Retour au blog
Exercice Cybersécurité 18 min de lecture

Maîtrise la Cybersécurité au Lycée : Exercices Pratiques

Deviens un expert de la sécurité numérique ! Ces exercices t'aideront à comprendre les fondamentaux de la cybersécurité, à identifier les risques et à adopter les bonnes pratiques.

Cet article a été rédigé à des fins pédagogiques. Les informations présentées peuvent évoluer. Nous t’invitons à vérifier auprès de sources officielles.

Introduction à la Cybersécurité pour les Lycéens

Salut à toi, futur expert en sécurité numérique ! Dans un monde de plus en plus connecté, comprendre les bases de la cybersécurité n'est plus une option, c'est une nécessité. Cette série d'exercices progressifs est conçue pour t'initier aux concepts clés de la protection des systèmes d'information, des menaces courantes aux bonnes pratiques à adopter au quotidien. Prépare-toi à aiguiser ton sens critique et à devenir un acteur de ta propre sécurité en ligne !

Compétences travaillées :

  • Identifier les principes fondamentaux de la cybersécurité (confidentialité, intégrité, disponibilité).
  • Reconnaître les menaces courantes (phishing, logiciels malveillants, mots de passe faibles).
  • Appliquer des mesures de protection basiques (mots de passe forts, double authentification, mises à jour).
  • Comprendre l'importance de la vigilance et de la prudence en ligne.

Erreurs fréquentes à éviter :

  • Négliger les mises à jour : Les logiciels non à jour sont des portes ouvertes aux failles de sécurité.
  • Utiliser des mots de passe faibles ou identiques : C'est comme laisser ta clé sous le paillasson pour toutes tes maisons.
  • Cliquer sur des liens suspects : Le phishing est une technique très répandue et souvent efficace si tu n'es pas vigilant.
  • Partager trop d'informations personnelles : Moins tu en donnes, moins tu risques d'être ciblé.

Série d'Exercices : Protège Tes Données !

Exercice 1 : Les Piliers de la Sécurité

La cybersécurité repose sur trois principes fondamentaux, souvent désignés par l'acronyme "DID". Explique en quelques mots ce que signifie chacun de ces principes dans le contexte de la sécurité des données :

  1. La Confidentialité
  2. L'Intégrité
  3. La Disponibilité

Barème indicatif : 10 points

Correction Exercice 1 :

Comprendre ces trois piliers est essentiel pour toute approche de la cybersécurité.

  1. La Confidentialité :

    Explication : Il s'agit de s'assurer que seules les personnes autorisées ont accès à l'information. Tes données personnelles, tes messages privés, tes identifiants bancaires. tout cela doit rester confidentiel et n'être vu que par toi (et ceux à qui tu as donné l'autorisation).

    Résultat : La confidentialité garantit que l'information n'est accessible qu'aux personnes ou systèmes autorisés.

  2. L'Intégrité :

    Explication : Ce principe assure que l'information est exacte, complète et qu'elle n'a pas été modifiée de manière non autorisée. Par exemple, si tu envoies un document, l'intégrité garantit que le destinataire reçoit exactement le document que tu as envoyé, sans aucune altération malveillante ou accidentelle.

    Résultat : L'intégrité assure que l'information est exacte, complète et n'a pas été altérée de manière non autorisée.

  3. La Disponibilité :

    Explication : La disponibilité garantit que l'information et les systèmes qui la traitent sont accessibles et utilisables par les utilisateurs autorisés quand ils en ont besoin. Imagine que tu ne puisses plus accéder à tes cours en ligne ou à ton compte bancaire à cause d'une panne ou d'une attaque. C'est un problème de disponibilité.

    Résultat : La disponibilité assure que l'information et les systèmes sont accessibles et utilisables par les utilisateurs autorisés lorsque nécessaire.

Point méthode : Pour retenir ces trois principes, pense à "DID" : Confidentialité, Intégrité, Disponibilité. Ils sont interdépendants et doivent tous être assurés pour une sécurité optimale.

Exercice 2 : Mots de Passe Forts

Ton ami Léo utilise "L€o2024!" comme mot de passe pour tous ses comptes en ligne. Est-ce un bon mot de passe ? Justifie ta réponse en t'appuyant sur les règles de création d'un mot de passe fort.

Barème indicatif : 10 points

Correction Exercice 2 :

Le mot de passe de Léo est "L€o2024!". Analysons-le :

Analyse :

  1. Longueur : Le mot de passe de Léo compte 9 caractères. C'est mieux que 6, mais il est recommandé d'avoir au moins 12 caractères pour une sécurité accrue.
  2. Diversité des caractères : Il contient des majuscules (L), des minuscules (e, o), un chiffre (2024) et un caractère spécial (€). C'est un bon point.
  3. Complexité : Il ne semble pas être un mot du dictionnaire ou une suite logique évidente.
  4. Unicité : Le problème majeur est que Léo utilise ce mot de passe pour tous ses comptes. C'est une très mauvaise pratique. Si un de ses comptes est compromis (par exemple, suite à une fuite de données sur un site peu sécurisé), toutes ses autres plateformes (e-mail, réseaux sociaux, banque) deviennent vulnérables.

Conclusion :

Résultat : Non, ce n'est pas un bon mot de passe car, même s'il est relativement complexe, l'utiliser pour tous ses comptes est une faille de sécurité majeure. Un attaquant qui le trouverait pourrait accéder à l'ensemble de l'identité numérique de Léo.

Astuce : Le meilleur mot de passe est long (12+ caractères), unique pour chaque service, et contient un mélange de majuscules, minuscules, chiffres et caractères spéciaux. Pense aux phrases de passe ou utilise un gestionnaire de mots de passe !

Exercice 3 : Reconnaître le Phishing

Tu reçois cet e-mail dans ta boîte de réception :

De : Support Technique Microsoft <[email protected]>
Objet : Alerte de Sécurité : Votre Compte a été Suspendu

Cher(e) Utilisateur(trice),
Nous avons détecté une activité suspecte sur votre compte Microsoft. Pour protéger vos informations, nous avons temporairement suspendu votre accès.
Veuillez cliquer sur le lien ci-dessous pour vérifier votre identité et réactiver votre compte immédiatement :
CLIQUER ICI POUR RÉACTIVER
Si vous ne le faites pas dans les 24 heures, votre compte sera définitivement supprimé.
Merci de votre coopération.
L'Équipe de Sécurité Microsoft

  1. Identifie au moins trois indices qui te font penser que cet e-mail est une tentative de phishing.
  2. Quelle est la meilleure action à entreprendre si tu reçois un tel e-mail ?

Barème indicatif : 10 points

Correction Exercice 3 :

C'est un exemple classique de tentative de phishing !

  1. Indices de phishing :
    • Adresse e-mail de l'expéditeur suspecte : L'adresse "[email protected]" n'est pas une adresse officielle de Microsoft. Le "0" à la place du "o" est une technique courante (typosquatting).
    • Urgence et menace : Le message insiste sur l'urgence ("immédiatement", "24 heures", "définitivement supprimé") et la menace pour t'inciter à agir sans réfléchir.
    • Demande d'informations personnelles via un lien : Aucune entreprise légitime ne te demandera de cliquer sur un lien pour "vérifier ton identité" suite à une alerte de sécurité. Elles te demanderont plutôt de te connecter via leur site officiel.
    • Lien raccourci et non vérifiable : Un lien "bit.ly" masque la vraie destination. Survole le lien (sans cliquer !) pour voir l'URL réelle. Elle serait très probablement différente de microsoft.com.
    • Formulation parfois approximative : Bien que celui-ci soit bien écrit, certains e-mails de phishing contiennent des fautes d'orthographe ou de grammaire.

    Résultat a : Trois indices sont l'adresse e-mail de l'expéditeur frauduleuse, l'insistance sur l'urgence et la menace, et la demande de cliquer sur un lien pour vérifier son identité.

  2. Meilleure action à entreprendre :
    • Ne clique sur aucun lien : Surtout pas sur le lien fourni dans l'e-mail.
    • Ne réponds pas à l'e-mail : Cela confirmerait aux fraudeurs que ton adresse est active.
    • Signale l'e-mail : Utilise la fonction de signalement de spam ou de phishing de ta boîte mail.
    • Supprime l'e-mail : Une fois signalé, tu peux le supprimer.
    • En cas de doute : Si tu penses vraiment qu'il pourrait y avoir un problème avec ton compte, connecte-toi directement au site officiel de Microsoft (en tapant l'URL toi-même dans ton navigateur, ou via tes favoris) pour vérifier l'état de ton compte. Ne passe jamais par un lien reçu par e-mail ou SMS.

    Résultat b : Ne pas cliquer, ne pas répondre, signaler l'e-mail comme phishing et le supprimer. Si tu as un doute, accède au site officiel du service concerné par toi-même.

Point méthode : Toujours vérifier l'expéditeur, le contenu et l'URL des liens avant de cliquer ou de fournir des informations. Le doute doit te faire fuir le lien !

Exercice 4 : Protection Contre les Logiciels Malveillants

Ton ordinateur portable semble fonctionner au ralenti, des fenêtres publicitaires inattendues apparaissent et certains de tes fichiers semblent avoir disparu. Ta sœur, qui s'y connaît un peu, te dit que tu as probablement attrapé un "malware".

  1. Explique ce qu'est un "malware" et donne deux exemples de types de malware.
  2. Donne trois mesures préventives que tu aurais pu prendre pour éviter cette situation.

Barème indicatif : 10 points

Correction Exercice 4 :

  1. Qu'est-ce qu'un "malware" ?

    Explication : "Malware" est la contraction de "malicious software", c'est-à-dire un logiciel malveillant. C'est un programme conçu pour s'infiltrer dans un système informatique, l'endommager ou voler des données, sans le consentement de l'utilisateur.

    Exemples de malware :

    • Virus : Se propage en s'attachant à des fichiers légitimes et peut exécuter des actions malveillantes.
    • Cheval de Troie (Trojan) : Se déguise en logiciel inoffensif pour t'inciter à l'installer, puis ouvre une porte dérobée sur ton système.
    • Ransomware : Chiffre tes fichiers et demande une rançon pour les débloquer.
    • Spyware (Logiciel espion) : Collecte des informations sur tes activités sans que tu le saches.
    • Adware : Affiche des publicités intempestives (ce que tu sembles expérimenter).

    Résultat a : Un malware est un logiciel malveillant conçu pour nuire à un système informatique ou voler des données. Exemples : virus, cheval de Troie, ransomware, spyware, adware.

  2. Mesures préventives :

    Pour éviter les malwares, tu aurais pu prendre les mesures suivantes :

    • Installer et maintenir un antivirus/anti-malware : Un bon logiciel de sécurité est ta première ligne de défense, il détecte et supprime les menaces.
    • Effectuer des mises à jour régulières : Mettre à jour ton système d'exploitation et tes logiciels (navigateur, applications) corrige les failles de sécurité exploitées par les malwares.
    • Être vigilant lors du téléchargement de logiciels : Ne télécharger que des applications provenant de sources fiables et officielles. Évite les sites de téléchargement "gratuits" qui proposent des versions piratées.
    • Ne pas cliquer sur des liens ou ouvrir des pièces jointes suspectes : C'est une porte d'entrée majeure pour les malwares (via phishing notamment).
    • Utiliser un pare-feu : Un pare-feu (souvent intégré à ton système d'exploitation) surveille et bloque le trafic réseau non autorisé.

    Résultat b : Trois mesures préventives sont : installer et maintenir un antivirus, faire des mises à jour régulières et être vigilant lors du téléchargement de logiciels ou de l'ouverture de liens/pièces jointes.

Point méthode : La meilleure défense contre les malwares est une combinaison de vigilance, de bonnes pratiques et d'outils de sécurité à jour.

Exercice 5 : La Double Authentification (MFA)

Pour renforcer la sécurité de tes comptes importants (e-mail, réseaux sociaux), on te conseille d'activer la double authentification, aussi appelée authentification à multiples facteurs (MFA).

  1. Explique en quoi consiste la double authentification et pourquoi elle est plus sécurisée qu'un simple mot de passe.
  2. Donne deux exemples de "facteurs" d'authentification utilisés pour la double authentification.

Barème indicatif : 10 points

Correction Exercice 5 :

  1. Explication de la double authentification :

    Explication : La double authentification (ou MFA) consiste à exiger deux preuves d'identité différentes pour te connecter à un compte. Au lieu de te contenter d'un mot de passe (ce que tu sais), tu devras également prouver que tu es en possession de quelque chose (comme ton téléphone) ou que tu es quelqu'un (reconnaissance biométrique). Elle est plus sécurisée car même si un attaquant réussit à obtenir ton mot de passe, il lui manquera le second facteur pour se connecter, ce qui rend l'accès à ton compte beaucoup plus difficile.

    Résultat a : La double authentification demande deux preuves d'identité différentes pour se connecter, la rendant plus sécurisée qu'un mot de passe seul car un attaquant ne disposerait pas du second facteur.

  2. Exemples de facteurs d'authentification :
    • Ce que tu sais : Ton mot de passe, un code PIN, une réponse à une question secrète.
    • Ce que tu possèdes : Un code envoyé par SMS sur ton téléphone, un code généré par une application d'authentification (comme Google Authenticator ou Authy), une clé USB de sécurité.
    • Ce que tu es : Une empreinte digitale, la reconnaissance faciale, un scan rétinien (biométrie).

    Résultat b : Deux exemples de facteurs sont : "ce que tu possèdes" (code SMS, application d'authentification) et "ce que tu es" (empreinte digitale, reconnaissance faciale).

Astuce : Active la double authentification sur tous tes comptes importants (e-mail, réseaux sociaux, services bancaires) dès que possible ! C'est l'une des mesures de sécurité les plus efficaces.

Exercice 6 : Comprendre une Fuite de Données

Récemment, tu as appris qu'une entreprise de jeux vidéo en ligne à laquelle tu es abonné a subi une "fuite de données". Des millions de noms d'utilisateur, adresses e-mail et mots de passe (chiffrés) ont été rendus publics.

  1. Explique ce qu'est une fuite de données et quelles en sont les conséquences pour les utilisateurs comme toi.
  2. Quelle est la première action que tu devrais entreprendre en tant qu'utilisateur concerné ?

Barème indicatif : 10 points

Correction Exercice 6 :

  1. Explication et conséquences d'une fuite de données :

    Explication : Une fuite de données (ou "data breach" en anglais) se produit lorsque des informations confidentielles ou sensibles sont exposées à des personnes non autorisées, souvent à la suite d'une attaque informatique sur le système d'une entreprise ou d'une organisation.

    Conséquences pour les utilisateurs :

    • Usurpation d'identité : Les informations volées peuvent être utilisées pour se faire passer pour toi.
    • Phishing ciblé : Les pirates peuvent utiliser tes adresses e-mail pour envoyer des e-mails de phishing plus crédibles.
    • Compromission d'autres comptes : Si tu utilises le même mot de passe (ou un similaire) sur d'autres sites, ces comptes peuvent être compromis (voir Exercice 2).
    • Vols financiers : Si des informations bancaires ou de carte de crédit sont exposées.
    • Atteinte à la vie privée : Des informations personnelles peuvent être rendues publiques.

    Résultat a : Une fuite de données est l'exposition non autorisée d'informations confidentielles. Ses conséquences peuvent inclure l'usurpation d'identité, le phishing ciblé et la compromission d'autres comptes.

  2. Première action à entreprendre :

    Si tu es concerné par une fuite de données :

    • Change immédiatement ton mot de passe : Change le mot de passe du compte concerné par la fuite.
    • Change tous les mots de passe identiques ou similaires : Si tu utilisais le même mot de passe sur d'autres sites, change-les aussi !
    • Active la double authentification : Si ce n'est pas déjà fait, active-la sur le compte concerné et tous tes comptes importants.
    • Surveille tes comptes : Gard'un œil sur tes comptes bancaires, e-mails, réseaux sociaux pour détecter toute activité suspecte.

    Résultat b : La première action à entreprendre est de changer immédiatement le mot de passe du compte affecté et de tous les comptes où tu utilises un mot de passe identique ou similaire.

Astuce : Utilise des sites comme "Have I Been Pwned?" pour vérifier si ton adresse e-mail a été compromise lors de fuites de données connues. C'est un bon outil de sensibilisation.

Exercice 7 : La Navigation Sécurisée (HTTPS)

Tu navigues sur un site d'e-commerce pour acheter un cadeau. Ton navigateur indique "HTTPS" et un petit cadenas à côté de l'adresse du site. Sur un autre site de blog, tu remarques qu'il n'y a que "HTTP" et pas de cadenas.

  1. Explique la différence entre HTTP et HTTPS et pourquoi HTTPS est crucial pour la sécurité, surtout sur un site de e-commerce.
  2. Quels sont les risques si tu entres des informations personnelles ou de paiement sur un site qui n'utilise que HTTP ?

Barème indicatif : 10 points

Correction Exercice 7 :

  1. Différence entre HTTP et HTTPS :

    Explication :

    • HTTP (HyperText Transfer Protocol) : C'est le protocole standard pour la communication sur le web. Il permet à ton navigateur d'envoyer et de recevoir des informations avec les serveurs web. Cependant, les données sont transmises "en clair", c'est-à-dire non chiffrées.
    • HTTPS (HyperText Transfer Protocol Secure) : C'est la version sécurisée de HTTP. Le "S" signifie "Secure" (sécurisé). HTTPS utilise un protocole de chiffrement (TLS/SSL) pour chiffrer les communications entre ton navigateur et le serveur web. Cela signifie que toutes les données échangées sont illisibles par quiconque tenterait de les intercepter.

    HTTPS est crucial pour la sécurité car il garantit la confidentialité et l'intégrité des données. Sur un site de e-commerce, où tu saisis des informations sensibles (nom, adresse, numéro de carte bancaire), le chiffrement protège ces données des écoutes indiscrètes.

    Résultat a : HTTP transmet les données en clair, tandis que HTTPS chiffre les communications (via TLS/SSL), garantissant la confidentialité et l'intégrité des données, essentiel pour les sites de e-commerce.

  2. Risques avec HTTP :

    Si tu entres des informations personnelles ou de paiement sur un site HTTP (sans chiffrement), les risques sont les suivants :

    • Interception des données : Un attaquant malveillant sur le même réseau (par exemple, un Wi-Fi public non sécurisé) pourrait "écouter" la communication et intercepter tes informations (nom d'utilisateur, mot de passe, numéro de carte bancaire) car elles ne sont pas chiffrées.
    • Modification des données : Un attaquant pourrait également modifier les données transmises, par exemple, changer le montant d'une transaction ou injecter du contenu malveillant sur la page.
    • Usurpation d'identité ou fraude : L'interception de ces données peut mener à l'usurpation de ton identité ou à des fraudes bancaires.

    Résultat b : Les risques sont l'interception et la modification des données (mots de passe, informations bancaires) par un attaquant, pouvant mener à l'usurpation d'identité ou à la fraude, car les communications ne sont pas chiffrées.

Astuce : Vérifie toujours le cadenas et le "HTTPS" dans la barre d'adresse avant de saisir des informations sensibles sur un site web. Si le cadenas est barré ou absent, sois très prudent !

Exercice 8 : Réflexe en Cas d'Incident

Un jour, tu allumes ton ordinateur et tu remarques que ton fond d'écran a été remplacé par un message te demandant de payer une somme d'argent en cryptomonnaie pour déverrouiller tes fichiers, qui sont désormais inaccessibles. Tu es victime d'un ransomware.

  1. Quels sont les premiers réflexes à avoir face à cette situation ? (Donne au moins trois actions)
  2. Explique pourquoi il est généralement déconseillé de payer la rançon.

Barème indicatif : 10 points

Correction Exercice 8 :

C'est une situation très stressante et malheureusement courante avec les ransomwares.

  1. Premiers réflexes face à un ransomware :
    • Déconnecte immédiatement l'ordinateur du réseau : Coupe le Wi-Fi ou débranche le câble Ethernet. Cela évite que le ransomware ne se propage à d'autres appareils sur ton réseau et empêche l'attaquant de contrôler ton appareil à distance.
    • Ne pas éteindre l'ordinateur brusquement : Il peut être préférable d'essayer de le redémarrer en mode sans échec si tu as des connaissances techniques, mais l'objectif principal est de l'isoler. Pour un lycéen, la déconnexion réseau est la priorité.
    • Ne pas tenter de supprimer toi-même les fichiers : Tu pourrais détruire tes chances de récupération.
    • Prends des photos du message de rançon : Cela peut être utile pour les signalements ou les experts en sécurité.
    • Contacte un professionnel de la sécurité ou un organisme spécialisé : Informe tes parents ou un adulte responsable. En France, tu peux te tourner vers Cybermalveillance.gouv.fr pour obtenir de l'aide et des conseils.
    • Ne pas tenter de restaurer à partir de sauvegardes tant que la menace n'est pas neutralisée : Tu risquerais de chiffrer aussi tes sauvegardes ou d'être réinfecté.

    Résultat a : Les premiers réflexes sont de déconnecter immédiatement l'ordinateur du réseau, de ne pas tenter de supprimer les fichiers toi-même, de prendre des photos du message et de contacter un professionnel ou un organisme spécialisé.

  2. Pourquoi il est déconseillé de payer la rançon :
    • Aucune garantie de récupération : Même si tu paies, il n'y a aucune certitude que les attaquants te donneront la clé de déchiffrement ou que celle-ci fonctionnera.
    • Encouragement des cybercriminels : Payer la rançon finance les groupes de cybercriminels, les incitant à poursuivre leurs attaques et à cibler d'autres victimes.
    • Tu peux être ciblé à nouveau : Les attaquants savent que tu es prêt à payer et pourraient te cibler une nouvelle fois.

    Résultat b : Il est déconseillé de payer la rançon car il n'y a aucune garantie de récupérer tes fichiers, tu encourages les cybercriminels et tu peux devenir une cible future.

Point méthode : La meilleure protection contre les ransomwares est la prévention (mises à jour, antivirus, vigilance) et surtout, les sauvegardes régulières de tes données importantes sur un support externe non connecté en permanence à ton ordinateur !

Comment ORBITECH Peut T'aider

ORBITECH AI Academy met à ta disposition des outils concrets pour réviser plus efficacement et progresser à ton rythme.

Tous ces outils sont disponibles sur ta plateforme ORBITECH. Connecte-toi et explore ceux qui correspondent le mieux à tes besoins !

Commencer gratuitement

Contenu en libre diffusion — partage autorisé sous réserve de mentionner ORBITECH AI Academy comme source.

COMMENCE DÈS MAINTENANT

Rejoins des milliers d’étudiants qui utilisent ORBITECH pour exceller.

Commencer gratuitement
🌍 ORBITECH AI Academy — Free education in 88 languages for 171 countries