Activités d'enseignement

ENAC

Cursus Ingénieur ENAC - IENAC

IENAC 1ère année tronc commun

  • Cours d'introduction à l'informatique : notions relatives aux réseaux, le web et la sécurité (3 H 30)
    • Le cours au format PDF est disponible ici,
    • La démonstration au format AVI de l'outil GoogleMaps est disponible (64 Mo).

IENAC 2ème année filière S (informatique et trafic aérien)

  • Sujet de projet tutoré proposé pour l'année scolaire 2010/2011 :

Création d'une interface graphique facilitant la rédaction de Profils de Protection

  • Mots-clefs : Interface Graphique, génération automatique de documentation
  • Compétences requises : langage Java
  • Compétences recommandées : manipulation du système Subversion (SVN)

L'objectif de ce projet est de réaliser une interface graphique (GUI) afin de réduire l'effort des utilisateurs dans la conception de documents spécifiques à la sécurité (Critères Communs), plus particulièrement dans l'écriture des exigences systèmes. Il n'est pas demandé de réaliser un PP ou un ST (les documents dont il faut générer des parties), il est demandé de réaliser une interface : l'utilisateur choisit ce qu'il souhaite voir apparaître et le programme génère le texte final.

Le début du projet commencera par une présentation par l'encadrant des documents textuels que l'utilisateur du GUI doit générer au final et l'intérêt de disposer d'un GUI pour accélérer l'écriture de certaines parties et la vérification de la cohérence de ces parties. Le GUI devra être convivial et ergonomique (la lecture de standards existants pourrait faciliter ces aspects). Il devra permettre à l'utilisateur de choisir facilement des exigences parmi une liste préétablie dans le standard fourni, lui permettre de personnaliser ces exigences quand c'est nécessaire, insérer automatiquement les exigences dépendantes, indiquer s'il reste des éléments indéfinis, générer le texte brut à intégrer dans le document de certification. Des snapshots d'un logiciel similaire, basé sur une interface web, conçu il y a quelques années durant une thèse danoise et tombé en désuétude sont disponibles et permettent d'avoir un aperçu du résultat attendu.

Le logiciel pourrait parallèlement être augmenté de capacités de sauvegarde/ouverture au format XML, de gestion de plusieurs utilisateurs travaillant simultanément, de confidentialité des données (un nom d'utilisateur/mot de passe pourrait être exigé pour accéder aux données XML), de gestion de branches (existence simultanée de plusieurs configurations parallèles ayant des sources communes), de gestion de configurations (disposer de points de sauvegarde dans le temps), de fonctions pour faciliter l'adaptabilité aux évolutions du standard (nouvelles exigences)… L'emploi de logiciels de gestion de configuration existants tel que SVN pourrait faciliter ces exigences : il est envisageable d'interfacer de manière ingénieuse ensemble le GUI et SVN ou de réutiliser les fichiers sources pour intégrer facilement et rapidement de nouvelles fonctionnalités puissantes… A terme, le GUI est destiné à être diffusé gratuitement en Open Source.

Tuteurs de projet : Antoine VARET & Nicolas LARRIEU.

Une présentation pdf décrivant les différentes phases du travail à aborder au cours de ce projet.

IENAC 2ème année filière L (éLectronique)

  • Sujet de projet tutoré proposé pour l'année scolaire 2010/2011 :

Vérification formelle d’un protocole de sécurité à l’aide d’un outil d’analyse automatique des failles de sécurité

L'application des techniques de vérification formelle à la sécurité a connu un essor sans précédent ces dernières années. Ces efforts ont permis, en particulier, la mise au point d'un certain nombre d'outils de vérification dédiés aux protocoles de sécurité comme AVISPA (Automated Validation of Internet Security Protocols and Applications). AVISPA est un outil servant à analyser des protocoles de sécurité, il fournit un langage formel expressif basé sur les rôles pour la spécification de protocole : le protocole à vérifier doit être traduit en langage HLPSL (High-Level Protocol Specification Langage) afin de s’assurer qu’il n’est pas vulnérable face aux attaques. Il propose une analyse entièrement automatique et recouvre un large spectre de protocoles prenant en compte certaines des propriétés des opérateurs cryptographiques connus (clés publiques ou symétriques, fonctions de hachage, etc). En effet, la complexité des protocoles développés, par exemple pour la négociation des mécanismes de sécurité supportés par deux entités voulant établir un échange sécurisé, justifie le recours à des techniques de modélisation et de validation formelle, permettant de vérifier les propriétés de sécurité requises pour le bon fonctionnement de ces protocoles. Ainsi, dans ce projet tutoré, on se propose d’utiliser l’outil d’analyse AVISPA afin de valider formellement un protocole existant intitulé SNSSP (Secure Negotiation of Supported Security Protocol). Ce dernier a été spécifié dans le cadre du projet FAST mené au sein du laboratoire LEOPART de l’ENAC afin de définir une architecture de sécurité adaptative pour les communications aéronautiques du futur. Le rôle du protocole SNSSP est d’établir une base de données commune entre un client à bord d’un avion et un serveur au sol. Cette base contient l’ensemble des mécanismes de sécurité pouvant être utilisés pour sécuriser les échanges air-sol. Le travail qui constitue une introduction aux concepts de sécurité informatique qui seront développés au cours de la troisième année du cursus IENAC sera divisé en trois étapes :

  1. Phase de documentation : les étudiants se familiariseront avec l’outil AVISPA, le langage HLSPL, ainsi que les spécifications formelles du protocole SNSSP. Quelques tests pourront être exécutés en amont (sur le protocole d’authentification de Needham-Schroeder, par exemple) afin de comprendre le fonctionnement de l’outil AVISPA et de la vérification formelle des protocoles de sécurité en général. Les notions fondamentales de sécurité seront aussi abordées lors de cette phase ;
  2. Spécification du protocole SNSSP en HLPSL : la deuxième partie du travail consiste à réécrire le protocole (dont la spécification a déjà été réalisée) en langage HLPSL. Les étudiants pourront se servir de l’outil SPAN (Security Protocol ANimator for AVISPA) afin d’automatiser le passage en langage HLPSL ;
  3. Vérification des spécifications du protocole SNSSP avec l’outil AVISPA : cette dernière étape consiste à utiliser l’outil AVISPA pour vérifier la robustesse du protocole SNSSP face aux différentes attaques connues. Par exemple, il s’agit de tester si un intrus peut déchiffrer un message avec les informations qu’il a en sa possession, ou qu’il peut acquérir en se faisant passer pour un autre agent. Une synthèse des résultats fournis par l’outil AVISPA permettra d’identifier d’éventuelles failles dans le protocole, ce qui nécessitera une correction au niveau des spécifications de SNSSP afin d’avoir un protocole immunisé et parfaitement opérationnel.

Rapport de projet au format PDF.

Tuteurs de projet : Nicolas LARRIEU & M. Slim BEN MAHMOUD.

  • Sujet de projet tutoré proposé pour l'année scolaire 2009/2010 :

Proposition d'une infrastructure à clés publiques originale adaptée au contexte aéronautique

De part l'évolution des réseaux de communications, Internet en particulier, les échanges se sont multipliés entre les différents acteurs tels que les entreprises ou les particuliers. Cependant, il est indéniable que face à des attaques de plus en plus sophistiquées, il est devenu primordial de pouvoir identifier avec certitude les différents interlocuteurs.

Pour cela, plusieurs moyens techniques ont été mise en oeuvre et les certificats numériques sont une composante importante de ce dispositif. En effet, les certificats (de type X.509 par exemple) permettent d'assurer l'identité d'une entité impliquée dans une communication. Quand le nombre des entités augmente, la gestion des différents certificats associés aux entités présentes dans le réseau est assurée par une infrastructure à clés publiques (appelée PKI pour Public Key Infrastructure). Généralement, une PKI est présentée comme un ensemble d'équipements physiques et de composants logiciels permettant de gérer le cycle de vie des certificats numériques.

Plusieurs versions de PKI ont été proposées et adaptées à des contextes bien particuliers comme, par exemple, les réseaux ad-hoc véhiculaires (VANETs). Par contre, dans le domaine aéronautique, très peu de solutions ont été présentées. De plus, une PKI ayant une architecture “traditionnelle” ne serait pas adaptée à une communication air-sol. En effet, une des composantes fondamentales d'une PKI est l'autorité de certification (appelée CA pour Certification Authority). Son rôle est de gérer la mise en place des certificats et leur révoquation si nécessaire. L'échange des certificats, de liste de révocation et de paire de clés publique/privée implique un grand nombre de messages échangés entre l'utilisateur final et la CA. Il est facile d'imaginer que ce nombre explosera au vue du nombre d'avions dans le ciel à un instant T et au nombre d'utilisateurs à bord de chaque avion (utilisateurs qui peuvent très bien être des passagers utilisant le service Internet à bord ou un membre de l'équipage communiquant avec une entité au sol).

Ainsi, l’objectif du projet sera de proposer une nouvelle architecture PKI adaptée au contexte aéronautique et permettant de limiter les messages échangés entre l'avion et le sol. La notion de PKI hiérarchique sera de mise, c'est à dire qu'à bord de chaque avion, une CA sera responsable du sous-ensemble d'entités à bord limitant ainsi les communications entre les utilisateurs et la CA “racine” au sol. Seules les certifications croisées entre cette CA déployée au sein de l’avion et la CA racine seront concernées par les échanges air-sol.

Le projet se décompose en deux étapes :

  • Une première étape d'état de l'art des architectures PKI permettra aux étudiants de se familiariser avec les concepts fondamentaux d'une PKI et d'évaluer comment cette solution est utilisée dans le domaine de la sécurité des communications. Un ensemble de documents de référence sur les PKI existantes sera fourni au début du projet.
  • Dans une deuxième étape, les principes de la nouvelle architecture adaptée au contexte aéronautique seront détaillés. Les étudiants auront à définir un sous-ensemble de cette architecture en s’appuyant sur l'état de l'art précédemment réalisé et à évaluer le gain en nombre de messages (signalisation et donnée) échangés par rapport à une PKI dite “classique”. La formalisation de l’architecture PKI aéronautique pourra être abordée par l’intermédiaire de la méthode UML (“Unified Modeling Language”).

On pourra considérer, au vue de l'état de l'avancement des travaux, une troisième étape permettant de finaliser le projet en développant une instance du modèle de cette PKI aéronautique au moyen d’un simulateur comme OPNET afin d'évaluer le gain en terme de diminution du trafic de signalisation généré par les mécanismes de gestion des clés.

Rapport de projet au format PDF.

Tuteurs de projet : Nicolas LARRIEU & M. Slim BEN MAHMOUD.

  • Projets tutorés proposés les années précédentes :
    • Développement d’un module de décodage logiciel WIRESHARK pour le trafic radar au format ASTERIX (version 2) rapport au format PDF
    • Développement et déploiement d’une application distribuée d’administration pour le parc de machines de la subdivision ELR (version 2) rapport au format PDF

IENAC 3ème année option TR (Télécoms et Réseaux)

  • Enseignements :
    • Techniques et mécanismes de sécurité réseau (10 H de cours + 4 H de TP)
    • Techniques et outils de métrologie pour l’Internet (3 H de cours + 5 H de bureau d'étude (VF) - sujet du BE en accès restreint)
  • Sujet de projet tutoré proposé pour l'année scolaire 2011/2012 :

Étude de la compatibilité d'implémentations IKEv2

Le détail du sujet est disponible ici.

  • Sujet de projet tutoré proposé pour l'année scolaire 2010/2011 :

Etude d'un système de détection d'intrusion comportemental pour l'analyse du trafic aéroportuaire

L'objectif de ce projet est d'évaluer les méthodes de détection d'intrusion comportementales par rapport aux méthodes classiques dans le cadre d'un trafic réseau d'aéroport.

Le binôme aura en charge l'étude théorique de ces nouvelles méthodes, leur mise en œuvre sur une plateforme de test et leur évaluation sur du trafic réel collecté dans le centre aéroport du CESNAC de Bordeaux.

Ce projet tutoré comportera trois phases :

  • Etat de l'art des outils IDS basé signature et comportementaux (basé profil), le travail se focalisera sur la partie Network IDS. Dégager les avantages et inconvénients des deux méthodes, faire le lien avec le trafic du centre de Bordeaux possédant plutôt un aspect stable et régulier (apport des outils comportementaux) ;
  • Déploiement d'une plateforme de test à l'ENAC, choisir un outil représentatif de chaque famille (il faudra étudier si l'outil Snort (http://www.snort.org) possède déjà quelques modules de détection d'intrusion basés profil) ;
  • Validation de la méthode de détection des intrusions sur un trafic de test capturé en centre et rejoué en local (lien avec la DSNA-DTI pour ce dernier point qui nous fournira du trafic capturé sur le centre de Bordeaux).

Concernant ce dernier point il semble a priori plus simple dans un premier temps de faire travailler les étudiants sur une plateforme locale, pour cela la DSNA-DTI et le CESNAC nous mettrons à disposition plusieurs extraits de trafic réseau collectés en DMZ, que nous pourrons ainsi rejouer en local sur la plateforme expérimentale pour ainsi valider les principes de détection des deux méthodologies sur ce trafic de test.

Dans un deuxième temps et en fonction de la rapidité d'avancement des étudiants on pourra envisager un déploiement de la solution sur site (CESNAC Bordeaux).

Un complément d'information pour les outils de rejeu qui sont envisageables est disponible ici (Ostinato ou un plus ancien TCPReplay) : http://linuxfr.org/2010/04/16/26740.html

Pour ce qui de l'anonymisation des traces qui pourra être envisagé pour exploiter les traces mise à disposition par le CESNAC et la DTI, un article intéresant sur l'outil PktAnon développé par l'université de Karlsruhe est disponible ici : http://www.ghatrifi.com/2010/01/06/pktanon-un-framework-pour-lanonymat-des-traces-pcap

Rapport de projet au format PDF.

Tuteurs de projet : Nicolas LARRIEU & Pierre-Marie BESSERER.

  • Sujets de projets tutorés proposés pour l'année scolaire 2009/2010 :

Sujet #1 : Prise en main, configuration et évaluation des performances d'un “framework” logiciel de gestion de la sécurité d'un SSI dans le cadre d'un réseau d'entreprise privé.

L'outil qui sera évalué dans un contexte d'émulation réseau est la suite logicielle Metasploit. Il permet de tester, déployer et valider une suite de codes logiciels de type “exploits” dans un environnement distribué. La mise en place de cette architecture se fera à l'aide de machines virtuelles mises en oeuvre par le logiciel Marionnet.

Le travail de projet se déroulera en deux phases. Premièrement il sera nécessaire que les étudiants prennent en main l'environnement de travail proposé :

  • L'outil d'émulation réseau Marionnet,
  • La distribution Linux Backtrack adaptée à la problématique de gestion de la sécurité (batterie de tests d'intrusion disponibles),
  • Le “framework” logiciel Metasploit.

Dans cette première phase du travail, il sera nécessaire de déployer une architecture réseau hétérogène permettant de disposer de différents systèmes d'exploitation (Windows 2000, Windows XP, Linux Debian, Linux Ubuntu) et de différents domaines réseaux les interconnectant.

Dans un deuxième temps, les étudiants utiliseront les fonctions d'audit système et réseau de Metasploit et divers autres outils disponibles dans la distribution Linux Backtrack pour mettre en évidence les failles de sécurité des différents équipements et systèmes d'exploitation mis en place lors de la première phase du travail. Cette deuxième phase devra permettre d'évaluer l'ensemble des fonctionnalités de Metasploit et de mettre en avant les principales faiblesses des systèmes audités.

Le projet tutoré se concluera par un rapport de projet (quelques exemples du travail attendu sont par ailleurs disponibles sur cette page) et une présentation orale dans laquelle une démonstration de la plateforme déployée sera réalisée.

Rapport de projet au format PDF.

Tuteurs de projet : Nicolas LARRIEU & Fabien GARCIA.

Sujet #2 : Etude de l'impact d'un déploiement d'une architecture de sécurité multi-domaines dans un contexte aéronautique : prise en compte de la problématique de mise à l’échelle pour ce qui est de la gestion des échanges en environnement sécurisé aéronautique.

A titre d’exemple, dans le ciel français, le nombre moyen d’avion à un instant T approche les 400 avec plusieurs services (passagers et/ou compagnie) pouvant opérer en même temps dans chaque avion. Le nombre élevé des échanges qui en résultent nécessite de proposer des solutions permettant par exemple une gestion optimisée des clés de session entre usagers. L'objet du projet tutoré est de modéliser ces échéanges en simulation (outil OPNET par exemple) et d'évaluer l'impact en terme “d'overhead” réseau des politiques de gestion des clés dans le système et des politiques d'échanges des données en mode sécurisé.

Pour mener à bien cette étude, les étudiants auront à leur disposition un modèle agrégé du trafic émis par un avion en situation nominale (i.e. sans mécanisme de sécurité) et du trafic résultant de l'activation des divers mécanismes de sécurité pour l'ensemble des services fournis à bord de l'avion.

L'objet de l'étude portera sur :

  1. La définition de la topologie du ciel français,
  2. La simulation des échanges pour l'ensemble des avions présents dans le ciel français pour les scénarios définis,
  3. La prise en compte des services de sécurité activés pour la génération des clés de session nécessaires pour l'échange des données en mode sécurisé.

Pour ce dernier point, il sera nécessaire d'étudier les avantages et inconvénients d'une infrastructure de gestion de la sécurité de type PKI (Pulic Key Infrastructure) par exemple.

Le projet tutoré se concluera par un rapport de projet (quelques exemples du travail attendu sont par ailleurs disponibles sur cette page) et une présentation orale.

Rapport de projet au format PDF.

Tuteurs de projet : Nicolas LARRIEU & M. Slim BEN MAHMOUD.

  • Projets tutorés proposés les années précédentes :
    • Configuration d'un routeur Wifi au sein du LTST rapport au format PDF
    • Développement et déploiement d’une application distribuée d’administration pour le parc de machines de la subdivision ELR (version 1) rapport au format PDF
    • Développement d’un module de décodage logiciel WIRESHARK pour le trafic radar au format ASTERIX (version 1) rapport au format PDF

Master "Cooperative Avionics"

  • Overview of datalink security techniques: notions for secure aeronautical datalink systems (4 H de cours dispensées en langue anglaise) : cours avancé sur les futures techniques et architectures de sécurité des communications sol-bord aéronautiques (support de cours au format PDF)

Master "CNS Air Trafic Management"

  • Security and QoS for Networking (3 H de cours dispensées en langue anglaise) : cours d'introduction ayant pour objectif une vulgarisation des principales notions de sécurité informatique et réseau pour un public d’étudiant en master non spécialiste du domaine

Cursus Ingénieur Electronicien des Systèmes de la Sécurité Aérienne - IESSA

  • NARCISSE (Nouvelle ARChitecture d’Interconnexion SécuriSéE) : formation continue, prochaine session mars 2011 (4 jours de formation)
    1. Archive des cours (journalisation, CISCO PIX et ARKOON)
    2. Pour ceux qui veulent aller plus loin (archive cours et TD METASPLOIT)
  • SECRE (SECurité des Reseaux) : formation continue (présentation DTI en téléchargement), prochaine session mars 2011 (5 jours de formation)

Informations pratiques

Accès aux emplois du temps ADE ENAC (accessible uniquement depuis l'intranet de l'école et un navigateur IE)

INSA de Toulouse

5ème année filière Réseaux et Télécommuncations

  • Bureau d'étude “ingénierie des réseaux” (12 H de TP - accès restreint)

Informations pratiques

Accès aux emplois du temps ADE INSA

activites_d_enseignement.txt · Dernière modification: 2014/08/04 16:33 par nlarrieu
Haut de page
CC Attribution-Noncommercial-Share Alike 3.0 Unported
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0