Goodtech
Tribunes & Opinions

L’erreur est humaine, les biais cognitifs sont les nouvelles armes des hackers

• Bookmarks: 20


Aujourd’hui, un des vecteurs d’attaque majeurs est l’ingénierie sociale, qui consiste à manipuler les utilisateurs, dans des campagnes de phishing, par exemple, pour agir sur leur psychologie afin de recueillir des informations sensibles comme des mots de passe, un accès à distance, un atout critique pour la société ou une information cruciale.

Les solutions de défense évoluent constamment pour mieux détecter les codes malveillants et contenus suspects, à un point où l’attaque technique devient moins rentable, prenant trop de temps. L’attaquant fait alors le choix d’atteindre l’utilisateur directement pour obtenir beaucoup plus facilement les informations : il crée des scénarios pour aborder l’utilisateur et entamer une discussion de manière la plus discrète possible sans éveiller sa méfiance.

Il existe un entonnoir de conversion, comme dans le démarchage commercial, dans les attaques par ingénierie sociale comme le phishing. Pour un e-mail envoyé à 100 personnes, peut-être que seules 40 l’ouvriront, 12 téléchargeront la pièce jointe et 5 activeront les macros. Pour augmenter les chances de succès et le nombre de personnes allant au bout du scénario, deux solutions s’offrent à l’attaquant : modifier le scénario pour diminuer le nombre d’étapes, car à chaque étape, il y a déperdition, ou manipuler la cible pour éviter qu’elle se pose trop de questions et éviter les pertes à chaque étape.

Il existe deux modes de pensée : la pensée intuitive et la pensée rationnelle

La pensée intuitive, rapide, à faible effort, influencée par les émotions, le ressenti, les choses déjà vécues, les habitudes, est plus facile à exploiter car les réactions des utilisateurs sont assez prédictibles.

Par opposition, la pensée rationnelle, lente, analytique, réfléchie, fait que l’utilisateur risque de se rendre compte de l’attaque.

Les attaquants savent comprendre le fonctionnement de l’utilisateur pour l’amener à fournir ce qu’on attend de lui, et exploitent ce qu’on appelle les biais cognitifs.
Parmi ces biais, on retrouve le biais d’autorité : les instructions venant d’une personne perçue comme une figure d’autorité poussent l’utilisateur à ne pas réfléchir et à appliquer la consigne. Ce biais est utilisé par une attaque très connue surnommée « fraude au président », quand l’attaquant se fait passer pour un décideur de la société et manipule par exemple, un assistant, un comptable, pour obtenir un virement frauduleux. Aux Etats-Unis, des travaux ont montré, notamment via la fameuse expérience de Milgram, que l’autorité d’un scientifique en blouse blanche va pousser des personnes à exécuter des actions malveillantes ou immorales sans trop réfléchir.

Un autre biais assez courant est le biais de cadragE

Il consiste à modifier la formulation pour rendre la perception d’un choix plus positif (ou négatif) qu’il ne l’est vraiment, pour influer la prise de décision. L’exemple commun est un choix entre une solution A qui a 25% de chance de succès ou une solution B qui a 70% de risque d’échec, dans lequel une grande proportion de personnes choisissent la solution A instinctivement, parce qu’elle parle de chance de succès alors que la solution B, intitulée différemment, propose 30% de chance de succès et est donc plus intéressante. La manière de présenter les choses, le choix des mots, positifs ou négatifs, influencent la prise de décision.

C’est ainsi qu’on est confronté à des éléments de langages courants comme des « plans de sauvegarde de l’emploi », plus flatteurs que « plans de licenciements », ou encore évoquer « une tendance à la baisse », qui est simplement une augmentation, mais moins rapide.

Un autre biais important dans le cadre de la cybersécurité est le biais de normalité. Les incidents étant globalement rares, une anormalité ne va pas forcément être détectée par l’utilisateur. Par exemple, un chargé de recrutement qui reçoit quotidiennement des CV par e-mail, ne va pas se méfier d’un document Word envoyé en pièce jointe, même s’il est suspect, le candidat ayant pu commettre une erreur. C’est souvent ainsi que les opérations de phishing arrivent à leurs fins.

Il faut également se méfier de l’effet de halo, une caractéristique perçue comme positive ou négative orientant l’ensemble de l’évaluation de la situation, comme la première impression, bonne ou mauvaise, qui influence notre perception. Des études démontrent que les personnes de plus grande taille sont mieux rémunérées, sans doute parce qu’elles sont perçues comme plus rassurantes, plus qualitatives, et que les personnes perçues comme « belles » ont plus de chance d’être recrutées, car l’effet de halo positif qu’elles dégagent prend le pas sur leurs autres caractéristiques. Les attaquants peuvent jouer sur cet effet de halo pour profiter d’une image positive, comme par exemple pour s’introduire en costume et cravate dans un bureau afin d’imposer un sentiment d’autorité et de légitimité.

Le biais d’engagement fonctionne très bien pour les phishings par téléphone. Le principe est que plus une personne passe du temps sur une tâche et plus elle s’investit et tient à la mener à bien. Lors d’une attaque de phishing, plutôt que demander directement l’information qui l’intéresse, l’attaquant construit un dialogue avec sa cible pour instaurer la confiance et créer l’engagement de l’interlocuteur dans la discussion afin qu’il n’ose pas refuser l’action demandée, puisqu’il se sentira investi dans l’échange.

Si chacun se sent averti et est persuadé qu’il ne tombera pas dans le piège, il tombe justement dans le biais d’angle mort, de celui qui se sent intouchable alors qu’il faut toujours revenir à la pensée rationnelle pour évaluer les faits et les situations.

Entreprises, soyez vigilantes et informez vos utilisateurs !

Même si vous avez un VPN qui protège votre Système d’Information, l’attaquant peut faire en sorte d’obtenir le login et le mot de passe d’un utilisateur pour le pénétrer. Il peut par exemple cibler une personne vulnérable capable de répondre à un appel supposé de la DSI et l’amener à se connecter sur une fausse page de connexion pour récupérer son identifiant et son mot de passe. Une fois la porte ouverte, l’attaquant n’a qu’à se servir… Un utilisateur averti est une première arme de défense.

Une tribune de Nicolas Cosnard, RedTeam Leader, Akerva

 

20 recommended
bookmark icon
%d