
Qualité visée dans ce cours |
|
|
|
Qualité visée dans un autre cours |
|
|
|
Indicateur enseigné |
|
|
Indicateur évalué |
|
|
Indicateur enseigné et évalué |
Descriptif du cours
Le test d’intrusion représente une étape cruciale dans la sécurisation d’un système d’information
ou d’une infrastructure informatique. En effet, il consiste à mettre à l’épreuve la sécurité du
système en l’exposant à une équipe d’experts ayant comme mission la découverte des
vulnérabilités et leur exploitation afin de compromettre le bon fonctionnement du système,
d’obtenir un accès illégal à une ressource, de perturber ou interrompre un service, etc. De ce fait, les spécialistes en test d’intrusion doivent maîtriser les principes fondamentaux de cette approche et maîtriser ses techniques afin de permettre la découverte méthodique de la majorité des vulnérabilités et d’analyser leur niveau d’exploitabilité. L’objectif ultime de cette activité est de
documenter ces vulnérabilités afin d’identifier les correctifs à apporter.
Ce cours a pour objectif général de présenter les principaux aspects du test d’intrusion : les
principales vulnérabilités des logiciels et des infrastructures informatiques et leur exploitabilité,
les méthodes et outils de reconnaissance et de récolte d’information, les techniques de test
d’intrusion et la documentation des résultats de l’analyse.
Au terme de ce cours, les étudiantes et les étudiants seront en mesure : d’étudier et d’analyser des logiciels et des infrastructures informatiques afin de découvrir des vulnérabilités qui peuvent représenter des
brèches exploitables par des utilisateurs mal intentionnés ou des logiciels malveillants; d’utiliser
des techniques de test d'intrusion afin d’exploiter des menaces et des vulnérabilités de sécurité
découvertes dans des logiciels et des infrastructures informatiques; d’adopter une attitude éthique
qui permet d’identifier ce qui est nécessaire et approprié comme pratique lors de la réalisation des
tests d’intrusion.
Objectifs du cours
À la fin de ce cours, l'étudiant devrait être en mesure de:
- Analyser des logiciels et des infrastructures informatiques afin de découvrir des vulnérabilités qui peuvent représenter des brèches exploitables.
- Créer des exploits et les utiliser dans des tests d'intrusion.
- Utiliser des outils de la sécurité informatique.
- Adopter une attitude éthique qui permet d’identifier ce qui est nécessaire et approprié comme pratique lors de la réalisation des tests d’intrusion.
Stratégies pédagogiques
La pédagogie du cours est basée sur les méthodes suivantes :
- Familiariser l'étudiant avec les langages de programmation interprétés (scripting) et la création des exploits.
- Familiariser l'étudiant avec les bases de chaque concept de la sécurité informatique et des tests d'intrusion avant l'utilisation des outils automatiques.
- Accompagner les principes et concepts abordés d'exemples concrets et d’exercices pratiques.
- Les travaux pratiques effectués au cours des séances de laboratoire permettent aux étudiants de se familiariser avec les vulnérabilités dans les protocoles de communication, les applications, et les systèmes d'exploitation et d’expérimenter la création des exploits.
Charge d’enseignement : 39 heures de cours, 24 heures de laboratoire. Sur une base hebdomadaire, ceci correspond à trois heures de cours magistral, deux heures de laboratoire et 4 heures et demi de travail hors classe. Totalisant ainsi 145 heures de travail.
Utilisation d’appareils électroniques
Aucun enregistrement (photographie, film ou audio) ne sera toléré.
Horaire
Groupe | Jour | Heure | Activité |
01 | Lundi | 18:00 - 20:00 | Laboratoire |
| Mercredi | 18:00 - 21:30 | Activité de cours |
Coordonnées du personnel enseignant le cours
Cours
- Introduction au test d'intrusion
- Méthodologies
- Approches
- Types
- Réseaux et protocoles de communication
- Concepts réseau reliés a la sécurité informatique
- Test d'intrusion sur les protocoles de communication
- Forger des paquets réseau
- Collecte d'informations
- Collecte d'informations sur le web
- Collecte d'informations a partir des services : dns, courriel, etc.
- Balayage et énumération
- Énumération des serveurs et postes de travail
- Énumération des ports
- Identification des systèmes d'exploitation
- Énumération des vulnérabilités
- Vulnérabilités dans les logicielles et les systèmes d'exploitation
- Vulnérabilités logicielle
- Vulnérabilités dans les système d'exploitation
- Vulnérabilités vs exploits
- Création d'exploits
- Maintenir l'accè
- Types des malwares
- Création de malware
- Rapports de test d'intrusion.
Laboratoires et travaux pratiques
Ce cours comporte trois laboratoires :
- Le premier laboratoire permet de familiariser les étudiants avec :
- Certains concepts réseau reliés a la sécurité informatique.
- Langages de programmation interprétés.
- Les vulnérabilités dans les protocoles de communication et les approches d'exploitation utilisées lors d'un test d'intrusion.
- Le deuxième laboratoire permet de familiariser les étudiants avec :
- Balayage et énumération
- Vulnérabilités logicielles
- Vulnérabilités dans les systèmes d'exploitation
- Les test d'intrusion de types boite blanche et boite grise
- Le troisième laboratoire permet de familiariser les étudiants avec :
- Les outils de détection de vulnérabilités
- Les outils et Framework d'exploitation
- Les test d'intrusion de type boite noire
Utilisation d'outils d'ingénierie
L'étudiant se familiarise avec les langages de programmation interprétés, les outils et framework d’exploitation de vulnérabilités logicielles, systèmes d'exploitation et protocoles de communication.
Évaluation
- Laboratoires (35%) Selon les dates communiquées durant la session
- Examen intra (30%) : 22 février
- Quiz 1 (5 %) : 08 février
- Quiz 2 (5 %) : 05 avril
- Examen final (25%) : Période examens finaux
À noter qu’une moyenne inférieure à 50% dans les évaluations individuelles (examens intra, examen final et Quizs) entraîne automatiquement un échec au cours. Ceci est une condition nécessaire mais non suffisante pour réussir ce cours.
Double seuil
Note minimale : 50
Dates des examens intra
Groupe(s) | Date |
1 | 22 février 2023 |
Date de l'examen final
Votre examen final aura lieu pendant la période des examens finaux, veuillez consulter l'horaire à l'adresse suivante : https://www.etsmtl.ca/programmes-et-formations/horaire-des-examens-finaux
Politique de retard des travaux
Tout travail (devoir pratique, rapport de laboratoire, rapport de projet, etc.) remis en retard sans motif valable, c’est-à-dire autre que ceux mentionnés dans le Règlement des études (1er cycle, article 7.2.7 b / cycles supérieurs, article 6.5.4 b) se verra attribuer la note zéro, à moins que d’autres dispositions ne soient communiquées par écrit par l’enseignant dans les consignes de chaque travail à remettre ou dans le plan de cours pour l’ensemble des travaux.
Absence à un examen
Dans les cinq (5) jours ouvrables suivants, la tenue de son examen, l’étudiant devra justifier son absence d’un examen durant le trimestre auprès de la coordonnatrice – Affaires départementales qui en référera au directeur du département ou du SEG. Pour un examen final, l’étudiant devra justifier son absence auprès du Bureau du registraire. Dans tous les cas, l’étudiant doit effectuer sa demande en complétant le formulaire prévu à cet effet qui se trouve dans son portail Mon ÉTS/Formulaires. Toute absence non justifiée par un motif majeur (maladie certifiée par un billet de médecin, décès d’un parent immédiat, Activité compétitive d’un étudiant appartenant à un club scientifique ou un club sportif d’élite de l’ÉTS ou au programme « Alliance sport étude » ou autre) à un examen entraînera l’attribution de la note zéro (0).
Documentation obligatoire
Matériel pédagogique développé par le professeur. Disponible sur le site web du cours. Articles disponibles sur le site web du cours complétant le matériel pédagogique.
Ouvrages de références
- Livre : Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (5e édition). ACISSI - Damien BANCAL - David DUMAS - David PUCHE - Franck EBEL - Frédéric VICOGNE - Guillaume FORTUNATO - Jérôme HENNECART - Laurent SCHALKWIJK - Marion AGÉ - Raphaël RAULT - Robert CROCFER - Sébastien LASSON, 887 pages, septembre 2017, ISBN : 978-2-409-00974-7. Éditions ENI, Ref. ENI : EP5SEC.
- Livre : Sécurité informatique sur le Web - Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel). Jérôme THÉMÉE, 340 pages, mars 2017, ISBN : 978-2-409-00634-0, Éditions ENI. Ref. ENI : EPSECAW
- Weidman, G., 2014. Penetration testing: a hands-on introduction to hacking. No Starch Press.
Adresse internet du site de cours et autres liens utiles
Site du cours sur Moodle!