INF4471 — Introduction à la sécurité informatique (UQAM)

INF4471 - Introduction à la sécurité informatique

Plan de cours Automne 2024

Horaires, locaux et enseignants
Version PDF du plan de cours
Site web du cours: https://www.moodle2.uqam.ca/coursv3/course/view.php?id=36676

Responsable(s) du cours

Coordination

Killijian, Marc-Olivier
PK-4740
[email protected]
https://kirija.github.io

Enseignement

Djado, Khalid
PK-4115
[email protected]
Groupes: 020

Description officielle

Objectifs

Introduire les étudiants aux différents aspects de la sécurité des systèmes informatiques. Sensibiliser les étudiants aux risques et menaces. Introduire les techniques permettant d’assurer la sécurité des processus. Introduire les méthodes de mitigation du risque.

À la fin de ce cours, l’étudiant devra être en mesure de:

Sommaire du contenu

Principes et concepts fondamentaux de la sécurité des systèmes informatiques. Principaux objectifs de sécurité: confidentialité, intégrité, disponibilité, authentification, non répudiation, contrôle d’accès. Typologie des attaques et menaces: fuites, modifications, dénis de service.

Introduction aux mécanismes sécuritaires modernes: systèmes de chiffrage symétriques et asymétriques; fonctions de hachage; protocoles sécuritaires: authentification, contrôle d’accès. Sécurité des réseaux: filtrage, périmètre de sécurité, journalisation, surveillance et détection d’intrusion, appareils mobiles.

Gestion des incidents de sécurité et améliorations des systèmes: mécanismes de recouvrement. Analyse de risque. Gestion des vulnérabilités techniques. Éducation des usagers. Considérations légales, politiques et éthiques. Politiques et modèles de sécurité.
Services de commerces électronique. Monnaie électronique. Mécanismes de paiement.

Modalité d’enseignement

Ce cours comporte une séance obligatoire de laboratoire (2 heures).

Préalables académiques

INF1120

Détails des éléments traités

Il s’agit d’un cours d’hygiène informatique et d’introduction à la sécurité informatique. Les objectifs sont donc souvent duals entre application et théorie. Au fil des séances, nous verrons notamment les points suivants.

Principes et concepts fondamentaux de la sécurité des systèmes informatiques. Principaux objectifs de sécurité: confidentialité, intégrité, disponibilité, authentification, non-répudiation, contrôle d’accès. Typologie des attaques et menaces: fuites, modifications, dénis de service.

Introduction aux mécanismes de sécurité modernes: systèmes de chiffrement symétriques et asymétriques; codes d’authentification de messages et signatures électroniques; fonctions de hachage; protocoles sécuritaires: authentification, contrôle d’accès.

Sécurité des réseaux: gestion et infrastructure de clés; étude de la sécurité de protocoles existants (TLS, IPSec); protocoles d’authentification dans les réseaux sans fil (WEP, WPA et WPA2); surveillance et détection d’intrusion; appareils mobiles.

Sujets avancés: introduction à la protection de la vie privée; sécurité en infonuagique; sécurité de l’internet des objets; Bitcoin et blockchain.

Gestion des incidents de sécurité et améliorations des systèmes: mécanismes de recouvrement. Analyse de risque. Gestion des vulnérabilités techniques. Éducation des usagers. Considérations légales, politiques et éthiques. Politiques et modèles de sécurité.

Concepts généraux couverts

Introduction. Problématique de la sécurité: confidentialité, authentification, intégrité, traçabilité, disponibilité, non-répudiation, respect de la vie privé, contrôle d’accès. Vulnérabilités, menaces à la sécurité et attaques. Techniques de base en sécurité: Terminologie. Notion de confiance. Analyse de risque. Principes et politiques de sécurité. Éducation des usagers, hygiène informatique personnelle et professionnelle. Droits et organisation de la sécurité informatique

Canaux cachés. Fuites d’information matérielles, métadonnées, réseau. Respect de la vie privée et lien avec la sécurité informatique. Outil de traçage, traces numériques. Attaques par inférence et méthodes d’assainissement. Protection des données par k-anonymat et confidentialité différentielle. Technologies de protection de la vie privée (réseaux de communication anonyme, accréditations anonymes, retrait privé d’information).

Enjeux géopolitiques, économiques et étatiques de la sécurité informatique. Agences nationales de sécurité, espionnage. Méthodes d’appréciation et d’analyse de risques : évaluation, analyse, acceptation, assurance. Vie privée et technologies de géolocalisation : enjeux, attaques et défenses.

La fraude sur Internet. Les différents types d’attaques et les risques et menaces associées : hameçonnage, dénis de service, vol d’identité, botnets, rançongiciels. Economie de la sécurité et de l’insécurité, marché des failles de sécurité.

Cryptographie symétrique (clé secrète). Arithmétique modulaire. Principes de Kerckhoffs. Exemples de chiffrements historiques et de mécanismes de base: transposition, permutation. Caractérisation des systèmes de chiffrement. Cryptanalyse et attaques. Notions de base fondamentales: entropie, redondance. Chiffrement à sécurité inconditionnelle : masque jetable. Systèmes de chiffrement symétriques modernes (DES, AES).

Communications anonymes. Systèmes d’échanges pair-à-pair. Darkweb, le routage en oignon et TOR. La chaine de bloc et les monnaies cryptographiques. Les messageries sécurisées. VPNs. Accréditations anonymes

Malware et antivirus. Aspects historiques. Typologie des malware et la métaphore anthropomorphe (virus, ver, troyen et bombes logiques). Contremesures, analyse de malware, pots-de-miel, systèmes de détection d’intrusion, antivirus, patches.

Cryptographie asymétrique (clé publique). Historique et propriétés. Bases mathématiques : calcul entier, PGCD, modules et exponentiation modulaire. RSA. Fonctions à sens unique. Intégrité des données et authentification de messages. Génération pseudo-aléatoire. Introduction au chiffrement homomorphe.

Courriel, pourriel, authentification, signatures électroniques et infrastructure de gestion de clé. Problématique et enjeux économiques des pourriels et de leur détection. Signature numérique DSA et RSA. Le logarithme discret. Infrastructure à clé publique, certificats.

Mots de passe et authentification de messages. Fonctions de hachage (MD5, SHA-1, SHA-3). Protocoles d’authentification. Les mots-de-passe et leur propriétés. Gestionnaires de mots-de-passe. Attaques et outils d’évaluation de la robustesse des mots de passe. Authentification biométrique.

Disques dur chiffrés et forensique. Comment et pourquoi chiffrer un disque dur. La forensique, les enjeux et techniques, la réponse à incident de sécurité

Sécurité des systèmes répartis et de réseaux. Rappel réseau (TCP/IP, équipement). Menaces spécifiques: écoute illicite, imposture, déni de service, brouillage. Caractéristiques des médiums de transmission. Capture de paquets, pare-feus, proxies, détection d’intrusion. Réseaux privés virtuels. Les protocoles IPSec, SSH et SSL et certaines attaques. Authentification dans les réseaux Wi-Fi et le protocole Bluetooth.

Formule pédagogique

Chaque séance sera composée de différentes activités, chacune obligatoire et susceptible d’être évaluée dans un devoir ou un examen:

Modalités d’évaluation

Présentations

A réaliser par équipe de 5 étudiants, une présentation d’une durée de 10 minutes autour des problématiques de sécurité sur un sujet spécifique à prendre dans la liste suivante, ou à proposer et à faire valider par le Professeur. Il s’agit de présenter les problèmes de sécurité soulevés, ou traités, par le sujet en question, l’évaluation porte sur l’objectif #1 du cours : “comprendre l’ensemble des problématiques de la sécurité informatique et distinguer les principaux objectifs de sécurité”.

Chaque équipe devra sélectionner un sujet distinct.

Sujets potentiels : Sécurité iPhone vs Android, La sécurité des produits SaaS, Le role de l’IA en cybersécurité, L’analyse des malwares, Les systèmes de détection d’intrusion (IDS)…

Devoirs

A deux occasions au cours de la session, des devoirs écrits notés permettront aux étudiants d’approfondir les sujets vus en cours ou encore de mettre en pratique et de vérifier expérimentalement certains des concepts présentés en classe. Les devoirs toucheront à différents sujets en sécurité informatique.

Examen final

Portant sur l’ensemble de cours, à livre ouvert.

Prenez note que la correction des exercices et examens tient abondamment compte des explications fournies. Il est donc avantageux d’exposer votre travail de façon claire et dans un langage correct. Une réponse correcte obtenue au terme d’un raisonnement invalide ou flou ne vaut pas grand chose. Par contre, un raisonnement valide, conduisant à une réponse erronée à cause d’erreurs mineures vaut beaucoup plus. Dans le doute, il vaut mieux être explicite que succinct.

D’autre part, l’usage d’agents conversationnels de type ChatGPT, ou autre, est strictement interdite et entrainera une évaluation nulle du travail rendu.

Notes

Les règlements de l’UQAM concernant le plagiat seront strictement appliqués. Pour plus de renseignements, consultez le site suivant : http://r18.uqam.ca

Tout travail que vous soumettez doit être le fait de votre propre travail. Vous pouvez échanger avec vos collègues sur les travaux, les approches de solutions, mais les idées et solutions que vous soumettez doivent émaner de votre propre réflexion. Dans le cas de programmes, vous devez créer et coder votre propre code source, et le documenter vous même. Une fois le programme écrit, il est possible de se faire aider pour le déboguage.

En cas de doute sur l’originalité des travaux, un test oral pourra être exigé.

Une pénalité de retard de 10% par jour ouvrable sera appliquée sur les travaux remis après les dates prévues. Il est de la responsabilité de l’étudiant de se faire des copies de ses travaux.

Matériel et logiciels utilisés

Le cours se donne en présentiel, mais afin d’être capable de passer en mode distanciel s’il le fallait, il vous faut un ordinateur connecté à Internet, capable de lire des vidéos et d’écouter des ballados. Il vous faudra également installer le logiciel Zoom. Certains laboratoires vous demanderont d’installer le logiciel Oracle VirtualBox https://www.virtualbox.org/wiki/Downloads et de lancer une machine virtuelle Linux d’une taille de plusieurs dizaines de Go. Afin de ne pas avoir de problème, il vous est donc recommandé d’avoir au minimum 100 Go d’espace disque libre. Tout système (Windows, Linux, MacOS) convient a priori. Il sera nécessaire de disposer d’une clé USB vierge d’au moins 8 Go.

Médiagraphie

Sera complété sur le Moodle au fur et à mesure des lectures.

Monitorat de programme

Le département d’informatique offre un service gratuit d’aide à la réussite s’adressant plus particulièrement aux étudiant.e.s du baccalauréat et du certificat en informatique. Il concerne principalement les cours de base comme INF1070, INF1120, INF1132, INF2120 et INF2171, mais, selon la connaissance du moniteur ou de la monitrice, un support dans d’autres cours peut également être offert.

Objectifs

Permettre aux étudiant.e.s de :

Informations

Information sur les Services à la vie étudiante

Services

Les services à la vie étudiante accompagnent les étudiantes et les étudiants dans la réussite de leur parcours universitaire.

Bureau

Bureau des services-conseils (soutien psychologique, bien-être aux études, information scolaire et insertion professionnelle, orientation, emploi): pour prendre rendez-vous, communiquez au 514 987-3185 ou par courriel à [email protected].

Aide financière

Bureau de l’aide financière: pour prendre rendez-vous, écrivez à [email protected].

Bourses d’études

Concernant les bourses, pensez à consulter Le Répertoire institutionnel des bourses d’études (RIBÉ) et écrivez à [email protected] pour toute question.

Informations générales

Consultez les informations et l’ensemble des coordonnées et services offerts par les Services à la vie étudiante à l’adresse suivante: [email protected].

Politique d’absence aux examens

Reprise d’examen

L’autorisation de reprendre un examen en cas d’absence est de caractère exceptionnel. Pour obtenir un tel privilège, l’étudiant-e doit avoir des motifs sérieux et bien justifiés.

Conflits d’horaire

Il est de la responsabilité de l’étudiant.e de ne pas s’inscrire à des cours qui sont en conflit d’horaire, tant en ce qui concerne les séances de cours ou d’exercices que les examens. De tels conflits d’horaire ne constituent pas un motif justifiant une demande d’examen de reprise.

Procédure

L’étudiant.e absent.e lors d’un examen doit, dans les cinq (5) jours ouvrables suivant la date de l’examen, présenter une demande de reprise en utilisant le formulaire prévu, disponible sur https://info.uqam.ca/repriseexamen/.

Pièces justificatives

Dans le cas d’une absence de moins de cinq (5) jours pour raison médicale, l’étudiant.e doit joindre une déclaration sur l’honneur. Lors d’une absence de cinq (5) jours et plus, un billet médical est exigé. Les dates d’invalidité doivent être clairement indiquées sur le billet original. L’authenticité du billet pourrait être vérifiée.

Dans le cas d’une absence pour une raison non médicale, l’étudiant.e doit fournir les documents originaux expliquant et justifiant l’absence à l’examen ; par exemple, lettre de la Cour en cas de participation à un jury, copie du certificat de décès en cas de décès d’un proche, etc. Toute demande incomplète sera refusée. Si la direction du programme d’études de l’étudiant.e constate qu’un.e étudiant.e a un comportement récurrent d’absence aux examens, l’étudiant.e peut se voir refuser une reprise d’examen.

Pour plus d’informations

Consulter la page https://info.uqam.ca/repriseexamen/.

PLAGIAT Règlement no 18 sur les infractions de nature académique. (extraits)

Tout acte de plagiat, fraude, copiage, tricherie ou falsification de document commis par une étudiante, un étudiant, de même que toute participation à ces actes ou tentative de les commettre, à l’occasion d’un examen ou d’un travail faisant l’objet d’une évaluation ou dans toute autre circonstance, constituent une infraction au sens de ce règlement. (R18, art. 2.1, définition d’une infraction)

Liste non limitative des infractions mentionnées dans le R18 :

Les sanctions reliées à ces infractions sont précisées aux articles 3 et 5 du Règlement no 18 sur les infractions de nature académique.

Pour éviter de vous exposer à des sanctions :

  1. Consultez le site r18.uqam.ca pour plus d’information sur l’intégrité académique et le R18;
  2. Développez les bonnes pratiques en matière de recherche documentaire et de rédaction des travaux via l’outil Infosphère et les formations offertes par le Service des bibliothèques

Politique no 2

Le droit à la liberté académique universitaire est le droit de toute personne d’exercer librement et sans contrainte doctrinale, idéologique ou morale, telle la censure institutionnelle, une activité par laquelle elle contribue à l’accomplissement de la mission de l’Université.

Ce droit comprend la liberté :

  1. d’enseignement et de discussion;
  2. de recherche, de création et de publication;
  3. d’exprimer son opinion sur la société et sur une institution, y compris l’établissement duquel la personne relève, ainsi que sur toute doctrine, tout dogme ou toute opinion;
  4. de participer librement aux activités d’organisations professionnelles ou d’organisations académiques.

Il doit s’exercer en conformité avec les normes d’éthique et de rigueur scientifique généralement reconnues par le milieu universitaire et en tenant compte des droits des autres membres de la communauté universitaire.

En reconnaissant, en promouvant et en protégeant la liberté académique universitaire, cette politique soutient la mission de l’Université, laquelle comprend la production et la transmission de connaissances par des activités de recherche, de création et d’enseignement et par des services à la collectivité.

Pour plus d’information, vous pouvez consulter la section Liberté académique universitaire.

Politique no 16 visant à prévenir et combattre le sexisme et les violences à caractère sexuel

Les violences à caractère sexuel se définissent comme étant des comportements, propos et attitudes à caractère sexuel non consentis ou non désirés, avec ou sans contact physique, incluant ceux exercés ou exprimés par un moyen technologique, tels les médias sociaux ou autres médias numériques. Les violences à caractère sexuel peuvent se manifester par un geste unique ou s’inscrire dans un continuum de manifestations et peuvent comprendre la manipulation, l’intimidation, le chantage, la menace implicite ou explicite, la contrainte ou l’usage de force.

Les violences à caractère sexuel incluent, notamment :

Pour consulter la politique no 16

https://instances.uqam.ca/wp-content/uploads/sites/47/2019/04/Politique_no_16_2.pdf

Pour obtenir de l’aide, faire une divulgation ou une plainte

Bureau d’intervention et de prévention en matière de harcèlement
514-987-3000, poste 0886

Pour obtenir la liste des services offerts à l’UQAM et à l’extérieur de l’UQAM

https://harcelement.uqam.ca

Soutien psychologique (Services à la vie étudiante)

514-987-3185
Local DS-2110

CALACS Trêve pour Elles – point de services UQAM

514 987-0348
[email protected]
http://trevepourelles.org

Service de la prévention et de la sécurité

514-987-3131

Politique no 44 d’accueil et de soutien des étudiant.e.s en situation de handicap 

Politique

Par sa politique, l’Université reconnait, en toute égalité des chances, sans discrimination ni privilège, aux étudiant.e.s en situation de handicap, le droit de bénéficier de l’ensemble des ressources du campus et de la communauté universitaire, afin d’assurer la réussite de leurs projets d’études, et ce, dans les meilleures conditions possibles. L’exercice de ce droit est, par ailleurs, tributaire du cadre réglementaire régissant l’ensemble des activités de l’Université.

Responsabilité de l’étudiant.e

Il incombe aux étudiant.e.s en situation de handicap de rencontrer les intervenant.e.s (conseiller.ère.s à l’accueil et à l’intégration du Service d’accueil et de soutien des étudiant.e.s en situation de handicap, professeur.e.s, chargé.e.s de cours, direction de programmes, associations étudiantes concernées, etc.) qui pourront faciliter leur intégration à la communauté universitaire ou les assister et les soutenir dans la résolution de problèmes particuliers en lien avec les limitations entraînées par leur déficience.

Service d’accueil et de soutien aux étudiant.e.s en situation de handicap

Le Service d’accueil et de soutien aux étudiant.e.s en situation de handicap (SASESH) offre des mesures d’aménagement dont peuvent bénéficier certains étudiant.e.s. Il est fortement recommandé aux de se prévaloir de ces services afin de réussir ses études, sans discrimination. Pour plus d’information, visiter le site de ce service : https://services.uqam.ca/services-offerts/soutien-aux-etudiants-en-de-situation-handicap/ et celui de la politique institutionnelle d’accueil et de soutien aux étudiant.e.s en situation de handicap : https://instances.uqam.ca/wp-content/uploads/sites/47/2018/05/Politique_no_44.pdf

Il est important d’informer le SASESH de votre situation le plus tôt possible :

Politique no 42 sur le harcelement

L’Université du Québec à Montréal (ci-après, l’« Université ») reconnaît à toutes les personnes membres de la communauté universitaire le droit d’être traitées avec dignité, équité et respect mutuel.

Toutes, tous sont susceptibles de subir du harcèlement. L’Université reconnaît que le harcèlement est majoritairement dirigé à l’endroit de certains groupes. Il s’agit notamment des femmes, plus particulièrement lorsque leur vécu se situe à l’entrecroisement de plusieurs formes de discrimination, des personnes issues des minorités sexuelles ou de genre, des communautés racisées ou ethnicisées, des communautés autochtones, des étudiantes, étudiants internationaux, ainsi que des personnes en situation de handicap. L’Université s’engage donc à tenir compte de leurs besoins spécifiques.

L’Université considère le respect mutuel, l’égalité, l’écoute et l’entraide comme des valeurs importantes qui favorisent l’épanouissement personnel ainsi que l’établissement de rapports harmonieux entre les personnes et entre les groupes, et qui permettent la mise en place d’un milieu sain et propice à la réalisation individuelle ou collective de sa mission universitaire.

L’Université croit que la collaboration de chaque personne et de chaque groupe de la communauté universitaire est essentielle pour favoriser la création d’un tel milieu et, en ce sens, elle compte sur la contribution de chaque personne.

L’Université juge que toute forme de harcèlement porte atteinte à la dignité et à l’intégrité physique ou psychologique d’une personne.

L’Université reconnaît sa responsabilité d’assurer un milieu de travail et d’études exempt de toute forme de harcèlement et veille à ce qu’aucune forme de harcèlement ne soit tolérée, quelle qu’en soit la source.

Pour plus de détails, consultez la politique complète : https://instances.uqam.ca/wp-content/uploads/sites/47/2018/05/Politique_no_42.pdf