Aujourd’hui, un des vecteurs d’attaque majeurs est l’ingénierie sociale, qui consiste à manipuler les utilisateurs, dans des campagnes de phishing par exemple, pour agir sur leur psychologie afin de recueillir des informations sensibles comme des mots de passe, un accès à distance, un asset critique pour la société ou une information cruciale.
Les solutions de défense évoluent constamment pour mieux détecter les codes malveillants et contenus suspects, arrivant à un point où l’attaque technique devient moins rentable, prenant trop de temps. L’attaquant fait alors le choix d’atteindre l’utilisateur directement pour obtenir beaucoup plus facilement les informations : il crée des scénarios pour aborder l’utilisateur et entamer une discussion de manière la plus discrète possible sans éveiller sa méfiance.
Il existe un entonnoir de conversion, comme dans le démarchage commercial, dans les attaques par ingénierie sociale comme le phishing. Pour un e-mail envoyé à 100 personnes, peut-être que seules 40 l’ouvriront, 12 téléchargeront la pièce jointe et 5 activeront les macros. Pour augmenter les chances de succès et le nombre de personnes allant au bout du scénario, deux solutions s’offrent à l’attaquant : modifier le scénario pour diminuer le nombre d’étapes, car à chaque étape, il y a déperdition, ou manipuler la cible pour éviter qu’elle se pose trop de questions et éviter les pertes à chaque étape.
La pensée intuitive, rapide, à faible effort, influencée par les émotions, le ressenti, les choses déjà vécues, les habitudes, est plus facile à exploiter car les réactions des utilisateurs sont assez prédictibles.
Par opposition, la pensée rationnelle, lente, analytique, réfléchie, fait que l’utilisateur risque de se rendre compte de l’attaque.
Les attaquants savent comprendre le fonctionnement de l’utilisateur pour l’amener à fournir ce qu’on attend de lui, et exploitent ce qu’on appelle les biais cognitifs.
Parmi ces biais, on retrouve le biais d’autorité : les instructions venant d’une personne perçue comme une figure d’autorité poussent l’utilisateur à ne pas réfléchir et à appliquer la consigne. Ce biais est utilisé par une attaque très connue surnommée « fraude au président », quand l’attaquant se fait passer pour un décideur de la société et manipule par exemple, un assistant, un comptable, pour obtenir un virement frauduleux. Aux Etats-Unis, des travaux ont montré, notamment via la fameuse expérience de Milgram, que l’autorité d’un scientifique en blouse blanche va pousser des personnes à exécuter des actions malveillantes ou immorales sans trop réfléchir.
Un autre biais assez courant est le biais de cadrage. Il consiste à modifier la formulation pour rendre la perception d’un choix plus positif (ou négatif) qu’il ne l’est vraiment, pour influer la prise de décision. L’exemple commun est un choix entre une solution A qui a 25% de chance de succès ou une solution B qui a 70% de risque d’échec, dans lequel une grande proportion de personnes choisissent la solution A instinctivement, parce qu’elle parle de chance de succès alors que la solution B, intitulée différemment, propose 30% de chance de succès et est donc plus intéressante. La manière de présenter les choses, le choix des mots, positifs ou négatifs, influencent la prise de décision. C’est ainsi qu’on est confronté à des éléments de langages courants comme des « plans de sauvegarde de l’emploi », plus flatteurs que « plans de licenciements », ou encore évoquer « une tendance à la baisse », qui est simplement une augmentation, mais moins rapide.
Un autre biais important dans le cadre de la cybersécurité est le biais de normalité. Les incidents étant globalement rares, une anormalité ne va pas forcément être détectée par l’utilisateur. Par exemple, un chargé de recrutement qui reçoit quotidiennement des CV par e-mail, ne va pas se méfier d’un document Word envoyé en pièce jointe, même s’il est suspect, le candidat ayant pu commettre une erreur. C’est souvent ainsi que les opérations de phishing arrivent à leurs fins.
Il faut également se méfier de l’effet de halo, une caractéristique perçue comme positive ou négative orientant l’ensemble de l’évaluation de la situation, comme la première impression, bonne ou mauvaise, qui influence notre perception. Des études démontrent que les personnes de plus grande taille sont mieux rémunérées, sans doute parce qu’elles sont perçues comme plus rassurantes, plus qualitatives, et que les personnes perçues comme « belles » ont plus de chance d’être recrutées, car l’effet de halo positif qu’elles dégagent prend le pas sur leurs autres caractéristiques. Les attaquants peuvent jouer sur cet effet de halo pour profiter d’une image positive, comme par exemple pour s’introduire en costume et cravate dans un bureau afin d’imposer un sentiment d’autorité et de légitimité.
Le biais d’engagement fonctionne très bien pour les phishings par téléphone. Le principe est que plus une personne passe du temps sur une tâche et plus elle s’investit et tient à la mener à bien. Lors d’une attaque de phishing, plutôt que demander directement l’information qui l’intéresse, l’attaquant construit un dialogue avec sa cible pour instaurer la confiance et créer l’engagement de l’interlocuteur dans la discussion afin qu’il n’ose pas refuser l’action demandée, puisqu’il se sentira investi dans l’échange.
Si chacun se sent averti et est persuadé qu’il ne tombera pas dans le piège, il tombe justement dans le biais d’angle mort, de celui qui se sent intouchable alors qu’il faut toujours revenir à la pensée rationnelle pour évaluer les faits et les situations.
Entreprises, soyez vigilantes et informez vos utilisateurs ! Même si vous avez un VPN qui protège votre Système d’Information, l’attaquant peut faire en sorte d’obtenir le login et le mot de passe d’un utilisateur pour le pénétrer. Il peut par exemple cibler une personne vulnérable capable de répondre à un appel supposé de la DSI et l’amener à se connecter sur une fausse page de connexion pour récupérer son identifiant et son mot de passe. Une fois la porte ouverte, l’attaquant n’a qu’à se servir… Un utilisateur averti est une première arme de défense.
Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act [1]) est […]
EN SAVOIR PLUS
Voici un an maintenant, que le règlement DORA (The Digital Operational Resilience Act[1] est entré […]
EN SAVOIR PLUS
Akerva participe au Forum InCyber 2024 ! Toute notre équipe sera présente au Forum […]
EN SAVOIR PLUS
Le sujet controversé revient régulièrement sur la table, et oppose les partisans d’une négociation avec […]
EN SAVOIR PLUS
Comme chaque année, début octobre, se tenait Les Assises de la Cybersécurité à Monaco. Cet […]
EN SAVOIR PLUS![[ PRESSE ] : 17 points essentiels pour sécuriser vos infrastructures informatiques sensibles exposées sur internet](https://akerva.com/wp-content/uploads/2020/04/Logo-GLOBALSECURITYMAG_.png){kind=logo}
Pourquoi se faire certifier ISO 27001 pour une entreprise ? Paru dans Global Security Mag, […]
EN SAVOIR PLUS
L’Organisation Internationale de Normalisation (ISO) a récemment publié les statistiques du nombre de certifications obtenues […]
EN SAVOIR PLUS
Aujourd’hui, un des vecteurs d’attaque majeurs est l’ingénierie sociale, qui consiste à manipuler les utilisateurs, […]
EN SAVOIR PLUS
Cybersecurity Made in Europe, un label conçu pour favoriser la compétitivité de l’écosystème européen de […]
EN SAVOIR PLUS
La migration vers le cloud qui augmente de 24,5%. Cette actualité va imposer un changement […]
EN SAVOIR PLUS