DEFNET : les étudiants d'IUT au cœur d'un exercice de cyberdéfense

Simuler et contrer une attaque massive des systèmes informatiques français : tel est le but de l'exercice d'entraînement DEFNET 2017, organisé par le commandement opérationnel de cyberdéfense sur le territoire national. Parmi les participants, des étudiants d'IUT de Saint-Malo et de Lannion avaient comme objectif de stopper une attaque de virus, avant de l'identifier et d'en extraire des informations pouvant permettre de remonter à son auteur.

Etudiant IUT Lannion lors de DEFNET - Photo UR1/Dircom/JLB
  1. Un scénario très crédible
  2. À l'assaut du virus, en ordre dispersé
  3. Décompression et analyse
  4. La piste italienne
  5. RETour d'EXpérience
  6. Engager les citoyens dans la cyberdéfense nationale
  7. La cyber, une belle opportunité pour les filles
  8. Une licence de cyberdéfense à l'IUT de Lannion
  9. Une licence pro déjà labellisée par l'ANSSI à l'IUT de Saint-Malo

Un scénario très crédible

Un employé de la Direction générale de l'environnement et de la maîtrise des énergies (DGEME) arrive à l'étranger pour assister à un colloque scientifique. À son arrivée, il retire son badge à l'accueil qui lui remet une sacoche contenant des "goodies" : programme, bloc-notes, stylo, pass d'entrée pour les musées de la ville, et une clé USB contenant plusieurs publications numériques susceptibles de l'intéresser. À son retour en France, il allume son ordinateur de bureau et branche la clé pour récupérer ces publications offertes.

En quelques minutes, son ordinateur se bloque, puis ce sont les disques durs partagés auquel il est connecté qui deviennent inaccessibles, mettant en péril l'activité de son employeur. Parallèlement dans le pays, d'autres systèmes informatiques menacent de "tomber" suite à des cyberattaques apparemment coordonnées par une puissance étrangère.

 

Ecusson du COMCYBER - © UR1/Dircom/JLB

À l'assaut du virus, en ordre dispersé

Tel est le scénario dans lequel se sont retrouvés les étudiants des IUT de Saint-Malo puis de Lannion les 22 et 23 mars 2017, à leur arrivée à l'École des transmissions de Rennes. Devant chacun d'eux, un ordinateur, poste de travail de la DGEME, l'organisation fictive où travaille l'employé à la clé USB infectée, victime d'un virus bien réel. La première étape consiste à stopper le virus, puis à le débusquer parmi les fichiers légitimes de l'ordinateur.

Dès 9h le 23 mars, les étudiants de l'IUT de Lannion se lancent un peu fébrilement à l'assaut du virus. Après les premières 30 minutes, le commandant du COMCYBER qui encadre les étudiants met l'exercice en pause : "Certains d'entre vous ont trouvé des solutions mais les ont gardées pour eux. Allez, on recommence. Et cette fois-ci, travaillez en équipe, partagez vos informations !"

 

Les étudiants IUT Lannion lors de DEFNET 2017 - © UR1/Dircom/JLB

Décompression et analyse

Une fois le virus stoppé, il faut identifier les fichiers qui le composent et qu'il manipule, parmi les dizaines de milliers présents sur l'ordinateur. Bien sûr, l'agresseur a donné à son virus un nom tout à fait banal. Après une intense exploration, les étudiants débusquent le programme caché suspect.

Commence alors l'analyse de ce fichier. Le pirate a utilisé un logiciel de type "packer" pour compresser le virus et diminuer sa taille, mais aussi pour tenter d'empêcher une lecture facile de son contenu : il a modifié quelques bits de donnée à des endroits stratégiques. Ces modifications empêchent l'ouverture du programme suspect un logiciel de décompression et de lecture directe du code du virus. Le commandant précise à cette occasion que 80% du travail d'écriture d'un virus consiste à le rendre furtif. Petit à petit, les étudiants repèrent les endroits volontairement altérés du code et rétablissent les valeurs correctes. Ils peuvent alors accéder à une version plus lisible du virus et se retrouvent confrontés à un message énigmatique dont voici un extrait :

In morte di, nell'occasione della morte di qualcuno, usato soprattutto come titolo di componimenti poetici scritti per una persona morta.

DEFNET 2017 - © UR1/Dircom/JLB

La piste italienne

Ce message en langue étrangère est d'abord identifié comme de l'espagnol par les étudiants, qui corrigent bientôt leur erreur : c'est de l'italien, et le texte est un extrait d'une définition de la mort. L'intégralité du texte consiste en 800 mots, que le virus copie en grand nombre sur les disques durs reliés à l'ordinateur sur lequel il s'exécute. Grâce à d'autres éléments, les étudiants découvrent que le programme a été créé sous une version italienne du système d'exploitation Windows. Il est donc possible que le pirate soit italien lui-même.

 

RETour d'EXpérience

À la fin de la journée, le commandant du COMCYBER lance un RETEX (retour d'expérience, en jargon militaire) pour demander aux étudiants ce qu'ils ont pensé de l'exercice. Tous ont apprécié de découvrir une facette de l'informatique qu'ils ne connaissaient pas.

Erwan a cru au début de la journée que la menace était légère, avant de changer d'avis : une expérience instructive. Marianne pense à chercher du travail dans la cyberdéfense, sans bien savoir à quoi s'attendre, et a donc apprécié la journée. Guillaume s'est intéressé aux étapes de décompression du virus et à l'analyse, mais, comme ses camarades issus du DUT "Réseaux et Télécommunications" de Lannion, il est un peu frustré de ne pas avoir travaillé sur une attaque par le réseau.

RETEX à la fin de DEFNET 2017 - © UR1/Dircom/JLB

Engager les citoyens dans la cyberdéfense nationale

Au-delà de son aspect formateur, l'exercice auquel ont participé ces étudiants est une opération de communication de l'Armée, qui cherche à recruter des citoyens pour sa Réserve de cyberdéfense. En cas d'attaque par exemple, les dégâts peuvent s'avérer conséquents : dans ce cas, il faut pouvoir compter sur une aide ponctuelle pour réparer les systèmes impactés, le nombre de machines endommagées par une cyberattaque coordonnée pouvant rapidement devenir très important.

Dylan, l'un des étudiants de Lannion présent à l'exercice, est déjà membre de cette réserve : "nous avons été convoqués à une réunion où l'on nous a expliqué ce que l'on attendrait de nous, mais je n'ai pas encore été "activé". À mon niveau, si cela arrive, on me demandera sans doute de réinstaller des systèmes".

La cyber, une belle opportunité pour les filles

Patrick Erard, adjoint à la formation du Pôle d'excellence cyber et membre de la réserve opérationnelle, conclut cette journée en s'adressant particulièrement aux quelques filles présentes : "Vous avez de grandes opportunités dans les entreprises de la cyberdéfense : leur expérience a montré que les candidates qu'elles recrutaient s'avéraient d'excellent niveau, tant du point de vue technique qu'en terme de sérieux et de professionnalisme. De plus ces entreprises (Airbus, Thalès, DCNS) cherchent à atteindre la parité dans leurs équipes, n'hésitez pas à les contacter !"

Une licence de cyberdéfense à l'IUT de Lannion

En repartant de l'École des Transmissions, Thierry Peyre, maître de conférences à l'IUT de Lannion qui a accompagné ses étudiants à Rennes pour DEFNET, confie : "Avec nos formations de DUT Informatique et Réseaux & Télécoms, nous sommes partenaires de DEFNET depuis trois ans, et cette année les effectifs d'étudiants accueillis ont doublé. C'est très intéressant pour eux comme pour nous, sachant qu'à l'occasion de la prochaine offre de formation de la rentrée 2018, une licence cyberdéfense sera créée à l'IUT."

 
Thierry Peyre avec un étudiant de l'IUT de Lannion lors de DEFNET 2017 - © UR1/Dircom/JLB

Une licence pro déjà labellisée par l'ANSSI à l'IUT de Saint-Malo

Les étudiants de l'IUT de Saint-Malo étaient quant à eux inscrits DUT Réseaux et Télécoms ou en licence professionnelle "Réseaux informatiques, mobilité, sécurité (RIMS)". Le responsable de cette licence, Frédéric Weis, précise : "La licence RIMS présente une forte composante de cybersécurité, et elle est la seule licence pro de Bretagne à avoir été labellisée par l'Agence nationale de la sécurité des systèmes d'information."

L'Armée a comme objectif de recruter 4400 réservistes de cyberdéfense d'ici 2019, et DEFNET devrait être reconduit chaque année tant que ce chiffre ne sera pas atteint. Rendez-vous l'année prochaine ?