Mon réseau d’entreprise

3.3 Sensibilisation à l’hygiène informatique

Précédent   Suivant

Il s’agit pour l’étudiant de se confronter aux risques potentiels pris par l’usager d’un environnement numérique et de lui fournir les réflexes afin de devenir un usager conscient, averti et responsable. L’hygiène informatique et les bonnes pratiques de l’usage du numérique sont des connaissances que doivent maîtriser et appliquer les étudiants avant d’aller en stage/alternance en entreprise, où ils devront respecter la charte informatique imposée par la DSI. A plus long terme, en tant que professionnels des services informatiques de l’entreprise, ils auront à leur tour à charge de sensibiliser les utilisateurs et de leur faire connaître et accepter la charte de bon usage des moyens informatiques.

3.3.1 Tâches à faire

3.3.2 Projet

Chaque groupe de Travaux pratiques s’organisera en quatre groupes de projets. Il faudra :

• 1. constituer les groupes rapidement ;

• 2. identifier le type de sujet choisi ;

• 3. choisir un sujet ;

• 4. soutenir en fin de semestre.

Le type de sujet peut être :

• • technique (une réalisation pratique) ;

• • pédagogique (utiliser un site d’autoformation comme root.me ou un MOOC) ;

• • évaluation d’une solution du point de vue de la sécurité ;

• • de type journaliste scientifique (explication des concepts).

Chaque sujet ne pourra être traité que par un seul groupe par groupe de TP. Il est donc possible que le même sujet soit traité par plusieurs groupes (dans deux TPs différents).

3.3.2.1 Sujets techniques

C’est un projet qui s’oriente vers une réalisation. Il faut donc mettre en place une solution ou une démonstration. Il faut :

• • identifier les tâches de chaque participants ;

• • réaliser ces tâches en produisant de la documentation pour préparer la soutenance ;

• • Présenter une ou plusieurs démonstration, chaque étudiant devra donc en amont de la soutenance présenter sa partie ;

• • Présenter le projet en considérant que des auditeurs non techniques seront dans la salle.

Voici des exemples de projets :

KeepassXC

https://keepassxc.org/, voir https://connect-ed-diamond-com.lama.univ-amu.fr/Linux-Pratique/lp-117/gerez-protegez-et-partagez-vos-mots-de-passe-avec-keepassxc.

Il faudrait (au moins) :

• 1. mettre en place KeepassXC sur un ordinateur GNU/Linux et un téléphone ;

• 2. montrer que les mots de passes sont liés ;

• 3. extraire les mots de passe de la base de données ;

• 4. installer la base de données sur un autre serveur ;

• 5. détailler l’architecture.

Vie privée

montrer comment il est possible de protéger sa vie privée. Pour cela, il faut utiliser un mécanisme utilisant le routage oignon :

• 1. Expliquer ce qu’est un rougage oignon et lister les solutions ;

• 2. préparer une démonstration de TOR https://www.torproject.org/ ;

• 3. préparer une démonstration de Tails https://tails.boum.org/ (https://connect-ed-diamond-com.lama.univ-amu.fr/Linux-Pratique/lp-092/tails-protegez-votre-vie-privee-sans-rien-installer)

• 4. Montrer les solutions pour protéger son navigateur contre la publicité ;

• 5. Montrer les solutions, comme NoScript pour se protéger des logiciels installés dans le navigateur par le site internet.

Surveillance de site Web

Il faut trouver des outils et les utliser pour :

• • détecter si un serveur web n’est plus accessible

• • détecter si une page web n’est plus accessible

• • détecter si une page web a été modifiée (attention aux sites dynamiques)

• • détecter les liens morts (soit en local, soit à travers un serveur web).

KVM/VNC

Kvm peut ouvrir un serveur VNC pour pouvoir récupérer la machine virtuelle. Ce serveur n’est pas à priori sécurisé. Il est possible de protéger son accès en ajoutant un mot de passe.

• • Mettre en place un serveur VNC protégé par un mot de passe ;

• • utiliser hydra pour le craquer (tester avec plusieurs mots de passe, du plus simple au plus complexe)

• • Ajouter la sécurisation par clefs

• • Peut on chiffrer la connexion ?

3.3.2.2 Journalistes

nmap

Le logiciel nmap est très souvent utilisé dans les films de geeks, voir https://nmap.org/movies/ :

• • Matrix Reloaded

• • Ocean’s 8

• • Snowden

• • Dredd

• • Elysium

• • Fantastic Four

• • Bourne Ultimatum

• • Die Hard 4

• • …

Il faut choisir un film par étudiant et reproduire l’utilisation.

Cyberguerre

Daniel Ventre, dans le magazine Misc a rédigé plusieurs articles sur le sujet. https://connect-ed-diamond-com.lama.univ-amu.fr/search/node?keys=&date_interval=0&domains%5B%5D=74487&authors%5B%5D=71191

Il faudrait présenter ce qu’est la cyberguerre actuellement et de présenter la vision de l’auteur sur le sujet, en particulier en présentant le comportement de certains pays (Chine, Corée du Nord, Iran, Japon, France)

GAFAM

Choisissez un membre du GAFAM ou un produit célèbre, comme zoom, et étudiez :

• • La liste des services ouverts

• • Le modèle économique

• • La licence d’utilisation d’un produit

• • Les critiques de sécurité

Il faudra conserver l’origine des documents en expliquant pourquoi ce document est crédible.

Services secrets

for english readers. Even bad english. Il s’agit d’aller voir les informations publiées par et sur les agences gouvernementales pour présenter :

• • Les organisations française et états-uniennes (ANSSI, NSA)

• • Présenter leurs guides de bonne pratiques

• • Présenter des malversations publiées de ces agences (Snowden, RENIN, Stuxnet…)

3.3.2.3 Éducation

MOOC

Il s’agit de choisir une ressource de type MOOC ou root.me et d’aller aussi loin que possible.

• • MOOC ANSSI : https://secnumacademie.gouv.fr

• • root.me

• • … ?

Cryptographie

Il s’agit de présenter les concepts du point de vue de l’administrateur. Les mathématiques nous permettent de ne pas étudier les algorithmes mathématiques, c’est donc plus facile. Merci les mathématiques.

• • Présenter les principes de Kerckhoffs : https://fr.wikipedia.org/wiki/Auguste_Kerckhoffs, http://petitcolas.net/kerckhoffs/crypto_militaire_1.pdf

• • Présenter les concepts (chiffrement, signature, authentification, hachage, clefs asymétriques), utiliser ssh comme support d’exemplehttps://connect-ed-diamond-com.lama.univ-amu.fr/contenu-premium/openssl-quelques-commandes-a-connaitre-pour-manipuler-vos-certificats-ssl-tls ;

• • Présenter les notions d’autorité de certification ;

• • À combien d’autorités fait confiance votre navigateur ?

• • Quelles autorités ont fait l’objet d’un piratage ?

• • Quelles autorités sont liées au GAFAM, aux services secrets, aux paradis fiscaux, au pays considérés comme terroristes…

OWASP

(For english readers) The Open Web Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. https://owasp.org/. Il s’agit de présenter cette organnisation et de montrer l’intérêt (ou pas) qu’elle peut avoir. Un focus sur certains projets serait un plus :

• • Le top10 des risques pour les applications web https://owasp.org/www-project-top-ten/

• • Internet of Things https://owasp.org/www-project-internet-of-things/

• • les mobiles https://owasp.org/www-project-mobile-top-10/

• • pick your own !

3.3.2.4 DIvers

Précédent   Suivant