Révision
- Revoir les exercices des chapitres précédents.
- Revoir les Kahoot!.
- Voir les Crash Course Computer Science
Objectifs
L'évaluation se portera sur les critères suivants :
- Cryptographie
- Appliquer les propriétés de la cryptographie.
- Appliquer le chiffrement de Vigenère.
- Décrypter le chiffrement de César.
- Signature numérique
- Différencier le chiffrement symétrique et asymétrique.
- Expliquer le rôle des clés publiques et privées.
- Certificat électronique
- Expliquer l'attaque de l'homme du milieu.
- Expliquer le rôle d'une autorité de certification.
- Logiciel malveillant
- Différencier les types de logiciels malveillants.
- Ingénierie sociale
- Différencier les techniques d'ingénierie sociale.
| Note | 1 | 2 | 2.5 | 3 | 3.5 | 4 | 4.5 | 5 | 5.5 | 6 |
|---|---|---|---|---|---|---|---|---|---|---|
| Nombre de critères validés | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Ai-je compris ?
Je suis capable de :
- Lister les trois propriétés de la cryptographie
- Chiffrer, déchiffrer et décrypter un message avec un chiffrement de César
- Chiffrer et déchiffrer un message avec un chiffrement de Vigenère
- Proposer des méthodes de cryptanalyse communes
- Expliquer les éléments de la cryptographie symétrique et asymétrique (clé, chiffrement, déchiffrement, message en clair, message chiffré, ...)
- Expliquer ce qu'est RSA
- Expliquer la signature numérique
- Expliquer et reconnaître l'attaque de l'homme du milieu
- Expliquer le rôle des tiers de confiance et des certificats électroniques
- Expliquer le principe de la chaîne de confiance
- Reconnaître les principaux types de maliciels
- Reconnaître les principales techniques d'ingénierie sociale
- Différencier une attaque informatique d'une attaque sociale
- Expliquer les principes de l'injection SQL et du Cross-Site Scripting (XSS)
- Faire des attaques de base sur un site web vues en travaux pratiques
(liste non exhaustive)
Exercices
Piratage
Lire l'article suivant : https://www.letemps.ch/economie/cyber/attention-un-sms-visant-pirater-telephone-sevit-suisse
- Identifier les parties maliciel (informatique) et ingénierie sociale de l'attaque en nommant les techniques utilisées parmi :
- Virus
- Ver
- Talonnage
- Spyware
- Rootkit
- Ransomware
- Prétexter
- Keylogger
- Hameçonnage (phishing)
- Cheval de Troie
- Canular (hoax)
- Botnet
- Backdoor
- Attaque de point d'eau
- Appâtage
- Adware
- Que pourrait-on faire pour se protéger de ce type d'attaque ?
Solution
-
- Partie maliciel : l'application malveillante qui est installée sur le téléphone lorsqu'on clique sur le lien
- Ver : application autonome qui se propage
- Backdoor : application qui permet à un attaquant de prendre le contrôle du téléphone
- Spyware : application qui enregistre les actions/données de l'utilisateur
- Ingénierie sociale : le SMS est conçu pour inciter la victime à cliquer sur le lien
- Hameçonnage (phishing) : le SMS est conçu pour ressembler à un message de votre opérateur téléphonique
- Appâtage (baiting) : le SMS vous invite à écouter un message vocal
- Partie maliciel : l'application malveillante qui est installée sur le téléphone lorsqu'on clique sur le lien
-
- Ne pas cliquer précipitamment sur les liens dans des messages inattendus
- Vérifier l'origine des messages avant de cliquer sur les liens
- Vérifier l'adresse du lien (nom de domaine) avant de cliquer
- Ne pas installer d'applications provenant de sources inconnues
Lire les articles suivants : https://www.science-et-vie.com/technos-et-futur/recharcher-juice-jacking-piratage-smartphone-ordinateur-lieux-publics-cyberattaque-securite-102489.html et https://www.20min.ch/fr/story/mise-en-garde-du-fbi-pourquoi-il-ne-faut-pas-recharger-son-portable-a-laeroport-103042611
- Identifier les parties maliciel (informatique) et ingénierie sociale de l'attaque en nommant les techniques utilisées.
- Que pourrait-on faire pour se protéger de ce type d'attaque ?
- L'article fait référence à un cheval de Troie. Est-ce pertinent ? Pourquoi ?
Solution
-
- Partie maliciel : installation possible de logiciels malveillants sur le téléphone lorsqu'on le branche à une prise USB
- Peut être n'importe quel maliciel : un ver, un backdoor, un spyware, ...
- Ingénierie sociale : les victimes sont incitées à brancher leur téléphone à une prise USB
- Appâtage : pouvoir recharger son téléphone gratuitement
- Attaque de point d'eau : les prises USB sont placées dans des lieux publics où les gens ont besoin de recharger leur téléphone
- Partie maliciel : installation possible de logiciels malveillants sur le téléphone lorsqu'on le branche à une prise USB
-
- Éviter de brancher son téléphone à une prise USB inconnue
- Utiliser un chargeur secteur
- Utiliser une batterie externe
- Ne jamais accepter de connexion USB sur son téléphone
- Utiliser un câble USB qui ne permet que la charge
- On peut comparer le cheval de Troie la prise USB : c'est un moyen d'introduire un logiciel malveillant dans un système en apparence inoffensif (borne de chargement). Mais on utilise plutôt le terme "cheval de Troie" pour désigner un logiciel malveillant qui se fait passer pour un logiciel légitime, ce qui n'est pas le cas ici.
Hameçonnage
Le message suivant a été reçu par e-mail :
Que penser de ce message ? Est-ce un vrai message de de Google ? Pourquoi ? Comment le vérifier ?
Solution
Ca semble être un message de phishing. Voici quelques indices :
- Erreur dans le logo de Google
- Action urgente demandée
- Demande de cliquer sur un lien
Pour vérifier, on peut :
- Vérifier l'adresse de l'expéditeur
- Vérifier l'adresse du lien (nom de domaine)
- Aller directement sur le site de Google pour vérifier si le message est vrai
Cryptographie
Pour le chiffre de César, vous pouvez utiliser https://cryptii.com/pipes/caesar-cipher ou https://www.dcode.fr/chiffre-cesar pour créer et vérifier des messages chiffrés.
Pour le chiffre de Vigenère, vous pouvez utiliser https://cryptii.com/pipes/vigenere-cipher ou https://www.dcode.fr/chiffre-vigenere pour créer et vérifier des messages chiffrés.