Recrutement
Si vous êtes intéressés pour bosser sur des sujets sympas tout en restant loin de Paris, consultez nos offres d'emploi et envoyez nous votre CV à rh@amossys.fr.

Sujets de stage 2020-2021

Publication des offres de stage pour l'année 2020-2021.

Pourquoi venir en stage à AMOSSYS ?

Tu es passionné(e) par la cybersécurité ? Tu recherches un sujet de stage technique et challengeant ? Tu aimerais travailler dans une entreprise à taille humaine, dynamique et en croissance ?

Tu as répondu oui aux trois questions précédentes ? Postule à l’offre de stage qui t’intéresse et rejoins-nous !

Comment postuler ?

Merci d'envoyer ta candidature (CV et lettre) et la référence de l'offre à laquelle tu souhaites postuler à rh@amossys.fr

Liste des stages

[STAGE-2021-1-CERT] Développement d'outils d'aide à la réponse à incident

Description & organisation

Membre de l’équipe CERT, votre stage consistera à monter en compétences sur les techniques et méthodes utilisées au sein du CERT-AMOSSYS et de participer au développement de l’outillage nécessaire à l’équipement de l’équipe et à la réalisation des investigations. Les sujets pressentis pourront être (liste non exhaustive et non définitive) :

  • Mise en place d’une plateforme d’analyse de journaux
  • Outils de manipulation et parsing de métadonnées techniques
  • Amélioration et complétion des outils d’analyse existants du CERT-AMOSSYS

Le stage s’organisera de la manière suivante :

  • Phase 1 : montée en compétences sur les méthodes du CERT-AMOSSYS
  • Phase 2 : développement des outils et plateformes demandées
  • Phase 3 : complétion des procédures d’analyse du CERT-AMOSSYS, en accord avec les outils développés
  • Phase 4 : intégration des outils développés dans la plateforme d’analyse interne du CERT-AMOSSYS

Profil souhaité

  • Niveau de qualification en cours : Bac+5 dans le domaine de la sécurité informatique
  • Compétences requises :
    • Connaissances des mécanismes internes Windows
    • Connaissances réseau, en particulier sur les protocoles courants
    • Développement Python et API Microsoft Windows
  • Compétences souhaitées : Administration système Windows/Linux

Motivé(e) et curieux(se), vous disposez de bonnes capacités d’analyse, aimez travailler en équipe et faites preuve d’autonomie. Vous détenez de bonnes qualités de communication orales et écrites et avez un niveau d’anglais professionnel.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-1-CERT
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-2-RTA] Red Team Automation

Description & organisation

AMOSSYS développe une plateforme d’exécution automatique d’attaques afin d’évaluer et de tester différents systèmes. Cette thématique, également appelée « Adversary Simulation » ou « Red Team Automation » dans la littérature scientifique, a pour objectif la simulation de scénarios et d’étapes d’attaque caractéristiques de ce que peut réaliser un attaquant vis-à-vis d’un environnement cible. Vous interviendrez sur cette plateforme, en identifiant et développant des scénarios réalistes d’attaquant de type APT.

Le stage s’organisera de la manière suivante :

  • Phase 1 : recherche et analyse de rapports d’attaques de type APT
  • Phase 2 : définition de scénarios d’attaque basés sur les rapports
  • Phase 3 : développement d’attaques
  • Phase 4 : lancement de scénarios d’attaque en s'appuyant sur le Cyber Range d'AMOSSYS

Profil souhaité

  • Niveau de qualification en cours : Bac+5 en sécurité informatique ou développement
  • Compétences requises : Développement logiciel (Python à minima)
  • Compétences souhaitées :
    • Connaissances de techniques et d’outils d‘attaque (Metasploit)
    • Administration systèmes/devops

Disposant d’un profil « DevOps », vous avez un fort intérêt pour la sécurité. Vous faites preuve d’autonomie et êtes force de proposition.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-2-RTA
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-3-FLUXSECU] Étude et automatisation de l'interception de flux sécurisés

Description & organisation

Dans le cadre de ces activités de recherche de vulnérabilités, AMOSSYS est amené à analyser des produits distribués ou communiquant avec un service Cloud. L’analyse de ces communications est donc importante.

Un des prérequis à ces travaux d’analyse consiste à se positionner en homme du milieu, pour lire et/ou modifier les communications. La difficulté réside ici dans le contournement ou la désactivation des protections mises en place par l’éditeur où celles inhérentes à l’utilisation d’un protocole en particulier (TLS, IPsec, etc.). Traditionnellement, l'interception des communications se fait avec une attaque de l'homme du milieu, et implique l'interception de flux ainsi que le vol ou l'abus de certificats et clés privées ou secrètes. Ici, le stage propose d'effectuer une interception des communications en s'appuyant sur une introspection de la mémoire de processus (client ou serveur). Cela permet, soit d'intercepter directement les communications en mémoire, soit de voler les clés privées ou de session pour déchiffrer des sessions enregistrées.

L’objectif de ce stage, sera donc de réaliser un guide permettant aux reversers de choisir la bonne méthode pour intercepter les flux et de leur proposer des scripts ou exploits permettant d’accéder aux communications.

Le stage s'organisera de la manière suivante :

  • Phase 1 : état de l’art sur la protection des communications :
    • Protocoles utilisés
    • Moyens de MITM sur ces protocoles
    • Mécanismes de protection présents (liés au protocole utilisé ou implémentés par les éditeurs)
  • Phase 2 : rédaction d’un guide et développement d’outils / scripts

Profil souhaité

  • D’un niveau de qualification Bac +5 en cours, ce stage peut s’adresser à plusieurs profils d’étudiant :
    • Un profil « cryptographie » qui souhaite découvrir ou monter en compétence en rétro-ingénierie (utilisation de FRIDA, IDA Pro/Ghidra, etc.)
    • Un profil « reverser » ayant des bases en cryptographie (ou souhaitant les acquérir) afin de comprendre les faiblesses de protocoles cryptographiques et implémenter les attaques
  • Compétences requises :
    • Reverse (Python, Frida, WinDBG, IDA Pro, Ghidra)
    • et/ou Cryptographie (mécanismes cryptographiques mis en œuvre dans TLS, IPsec, etc.)

Motivé(e), vous disposez d’un bon esprit de synthèse et d’analyse.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-3-FLUXSECU
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-4-CLIPOS] Analyse des mécanismes de sécurité CLIP OS

Description & organisation

CLIP OS (https://clip-os.org/) est un système d’exploitation multiniveau et durci développé par l’ANSSI. Ce système d’exploitation met donc en œuvre des mécanismes de durcissement évolués intéressants à étudier.

L’objectif de ce stage est d’étudier ces mécanismes de durcissement dans le but, notamment, de monter en compétences sur ces mécanismes et sur le fonctionnement de systèmes d’exploitation Linux.

Ce stage pourra se dérouler sous la forme d’une évaluation de sécurité :

  • Identification des fonctions de sécurité apportées par CLIP OS
  • Étude de ces fonctions de sécurité
    • Compréhension de leur fonctionnement
    • Étude de la mise en œuvre dans CLIP OS
    • Identification de mauvaises pratiques et recherche de vulnérabilités

Tout au long du stage, le stagiaire devra :

  • Documenter les éléments identifiés
  • Réaliser des scripts pour récupérer les configurations et tester la cible

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans la sécurité informatique
  • Compétences requises :
    • Sécurité informatique
    • Connaissances du fonctionnement des systèmes Linux
  • Compétences souhaitées :
    • Fonctionnement interne des conteneurs
    • Scripting

Motivé(e), vous possédez un esprit de synthèse et de bonnes capacités d’analyse. Vous disposez de bonnes capacités rédactionnelles.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-4-CLIPOS
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-5-TRUSTZONE] Analyse de la technologie TrustZone

Description & organisation

ARM TrustZone est une technologie permettant de disposer de deux environnements d’exécution :

  • Le premier correspond au système d’exploitation « classique »
  • Le deuxième consiste en une enclave sécurisée permettant d’exécuter du code critique ou de manipuler des éléments secrets

Ce stage aura pour objet d’étudier une implémentation de TrustZone afin d’identifier la surface d’attaque typique de ce produit. En fonction des résultats de cette analyse, le stagiaire choisira un ou plusieurs axes d’attaque afin de :

  • Développer des outils permettant de tester le mécanisme cible
  • Tester ce mécanisme

Le stage s'organisera de la manière suivante :

  • Phase 1 : analyse de la surface d’attaque des implémentations TrustZone
  • Phase 2 : choix d’un ou plusieurs axes à étudier
  • Phase 3 : réalisation de l’étude (développement de script, fuzzing / recherche de vulnérabilités)

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans la sécurité informatique
  • Compétences requises :
    • Sécurité informatique
    • Android
    • Fonctionnement des processeurs
  • Compétences souhaitées :
    • Fonctionnement de TrustZone
    • Python

Motivé(e), vous faites preuve d’autonomie et disposez d’un bon esprit de synthèse.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-5-TRUSTZONE
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-6-HTTP3] Etude du protocole HTTP/3 et implémentation

Description & organisation

Dans le cadre de ses activités d’évaluation et de R&D notamment, AMOSSYS est amené à étudier le fonctionnement des piles réseau de produits, analyser leur robustesse et y rechercher des vulnérabilités. Pour cela, AMOSSYS dispose d’outils en interne capables d’effectuer :

  • De la rétro-ingénierie de protocoles
  • De la modélisation de protocoles
  • Du fuzzing de protocoles (fuzzing des messages ou de la machine à état du protocole)

Bien que faisant l’objet de spécifications encore en version préliminaire, le standard HTTP/3 fait l’objet d’implémentations déjà déployées. AMOSSYS souhaite étudier ce nouveau standard et la robustesse des implémentations disponibles. L’objectif de ce stage est donc de :

  • Étudier le fonctionnement du protocole HTTP/3
  • Mettre à jour les outils utilisés et développés en interne, permettant l’analyse de protocoles (https://github.com/netzob/netzob par exemple)
  • Rechercher des faiblesses ou vulnérabilités dans les implémentations existantes du protocole

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans la sécurité informatique
  • Compétences requises :
    • Sécurité informatique
    • Réseaux
  • Compétences souhaitées :
    • Développement Python
    • Wireshark

Doté(e) d’un bon esprit d’analyse, vous aimez travaillez en équipe et êtes force de proposition.

Modalités

  • Type de contrat et durée : stage de 4 à 6 mois
  • Référence : STAGE-2021-6-HTTP3
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)

[STAGE-2021-7-DEV] Développement web et applicatif

Description & organisation

En conséquence de l’accroissement de la taille des équipes et de la diversification des activités, AMOSSYS est amené à faire évoluer ses outils de gestion internes, tel qu’un outil spécifique de planification ou un intranet.

La majorité de nos outils a été développée par nos équipes de R&D, en Python 3 et en PHP. Au fil des années, certains outils ont été amenés à évoluer pour suivre l’évolution des technologies, devenir plus modulaires et interdépendants.

L’objectif de ce stage, sera donc de prendre en main les outils existants puis d’implémenter les évolutions qui ont déjà été identifiées.

Le stage s'organisera de la manière suivante :

  • Phase 1 : découverte des outils internes
    • Environnement de développement et d’intégration
    • Schedule (service de planification collaboratif)
    • Intranet (service de comptabilité et de gestion de projet)
  • Phase 2 : implémentation des actions identifiées

Profil souhaité

  • Niveau de qualification en cours : Bac +2 ou Bac +3 en informatique ou développement
  • Compétences requises : Développement web
  • Compétences souhaitées :
    • Web : Javascript et HTML
    • Applicatif : Python et PHP

Ce stage s’adresse en priorité à un profil développeur ayant une maîtrise significative en Python, PHP, Javascript et HTML.

Pragmatique, vous aimez travailler en équipe et serez actif dans votre intégration en son sein.

Modalités

  • Type de contrat et durée : stage de 3 mois minimum
  • Référence : STAGE-2021-7-DEV
  • Localisation : Rennes (35)
  • Rémunération : en fonction du niveau d’études
  • Avantages : titres-restaurant ; chèques culture, vacances (selon les évènements lors du stage)