ZerosquareLe 29/07/2016 à 04:35
Je 
ne ce que dit Folco.
Vu leur métier, j'imagine que les questions liées à la sécurité et aux possibilités de l'info doivent les intéresser particulièrement. Ça peut être un angle d'approche. Quelques exemples qui me viennent à l'esprit, en vrac :
- tu pars de l'exemple d'un site web qui se fait dérober les mots de passe de ses utilisateurs : c'est l'occasion d'expliquer les principes de base d'une BDD, comment fonctionne une injection SQL (donc aussi le principe des séquences d'échappement, les risques de cette approche, pourquoi blacklister des mots-clés est une fausse bonne idée, etc.), ce que sont le hashing / salting et pourquoi c'est important (avec au passage le concept de fonction asymétrique et d'attaque de préimage)...
- tu pars de l'exemple d'un malware destiné à espionner une personne ou une entreprise stratégique : zou, tu peux parler de ce que sont les buffers overflows (donc de la gestion de la mémoire, de la différence sur ce point entre des langages comme le C et le C# et des conséquences qui en découlent, des principes des parades comme l'ASLR...), des failles logicielles en général (donc de la quasi-impossibilité concrète de faire de la validation mathématique en-dehors de quelques domaines particuliers, de la vérification des données en entrée, de l'importance des tests et de la notion de couverture de code...), expliquer pourquoi un antivirus commercial ne peut pas grand-chose contre ce genre de menaces (limitations de la détection par signature, notion de code polymorphe, imperfection des solutions de virtualisation qui permettent au code de les détecter voire de les traverser...), etc.
- tu pars de l'exemple du chiffrement des données confidentielles, transactions bancaires sur le Web et tutti quanti : hop, tu peux montrer comment fonctionnent les différents algos de crypto, depuis des trucs très simples comme le code de César ou la substitution jusqu'aux bases de la crypto asymétrique. Parler de comment le chiffrement est cassé te permet d'aborder les notions de complexité algorithmique, de hash tables, de temps d'exécution (et le principe des timing attacks)...
- y'a encore plein d'autres possibilités comme thèmes de base concrets : les moteurs de recherche, le peer-to-peer, l'analyse de données automatisée (la reconnaissance des visages dans une foule, la "prédiction" des crimes, le deep-packet inspection...)
Évidemment, c'est très large et moins formel qu'un cours "classique", mais je pense que ça peut être motivant - et il y a moyen de faire des TPs d'illustration assez facilement. Tu peux aussi mixer ça avec une approche plus traditionnelle
comment ça, ça se voit que je compte sur toi pour former des juges/procureurs qui racontent moins de bêtises quand il s'agit d'info ?
ne ce que dit Folco.Vu leur métier, j'imagine que les questions liées à la sécurité et aux possibilités de l'info doivent les intéresser particulièrement. Ça peut être un angle d'approche. Quelques exemples qui me viennent à l'esprit, en vrac :
- tu pars de l'exemple d'un site web qui se fait dérober les mots de passe de ses utilisateurs : c'est l'occasion d'expliquer les principes de base d'une BDD, comment fonctionne une injection SQL (donc aussi le principe des séquences d'échappement, les risques de cette approche, pourquoi blacklister des mots-clés est une fausse bonne idée, etc.), ce que sont le hashing / salting et pourquoi c'est important (avec au passage le concept de fonction asymétrique et d'attaque de préimage)...
- tu pars de l'exemple d'un malware destiné à espionner une personne ou une entreprise stratégique : zou, tu peux parler de ce que sont les buffers overflows (donc de la gestion de la mémoire, de la différence sur ce point entre des langages comme le C et le C# et des conséquences qui en découlent, des principes des parades comme l'ASLR...), des failles logicielles en général (donc de la quasi-impossibilité concrète de faire de la validation mathématique en-dehors de quelques domaines particuliers, de la vérification des données en entrée, de l'importance des tests et de la notion de couverture de code...), expliquer pourquoi un antivirus commercial ne peut pas grand-chose contre ce genre de menaces (limitations de la détection par signature, notion de code polymorphe, imperfection des solutions de virtualisation qui permettent au code de les détecter voire de les traverser...), etc.
- tu pars de l'exemple du chiffrement des données confidentielles, transactions bancaires sur le Web et tutti quanti : hop, tu peux montrer comment fonctionnent les différents algos de crypto, depuis des trucs très simples comme le code de César ou la substitution jusqu'aux bases de la crypto asymétrique. Parler de comment le chiffrement est cassé te permet d'aborder les notions de complexité algorithmique, de hash tables, de temps d'exécution (et le principe des timing attacks)...
- y'a encore plein d'autres possibilités comme thèmes de base concrets : les moteurs de recherche, le peer-to-peer, l'analyse de données automatisée (la reconnaissance des visages dans une foule, la "prédiction" des crimes, le deep-packet inspection...)
Évidemment, c'est très large et moins formel qu'un cours "classique", mais je pense que ça peut être motivant - et il y a moyen de faire des TPs d'illustration assez facilement. Tu peux aussi mixer ça avec une approche plus traditionnelle
comment ça, ça se voit que je compte sur toi pour former des juges/procureurs qui racontent moins de bêtises quand il s'agit d'info ?
