The INFOSEC Game – Une application web VR multilingue pédagogique libre sur la sécurité de l’information
Accès au jeu via notre portail: https://vr.lycee-cormontaigne-metz.fr
Auteur : Matthieu Farcot
« The InfoSec Game » est une ressource pédagogique et ludique créée par le Lycée Louis de Cormontaigne afin de permettre une approche différente dans le cadre de la sensibilisation à la sécurité de l’information et la cybersécurité pour les élèves lycéens en Bac Pro et/ou Technologique.
Ce projet s’appuie sur les apports de plusieurs ressources (stagiaires) issus de notre Bac Pro Système Numériques (futur Bac Pro CIEL) ayant réalisé des stages dans notre service du DDFPT en 2024 pendant leurs périodes de formation en milieu professionnel.
Objectif du projet :
Notre but est d’offrir une application ludique multilingue (actuellement en français et anglais) qui soit en deux parties :
- la première est un jeu, qui simule une activité de type « test de pénétration physique » dans une organisation. Le but est d’identifier des objets pouvant poser problème en termes de sécurité de l’information (comme un document confidentiel laissé sur une imprimante partagée, un ordinateur non verrouillé ou encore une clef USB oubliée). À chaque fois qu’un objet est « trouvé » (c’est-à-dire cliqué), une séquence audio simulant une interaction avec un assistant vocal donne des indices ou conseils pour progresser. Le jeu commence à la sortie d’un ascenseur, et se termine soit en retournant dans l’ascenseur, soit en lançant une alarme suite à l’utilisation d’un mauvais code sur les digicodes disponibles. Comme dans un « escape game », le joueur devrait trouver des indices/objets pour interagir avec les digicodes, ouvrir de nouvelles zones, et identifier les éléments qui représentent une menace en termes de sécurité de l’information. À noter: les digicodes sont tous fonctionnels.
- la deuxième partie est appelée « mode pédagogique ». Elle est automatiquement lancée à la fin de la première partie. Le visuel change, et l’utilisateur trouvera de nombreuses ressources dans cet environnement qui seront autant d’opportunité de lancer des discussions avec une classe sur le thème de la sécurité de l’information et de la cybersécurité. En particulier, tous les objets « posant problème » sont alors identifiables avec des textes indiquant la nature du risque et les possibilités de remédiation. Mais nous avons surtout ajouté des affiches de sensibilisation créées par nos élèves, ainsi que plusieurs ressources sur le thème de la cybersécurité.
Le jeu repose intégralement sur de la technologie WebXR et le cadriciel A-Frame. Il a été écrit en JavaScript et HTML. Il est utilisable avec n’importe quel navigateur web compatible (je suis preneur de l’information si vous en trouvez un qui ne le soit pas), et via une interface graphique qui utilise l’équipement classique d’un ordinateur personnel, ou encore si disponible un gyroscope (sur smartphone) ou des fonctionnalités VR (sur un équipement adapté).
Accès aux ressources
Le jeu est intégralement sous licence GNU Affero GPL v3. Les sources du jeu, ainsi que l’ensemble des objets 3D et images, sont disponibles sur notre page GitHub.
Pour le jeu en tant que tel, il est disponible par ici : https://vr.lycee-cormontaigne-metz.fr/infosec.html
Éléments à découvrir:
Partie jeu
Les éléments qui peuvent être trouvés dans le jeu sont les suivants:
Nom | Nature du risque | Remédiation |
Un document confidentiel sur une imprimante partagée | Fuite de données – perte d’intégrité de la confidentialité d’un document via un oubli sur une imprimante partagée | Contrôle d’accès et de l’impression, formation du personnel |
Un code secret sur un post-it | Fuite de données – affichage public du mot de passe | Formation du personnel |
Un code secret trop simple | Faille de sécurité – usage de mots de passe faibles | Amélioration du système de contrôle d’accès pour refuser les mots de passe faibles |
Un ordinateur non verrouillé et non mis à jour | Faille de sécurité – ordinateur non verrouillé et mises à jour non faites | Verrouillage automatique de l’ordinateur après 5 minutes non modifiable par l’utilisateur et mises à jour forcées |
Une clef USB qui traîne | Fuite de données et Faille de sécurité – clef USB accessible donc ports USB actifs | Mise à disposition de meubles qui se ferment à clef, formation du personnel, blocage des ports USB de l’ordinateur |
Des informations trop personnelles accessibles | Fuite de données – données sensibles non détruites | Mise à disposition d’un destructeur de documents, formation du personnel |
Un smartphone sans surveillance | Fuite de données et Faille de sécurité – téléphone non bloqué | Mise à disposition de meubles qui se ferment à clef, formation du personnel, amélioration du système de contrôle d’accès |
Des dossiers confidentiels publiquement accessibles | Fuite de données – meuble avec serrure, non fermé à clef, contenant des informations confidentielles | Mise à disposition de meubles qui se ferment à clef, formation du personnel |
Un ordinateur personnel avec rançongiciel (« ransomware », en anglais) | Faille de sécurité – ordinateur portable personnel avec rançongiciel | Politique anti BYOD (Bring Your Own |
Note: le premier digicode (à côté de la porte avec le champignon en post-it) est un « easter egg » (fonction cachée) de type jeu du Bonneteau.
Partie « pédagogique »
De nombreuses ressources complémentaires sont mises à disposition dans la partie pédagogique. Certains éléments nécessitent une interaction (par exemple le petit bateau en papier dans le couloir nécessite un clic pour lancer la chanson « LulzBoat » en référence à Lulzsec – les paroles de la chanson sont affichées après le bateau).
Des affiches de sensibilisation ont été réalisées par des stagiaires en Bac Pro SN / SSIHT sur de multiples sujets en rapport avec la sécurité de l’information. Vous trouverez aussi des affiches de la National Security Agency des années 50/60.
La salle 641-A expose certaines initiatives nationales (agences de surveillances ou groupes assimilés) ou privées en rapport avec la sécurité de l’information dans ses aspects cyberguerre/cyberespionnage.
Nous comptons pour la rentrée publier la liste exhaustive des différentes affiches et éléments avec un descriptif et des liens pour aller plus loin.
Bonne découverte !
Matthieu Farcot