Révision

• Revoir les exercices des chapitres précédents.
• Revoir les Kahoot!.
• Voir les Crash Course Computer Science
  • #31 Cybersecurity
  • #32 Hackers & Cyber Attacks
  • #33 Cryptography

Objectifs

L'évaluation se portera sur les critères suivants :

• Cryptographie
  • Chiffrer et déchiffrer avec César et Vigenère.
  • Décrypter le chiffre de César.
  • Décrire les propriétés de la cryptographie.
• Signature numérique
  • Appliquer les propriétés de la cryptographie.
  • Utiliser le chiffrement asymétrique.
• Certificat électronique
  • Expliquer l'attaque de l'homme du milieu.
  • Expliquer le tiers de confiance.
• Logiciel malveillant
  • Différencier les types de logiciels malveillants.
• Ingénierie sociale
  • Différencier les techniques d'ingénierie sociale.

Note	1	2	2.5	3	3.5	4	4.5	5	5.5	6
Nombre de critères validés	0	1	2	3	4	5	6	7	8	9

Ai-je compris ?

Je suis capable de :

• Lister les trois propriétés de la cryptographie.
• Chiffrer, déchiffrer et décrypter un message avec un chiffrement de César.
• Chiffrer et déchiffrer un message avec un chiffrement de Vigenère.
• Proposer des méthodes de cryptanalyse communes.
• Utiliser les éléments de la cryptographie symétrique et asymétrique (clé, chiffrement, déchiffrement, message en clair, message chiffré, ...).
• Expliquer ce qu'est RSA et sur quoi il repose.
• Expliquer la signature numérique.
• Expliquer et reconnaître l'attaque de l'homme du milieu.
• Expliquer le rôle des tiers de confiance et des certificats électroniques.
• Expliquer le principe de la chaîne de confiance.
• Reconnaître les principaux types de maliciels.
• Reconnaître les principales techniques d'ingénierie sociale.
• Différencier une attaque informatique d'une attaque sociale.
• Faire des attaques de base sur un site web vues en travaux pratiques.

(liste non exhaustive)

Exercices

Types d'attaques

Qu'est-ce qui différencie une attaque par logiciel malveillant d'une attaque par ingénierie sociale ?

Solution

Une attaque par logiciel malveillant utilise un programme informatique conçu pour nuire à un système informatique, tandis qu'une attaque par ingénierie sociale exploite la psychologie humaine pour tromper les individus et les inciter à divulguer des informations sensibles ou à effectuer des actions compromettantes.

Catégoriser les attaques suivantes entre logiciel malveillant et ingénierie sociale.

• Virus
• Ver
• Talonnage
• Spyware
• Rootkit
• Ransomware
• Prétexter
• Keylogger
• Hameçonnage
• Cheval de Troie
• Canular
• Botnet
• Backdoor
• Attaque de point d'eau
• Appâtage
• Adware

Solution

Logiciel malveillant :

• Virus
• Ver
• Spyware
• Rootkit
• Ransomware
• Keylogger
• Cheval de Troie
• Botnet
• Backdoor
• Adware

Ingénierie sociale :

• Talonnage
• Prétexter
• Hameçonnage
• Canular
• Attaque de point d'eau
• Appâtage

Piratage

Lire l'article suivant : https://www.letemps.ch/economie/cyber/attention-un-sms-visant-pirater-telephone-sevit-suisse

1. Identifier les parties maliciel (informatique) et ingénierie sociale de l'attaque en nommant les techniques utilisées parmi :
   • Virus
   • Ver
   • Talonnage
   • Spyware
   • Rootkit
   • Ransomware
   • Prétexter
   • Keylogger
   • Hameçonnage (phishing)
   • Cheval de Troie
   • Canular (hoax)
   • Botnet
   • Backdoor
   • Attaque de point d'eau
   • Appâtage
   • Adware
2. Que pourrait-on faire pour se protéger de ce type d'attaque ?

Solution

1. • Partie maliciel : l'application malveillante qui est installée sur le téléphone lorsqu'on clique sur le lien
     • Ver : application autonome qui se propage
     • Backdoor : application qui permet à un attaquant de prendre le contrôle du téléphone
     • Spyware : application qui enregistre les actions/données de l'utilisateur
   • Ingénierie sociale : le SMS est conçu pour inciter la victime à cliquer sur le lien
     • Hameçonnage (phishing) : le SMS est conçu pour ressembler à un message de votre opérateur téléphonique
     • Appâtage (baiting) : le SMS vous invite à écouter un message vocal
2. • Ne pas cliquer précipitamment sur les liens dans des messages inattendus
   • Vérifier l'origine des messages avant de cliquer sur les liens
   • Vérifier l'adresse du lien (nom de domaine) avant de cliquer
   • Ne pas installer d'applications provenant de sources inconnues

Lire les articles suivants :

• https://www.science-et-vie.com/technos-et-futur/recharcher-juice-jacking-piratage-smartphone-ordinateur-lieux-publics-cyberattaque-securite-102489.html
• https://www.20min.ch/fr/story/mise-en-garde-du-fbi-pourquoi-il-ne-faut-pas-recharger-son-portable-a-laeroport-103042611

1. Identifier les parties maliciel (informatique) et ingénierie sociale de l'attaque en nommant les techniques utilisées.
2. Que pourrait-on faire pour se protéger de ce type d'attaque ?
3. L'article fait référence à un cheval de Troie. Est-ce pertinent ? Pourquoi ?

Solution

1. • Partie maliciel : installation possible de logiciels malveillants sur le téléphone lorsqu'on le branche à une prise USB
     • Peut être n'importe quel maliciel : un ver, un backdoor, un spyware, ...
   • Ingénierie sociale : les victimes sont incitées à brancher leur téléphone à une prise USB
     • Appâtage : pouvoir recharger son téléphone gratuitement
     • Attaque de point d'eau : les prises USB sont placées dans des lieux publics où les gens ont besoin de recharger leur téléphone
2. • Éviter de brancher son téléphone à une prise USB inconnue
   • Utiliser un chargeur secteur
   • Utiliser une batterie externe
   • Ne jamais accepter de connexion USB sur son téléphone
   • Utiliser un câble USB qui ne permet que la charge
3. On peut comparer le cheval de Troie la prise USB : c'est un moyen d'introduire un logiciel malveillant dans un système en apparence inoffensif (borne de chargement). Mais on utilise plutôt le terme "cheval de Troie" pour désigner un logiciel malveillant qui se fait passer pour un logiciel légitime, ce qui n'est pas le cas ici.

Hameçonnage

Le message suivant a été reçu par e-mail :

Que penser de ce message ? Est-ce un vrai message de de Google ? Pourquoi ? Comment le vérifier ?

Solution

Ca semble être un message de phishing. Voici quelques indices :

• Erreur dans le logo de Google
• Action urgente demandée
• Demande de cliquer sur un lien

Pour vérifier, on peut :

• Vérifier l'adresse de l'expéditeur
• Vérifier l'adresse du lien (nom de domaine)
• Aller directement sur le site de Google pour vérifier si le message est vrai

Cryptographie

Chiffrer les messages suivants :

1. "RENDEZ-VOUS A MIDI" avec un chiffre de César de décalage 2.
2. "RENDEZ-VOUS A MIDI" avec un chiffre de Vigenère avec le mot-clé "RDV".

Solution

1. "TGPFGB-XQWU C OKFK"
2. "IHIUHU-MRPJ D HZGD"

Déchiffrer les messages suivants :

1. "F'YHZYL, W'YMN FYM UONLYM." avec un chiffre de César la clé 20.
2. "KVQJ WA JDIIHI!" avec un chiffre de Vigenère avec la clé "ROI".

Solution

1. "L'ENFER, C'EST LES AUTRES."
2. "THIS IS SPARTA!"

Décrypter le message suivant chiffré avec un chiffre de César et donner la clé utilisée :

1. "PK VKTYK, JUTI PK YAOY."
2. "LSLJAYV-LUJLWOHSVNYHWOPL"
3. "REKZTFEJKZKLKZFEEVCCVDVEK"

Indice

Lettres les plus fréquentes en français (dans l'ordre) : E, A, I, S, N, ...

Solution

1. "JE PENSE, DONC JE SUIS." avec une clé de 6.
2. "ÉLECTRO-ENCÉPHALOGRAPHIE" avec une clé de 7.
3. "ANTICONSTITUTIONNELLEMENT" avec une clé de 17.

Créer et envoyer un message chiffré à votre voisin·e en utilisant un chiffre de César et un deuxième message avec un chiffre de Vigenère.

• Pour le chiffre de César, vous pouvez utiliser https://cryptii.com/pipes/caesar-cipher ou https://www.dcode.fr/chiffre-cesar pour vérifier des messages chiffrés.
• Pour le chiffre de Vigenère, vous pouvez utiliser https://cryptii.com/pipes/vigenere-cipher ou https://www.dcode.fr/chiffre-vigenere pour vérifier des messages chiffrés.

Références

Illustrations

• https://blog.usecure.io/fr/les-exemples-les-plus-commun-demails-de-phishing