Faites vos jeux ! – Partie 2/2

Les joueurs découvrent les cartes une fois celles-ci en main. Ils demandent alors des explications sur un dispositif sécurité qu’ils ne connaissent pas ou discutent la pondération des caractéristiques proposées (« Sommes-nous vraiment victimes des cyber-mafias ? », «  C’est quoi une XSS ? »).

Pour le design, nous nous sommes inspirés du jeu de cartes très connu de la population geek : Magic de l’éditeur Wizards of the Coast. Cela les plonge immédiatement dans un univers connu, version « cyber » d’un « donjons & dragons » (en référence aux plus anciens, car oui, nous avons encore quelques développeurs VMS !)

Chacune des cartes (personnages et outils) contient une image, un bref descriptif et trois valeurs permettant de mesurer sa puissance. Les valeurs sont positives ou négatives (de -5 à 5) :

  • Connaissance : compétence sécurité du personnage (ex : +1 pour un script Kiddie, +5 pour un Cyber-Mafia) ;
  • Efficacité : efficacité de l’attaque/défense (ex : injection SQL=+4 / Firewall=+3) ;
  • Détection : furtivité de l’attaque ou capacité à détecter une attaque (ex : Zero day=+3 / Scan de port=-2).

Un joueur incarne l’équipe verte : la défense. Elle est composée de 6 personnages et 15 outils (défenses) (voir encadré).


Les 15 cartes bleues des moyens de défense

  • Journée de sensibilisation
  • Anti-Malware (*)
  • IDS
  • Protection e-mail (*)
  • Solution de chiffrement (*)
  • Firewall
  • Proxy Internet (*)
  • USB Ban
  • WiFi clé WPA2
  • Chiffrement
  • Durcissement de l’ O.S.
  • Scan de vulnérabilités
  • Capture réseau
  • Scan de ports
  • Vulnérabilité non patchée

(*) le nom du logiciel était cité pour plus d’appropriation


L’autre joueur incarne l’équipe rouge, celle qui attaque. Elle est composée de 6 personnages et 15 outils (attaques) (voir encadrés).


Les 6 personnages rouges « attaquants »

  • Script Kiddie
  • Grey Hat
  • Black Hat
  • Cyber-Mafia
  • Hacktiviste
  • État

Une partie se déroule en trois manches. À chaque manche, chaque joueur tire 7 cartes au hasard de son paquet (personnage et outils mélangés). Il choisit un personnage et trois outils. On totalise le nombre de points. Le joueur qui a le score le plus élevé remporte la manche.


15 cartes bleues de moyens d’attaque

  • USB sur le parking
  • Deny of Service (DOS)
  • DDOS
  • Zero Day
  • Cross-Site Scripting
  • Mot de passe faible
  • Injection SQL
  • Vol de PC
  • Mail piégé
  • Vol de badge
  • Appel téléphonique
  • Site légitime compromis
  • Bruteforce mot de passe
  • WiFi clé WEP
  • Buffer Overflow


Une partie ne dure que quelques minutes afin de faire tourner un maximum de joueurs sur le stand.

Le scoring a été conçu pour que bien souvent, les « gentils verts » perdent face à l’arsenal des « méchants rouges» (mais d’un autre côté, essayez de lutter contre un « État (5/5/5) » victime d’un « zéro day (-/5/3) » et exploitant des « Mot de passe faible (-/5/3) » !). 
Cette asymétrie permet de renforcer notre message : la sécurité est un combat quotidien difficile et nous devons constamment nous adapter à l’état de la menace.

Cela permet aussi de mettre en perspective les bonnes pratiques maintes fois répétées « vous comprenez maintenant l’importance d’un mot de passe complexe ? »

4. Retours & perspectives

Ce jeu a été réalisé en une semaine avec un petit budget de 150 euros (impression de 5 jeux de cartes plastifiées). La logistique est rudimentaire : une table et quelques volontaires.

Il a permis de sensibiliser deux cents personnes en deux heures avec cinq « maîtres du jeu » qui expliquaient les règles et répondaient aux questions.

Le succès a été immédiat, le buzz s’est rapidement propagé au sein de la manifestation et nous avons reçu d’excellents retours sur l’originalité et le côté fun de notre approche.

C’est donc un excellent investissement, ludique et pédagogique. De nombreux participants nous ont réclamé une version sous la forme de goodies. Pour ce faire et diffuser plus largement ce jeu, nous allons nous assurer de n’utiliser que des images libres de droits.

Conclusion

Sensibiliser les populations SI aux enjeux de la sécurité informatique est primordial. Le succès vient autant d’un fond solide que d’une forme efficace et percutante. Nos deux actions ont été pensées ainsi afin de dépoussiérer le sujet et proposer une image plus fun et plus dynamique de la sécurité informatique. L’interactivité du jeu a permis aux participants de s’exprimer davantage (discussion à trois avec le maître du jeu) et d’avoir un aperçu concret des attaques/risques actuels.

La présentation des attaques réelles a permis de faire le lien entre une actualité chargée, mais lointaine (« Nous ne sommes pas Ashley Madison !) avec leur propre réalité au quotidien.

Tout cela de façon ludique, économique et dans la bonne humeur. Que demander d’autre ? 

Remerciements

Je remercie Gautier et Rémi pour le design des cartes, Patrick pour l’aide apportée aux textes et Alexandra pour la coordination des tâches et l’impression du jeu.

Référence

[1] Retour sur investissement en sécurité des systèmes d’information : quelques clés pour argumenter, CLUSIF, octobre 2004.

Pierre RAUFAST
Manager du CERT Michelin  – pierre.raufast@michelin.com

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !