J'ai donné ma première formation

article publié à l'origine le 21 janvier 2018

J'en avais parlé il y a quelque temps sur Mastodon, faire de la sensibilisation au numérique pour les jeunes ça me botte. Je trouve que c'est passionnant de leur parler du portable, des rézosocios, de leurs pratiques, etc. d'autant plus que je réalise en ce moment un mémoire sur la protection des enfants sur internet.

Le problème est que les rares associations que je connais et qui font ça sont souvent anxiogènes dans leurs propos, proposent des formations payantes et ont des liens pas cools avec les GAFAM (oui e-enfance c'est de toi que je parle, et tu feras bientôt l'objet d'un article).

J'ai du coup décidé de prendre les choses en main en proposant au mouvement scout auquel j'ai longtemps appartenu de créer puis dispenser une formation sur le sujet. En décembre dernier j'ai donc donné deux sessions d'une formation de sensibilisation aux rézosocios à des enfants de 14-15 ans.

Objectifs de la formation

Les objectifs de la formation tels que je les avais formulés étaient les suivants :
Objectif : Comprendre les risques existants lorsqu’on utilise les réseaux sociaux et comment s’en protéger au mieux.

Sous-objectifs :

  • Apprendre ce qu’est un bon mot de passe
  • Comprendre ce qu’est le croisement de données et le danger qu’il peut représenter pour la vie privée
  • Apprendre que les paramètres par défaut des réseaux sociaux ne protègent pas la vie privée
  • Apprendre les principales règles pour protéger sa vie privée sur les réseaux sociaux
Ces objectifs sont larges et nombreux mais l'idée était avant tout de faire de la sensibilisation, leur faire comprendre quelques idées et les faire réfléchir.

Déroulement

La formation s'est déroulée en trois temps.

1. Hacker un compte Facebook

Les enfants se mettent par groupe de 3 ou 4 et reçoivent une fausse page Facebook conçue par mes soins. Ils commencent par me dire tout ce qu'ils peuvent apprendre de la personne avec ce seul document : son nom, son âge, sa date de naissance, ses frères et sœurs, ses centres d'intérêts, etc.

Ensuite je dis aux enfants qu'il serait sympa d'en apprendre encore plus sur cette personne en hackant son compte Facebook. Je leur explique alors le fonctionnement des mots de passe et le fait que les sites conservent l'empreinte mais pas le mot de passe en clair.

Je remets aux enfants 5 empreintes correspondant à 5 mots de passes nécessaires pour accéder au Graal du compte visé : les conversations Messenger. Je leur remets également un "Guide du hacker" comprenant différentes méthodes pour retrouver un mot de passe : les mots de passe les plus courants, une information personnelle, un mot du dictionnaire et la fameuse question de sécurité. L'idée était de simuler une attaque par force brute (tentative de pleins de mots de passes jusqu'à trouver le bon) mais avec un papier et un crayon.


Exemple :

Le "Guide" explique que si une lettre se retrouve souvent dans l'empreinte, il s'agit certainement d'une lettre fréquemment utilisée en français, soit les lettres : E A S I N T R L U O.

Une des empreintes donnée aux enfants est GXGPGOGPV. Le G s'y répète 4 fois et on peut donc chercher si G=E, soit un décalage de  -2 à opérer. Si on effectue ce décalage sur toutes les lettres on obtient EVENEMENT qui était le mot de passe recherché.


Alors je sais que les mots de passes ne fonctionnent pas exactement comme ça, mais les objectifs sont globalement remplis : les enfants comprennent ce qu'est un mauvais mot de passe (une info personnelle, un mot simple à trouver, etc.), comment fonctionnent les attaques par force brute et comment fonctionne grossièrement le chiffrement.

Le dernier mot de passe de mes 5 est volontairement impossible à retrouver pour leur montrer ce qu'était un bon mot de passe : un mot de passe long, aux caractères variés et sans mot du dictionnaire.

2. Le croisement de données

A chaque mot de passe craqué, les enfants obtiennent une information sur le compte, dans cet ordre :
  1. La liste des contacts avec qui des messages ont été échangés
  2. Le nombre de messages échangés avec chaque contact sur une semaine
  3. Le nombre de messages échangés par heure sur 24h
  4. La géolocalisation par heure sur 24h
  5. Le contenu d'une conversation Messenger
Si vous avez bien suivi, la dernière information était donc impossible à obtenir pour le moment.

Chacune des informations est donnée une à une aux équipes et à chaque information on discute de ce qu'on apprend sur la personne. Globalement ça donne :

  1. On sait qui sont ses amis
  2. On sait qui sont ses meilleures amis, sûrement ceux avec qui elle discute le plus
  3. On sait ses heures de levées et couchées et les moments où elle était loin de son téléphone dans la journée
  4. On sait où elle était, ce qui peut en plus être recoupé avec l'information précédente pour en apprendre plus sur ses habitudes
Suite à cela je demande aux enfants de me résumer selon eux la journée de notre cible au vue des données récupérées. La réponse a été la suivante :
La personne est une fille de 15 ans. Elle habite à cette adresse. elle a été en cours samedi matin de 8h à 12h dans ce lycée. Elle a sûrement vue des amis ensuite dans l'après-midi. Le soir elle est rentrée chez elle mais est ressortie vers 1h du matin pour rentrer à 3h. On pense qu'elle est sortie sans l'autorisation de ses parents et qu'elle a vu cette copine.
Toutes ces informations les enfants me les ont données sur la base des 4 documents distribuées avant. Je leur ai donc finalement remis la discussion Facebook qui est le 5e indice et effectivement, elle prouve que la personne est sortie sans l'autorisation de ses parents entre 1h et 3h, avec l'amie identifiée par les enfants.

Plus cette deuxième phase avançait, plus les enfants étaient surpris voir flippé par la masse de ce qu'on apprenait sur une personne avec si peu d'informations. Certains sont mêmes allées à me demander si j'avais réellement hacké quelqu'un ! En tout cas aucun n'a été indifférent à cette capacité que les hackers ont à apprendre tellement d'informations sur nous.

C'est alors que je leur ai révélé le plot twist de toute cette mise en scène : toutes ces informations sont collectées par tous vos réseaux sociaux et ils n'ont pas du tout besoin de hackers puisque vous leur donnez volontairement. A partir de cette information choc a débuté la 3e étape de la formation.

3. La discussion

Pour bien finir je trouve qu'il est important de laisser les enfants s'exprimer. Vu le sujet ça évite en plus de passer pour un gros con qui ne comprend pas leurs pratiques des rézosocios.

Globalement les enfants étaient tous d'accord pour dire qu'il fallait faire attention à ce qu'ils postent et que certaines publications ne valaient pas le coup. Ils étaient également tous d'accord pour dire qu'il fallait restreindre les autorisations des applications et notamment la géolocalisation.

La plupart était également d'accord pour dire qu'il ne fallait pas poster de photos de leurs maisons ou de leurs chambres et mêmes certains de leurs visages mais cela ne faisait pas consensus.

Par contre ils m'ont tous promis de changer leurs mots de passe !

Dernière étape les enfants ont mis sur papier les conseils qu'ils auraient aimé recevoir quand ils ont commencé à utiliser les rézosocios. Ces écrits seront utilisés pour produire un guide d'utilisation d'internet interne au mouvement scout.

Conclusion : mon ressenti

J'ai d'abord été vraiment content de pouvoir donner cette formation. Cela me tenait à cœur depuis longtemps et j'ai déjà envie de recommencer. Même si créer tous les documents m'a pris un temps fou.

Je suis aussi vraiment satisfait des réactions des enfants qui montrent pour moi que les objectifs ont globalement été atteints.

La clef pour moi a été d'alterner des moments de jeux compétitifs (la recherche des mots de passe) avec des temps de discussion plus poussés. Garder les enfants actifs par des jeux me semble plus pertinent que de leur faire une formation magistrale qui risque de les perdre, même si c'est parfois plus brouillon. C'est ça la pédagogie scoute !

Cette formation a confirmé certaines choses que je savais : les enfants ne sont pas des inconscients sur internet, ils n'ont peut-être pas toutes les bonnes pratiques mais ils se fixent des règles et ne rechignent pas à être guidé tant qu'on ne les juge pas.

J'ai aussi appris pas mal de choses : les enfants ont totalement abandonné Facebook pour Instagram et Snapachat, ils ont plutôt conscience de leur addiction au portable même si cela ne les dérange pas, et surtout ils apprécient de réfléchir à leur usage des rézosocios de manière intelligente. La question est maintenant de savoir s'ils sont prêts à modifier leurs pratiques à la suite de ces réflexions.

Moi en tout cas je suis prêt à donner d'autres formations à la première occasion !


La fiche de formation et les supports étaient très axés sur la culture propre au mouvement scout mais je vais essayer d'en faire une version plus générique pour les publier en CC-0. Si vous êtes intéressés par ces documents faites le moi savoir ça me motivera à les créer plus rapidement !

Enfin, si vous souhaitez que je donne cette formation dans votre établissement, organisme, etc. ou que nous réfléchissions ensemble à concevoir puis dispenser une nouvelle formation sur le sujet n'hésitez pas !