AA

Catégories

linux (2) ssh (1) hacking (2) cargo-cult-security (1)

Au secours ! Mes étudiants utilisent l’IA !

Dans le cadre de cours que je dispense à l’ENSTA en tant que vacataire, j’ai été confronté cette année à une utilisation massive de chatgpt. L’IA existe depuis quand même un certain temps, ce qui finalement rend surprenant le fait que ce n’est que récemment que les étudiants semblent en tirer crédit pour faire faire leurs comptes-rendus de TP.

Plus qu’un outil, l’IA propose à l’humanité d’assouvir son fantasme le plus ultime : plus fort que nos désirs de pouvoir, de sexe, d’argent, de gloire, l’IA promet de combler notre ubris le plus extrême : la sous-traitance jusqu’à notre propre flemme.

Alors, certes, il est toujours possible de le remettre à sa place d’assistant, et de passer ses réponses au crible du doute et de l’analyse ; De même que certains des étudiants l’utilisant interprètent, confrontent et s’interrogent sur la pertinence des réponses générées ; Ce qui finalement correspond à ce qu’on attend d’un ingénieur : penser par soi-même et mettre en place une démarche intellectuelle originale de résolution des problèmes.

Mais il reste difficile de discriminer une utilisation abusive de l’outil habilement maquillée du travail sincère un étudiant proposant un compte-rendu de TP jugé à tort “trop parfait pour être vrai”.

C’est d’ailleurs un soucis récurrent désormais dans l’enseignement : comment prouver et sanctionner l’utilisation aveugle d’un outil sans pour autant accuser injustement un étudiant ayant fourni un travail original ?

Sécurité réseau

Lorsqu’il s’agit de mettre en place des mesures de sécurité, les éditeurs accourent et nous revoilà à devoir confronter des vendeurs de rêves.

Pour rappel, au niveau 2 de la couche OSI, la couche liaison, chaque composant communique, et la thématique consiste à s’assurer que tout le monde puisse parler selon des règles établies à l’avance : best-effort Ethernet, Ethernet déterministe ARINC 664, Infiniband, etc.

Il ne s’agit pas de sécurité.

On cherche à communiquer.

Comment authentifier une personne alors qu’on ne peut même pas interagir avec ? Ce n’est pas le rôle du niveau 2 de mettre en place de la sécurité. On ne sait pas avec qui on parle, et si on cherche à le savoir, on a un problème de poule et d’œuf : Il faudrait interdire l’accès avant d’avoir authentifié, mais authentifier avant d’autoriser. Évidemment, on peut toujours tenter de mettre en place du 802.1X, et Cisco le premier de vendre des solutions blindées de vulnérabilités et de contournements. Une simple requête Google mentionne Fenrir permettant de mettre en place d'un outil de man-in-the-middle 802.1X compatible avec l'utilisateur de Responder.

À noter :

Il n’y a pas de sécurité en couche 2. Rien ne prémunis formellement d’un man-in-the-middle. (Sauf éventuellement les mécanismes type MACsec du 802.1X. Qui finalement consiste en un tunnel VPN. Cf. justement c-dessous. VPN Niveau 2 embarquant une dépendance matérielle. Hé hé bien joué Cisco tu pourras donc placer tes appliances et facturer. On te fait confiance.).

Seule solution :

Atteindre les niveaux supérieurs et mettre en place chiffrement et authentification robustes des participants. Un VPN en somme.

Pour illustrer l’absence de sécurité du niveau 2, je propose aux étudiants de coder un outil de man-in-the-middle en python. Et je m’attends bien entendu que certains d’entre eux terminent le TP en 2 secondes le temps de demander à ChatGPT.

IA et biais de confirmation

Les aspects codage sont pas si complexes, surtout en utilisant scapy. Au niveau pédagogique, il s’agit aussi de montrer comment jouer avec les adresses MAC source et destination des intervenants : le routeur, la victime, et l’attaquant ; Ce qui permet d’aborder les thématiques de résilience réseau : la haute disponibilité est souvent mise en place en s’appuyant sur le mécanisme d’ARP Gratuitous, finalement rien de plus qu’un man-in-the-middle “légitime”.

Mais là, un phénomène réseau inattendu se produit. Un petit paquet apparait et menace de faire échouer l’attaque. Les codeurs d’applications de man-in-the-middle l’ont vu. ChatGPT l’a vu. Les étudiants qui ont codé l’outil et observé les paquets échangés sur le réseau l’ont vu.

Quand on le capture avec Wireshark, on se demande d’où vient ce martien. Lui même n’en sait rien. Il est là, va et vient ; Triste et mélancolique, il reste perdu dans un jeu dont il ignore la finalité. Refusant de jouer avec ses camarades ARP, il poursuit un but qui le dépasse.

Quand j’ai compris d’où il venait, j’ai resenti un frisson. Je le connais finalement très bien, perdu au fond de la cour de récré, seul et moqué de tous, si différent mais si semblable aux autres en même temps. Je passe dans les rangs et observe mes étudiants. Certains aussi resentent ce frisson. Ceux-là n’utilisent pas chatGPT.

Quant à toi, petit martien, ne sois pas inquiété : Tu es la raison même pour laquelle ce TP fonctionnera encore longtemps. Enfermés par les biais cognitifs des étudiants les moins attentifs, les IA ne te découvriront jamais.