Le fait d’être une île du Pacifique ne met pas la Nouvelle-Calédonie à l’abri des cyber-risques, bien au contraire ! Ces dernières années, la protection des données et de l’information des entreprises locales a révélé
Mois : novembre 2020
Atelier Cybersécurité à l’École de la Réussite
Laurent Rivaton, expert en cybersécurité (AdDo) et administrateur OPEN a proposé un atelier à l’École de la Réussite. Il était accompagné par Myriam Sanchez, ingénieure pédagogique (Improve) et trésorière d’OPEN.
Une première rencontre en juillet a permis de présenter l’univers de la cybersécurité à 9 stagiaires de l’École de la Réussite. L’intérêt porté par cette initiation a motivé Laurent Rivaton et l’École de la Réussite à proposer un atelier technique.
L’atelier cybersécurité a eu lieu le mercredi 9 septembre 2020. Neuf stagiaires y ont participé. Leur mission : créer pas à pas un programme en python (langage de programmation open source) pour exploiter une faille de sécurité de type « écrasement mémoire », ou « buffer overflow », et prendre le contrôle à distance de l’ordinateur de la victime.
L’observation des participantes d’un point de vue ingénierie pédagogique ciblait l’ objectif de concevoir dans un second temps un pré-module formation de base pour les publics ayant quitté la formation initiale avant l’obtention du bac. Les stagiaires ont été divisé en quatre équipes : trois de deux et une de trois. Chaque équipe avait deux ordinateurs : un sous Kali Linux pour le poste attaquant et un sous Windows pour le poste victime.
L’atelier, d’une durée de 3h environ, s’est déroulé en 11 étapes :
- Étape 1 : Détection et analyse de la faille de sécurité
- Étape 2 : Reproduction plantage
- Étape 3 : Recherche position EIP
- étape 4 : Confirmation position EIP
- étape 5 : Test espace mémoire plus grand
- étape 6 : Recherche caractères interdits
- étape 7 : Création du shellcode
- étape 8 : Recherche bonne valeur pour EIP ?
- étape 9 : Trouver JUMP ESP 1
- étape 10 : Test programme final
- étape 11 : Test programme d’attaque en « conditions réelles » (sans le debogueur)
Les quatre équipes ont été jusqu’au bout de l’exercice avec un programme d’attaque opérationnel et 2 d’entre elles se sont distinguées par la pertinence des questions, l’esprit de relever un challenge.
Nous voulions encore remercier l’École de la Réussite pour leur confiance et les neuf femmes qui ont participé à cet atelier pour leur engagement.