[Avis d’expert] Social engineering et cyberattaque : quand le cerveau devient la cible !

Publié le

Tribune Les failles "informatiques" dans lesquelles se glissent les pirates sont avant tout des failles humaines, voire cognitives, selon Fred Raynal de Quarkslab.

[Avis d’expert] Social engineering et cyberattaque : quand le cerveau devient la cible ! © Pixabay/Geralt

Les récentes attaques ayant pris pour cibles Twitter ou encore Doctolib ont permis de mettre en lumière deux problématiques majeures. La première est la gestion des données. Trop d’employés de la firme avaient accès aux comptes des utilisateurs. Ce problème est le même pour TOUS les services en ligne : clouds ou serveurs mutualisés, données médicales (cf. Doctolib), sites de rencontres, Facebook

Par exemple, chez les hébergeurs de serveurs ou les fournisseurs d’applications SaaS, il faut évidemment éviter qu’un utilisateur puisse accéder aux données d’un autre utilisateur. Et pourtant, il arrive encore régulièrement qu’en changeant un identifiant un utilisateur accède à des données qui ne sont pas les siennes. Au-delà de cela, les administrateurs de l’hébergeur ou du service peuvent-ils accéder à nos données ou nos méta-données ? La réponse est quasiment toujours oui. Si les données sont parfois chiffrées, qui gèrent et détient les clés ? Et quid des législations (US, Chine, Russie…) imposant un accès à des données chiffrées hébergées chez les hébergeurs dans des cas plus ou moins définis (terrorisme, pédophilie…) et parfois détournés (espionnage industriel) ?

On l’a vu récemment avec Doctolib qui a déclaré que des attaquants avait eu accès à des données via une application tierce. La gestion des dépendances d’une application est un point particulièrement compliqué car la surface d’attaque grossit presque sans contrôle du développeur principal.

La “privacy” (protection de la vie privée) devient un enjeu. Lors de la crise sanitaire, nous avons pu assister à un débat démocratique passionnant et animé sur la question des données de l’appli StopCovid. Beaucoup de pays ont adopté des applications similaires sans se poser de questions alors qu’ici en France, celle de la protection de la vie de privée tout comme celle de la sécurité sanitaire ont été posées sur la table !

Entre d’un côté, les fournisseurs des services eux-mêmes et de l’autre, les failles tierces, les attaquants disposent de nombreuses options techniques pour accéder à nos données. Pour autant, des solutions existent pour protéger les données : le chiffrement de bout en bout, popularisé par les applications de messageries lorsque les données sont stockées ou transmises, ou l’obfuscation, consistant à dissimuler les données, lorsqu’elles sont manipulées.

Mais les attaques techniques ne sont pas la seule menace. La seconde problématique qu’illustre l’attaque de Twitter est qu’au moins un des employés avec ces accès excessifs a été trompé par l’attaquant. Ce type d’attaque s’appelle du “social engineering”. L’objectif est d’amener une personne à effectuer une action en jouant avec son cerveau. Ces attaques ont été popularisées en informatique par Kevin Mitnick, traqué par le FBI pendant des années, qui téléphonait à des personnes pour obtenir des accès illégitimes à des réseaux dès le début des années 1980. Aujourd’hui, les “fraudes au président” reposent sur les mêmes schémas : en apprendre le plus possible sur les cibles (organisation, qui est là ? quand ? les centres d’intérêts ? etc.) pour créer de la confiance, mettre les cibles en situation de stress afin de les amener à révéler un secret ou effectuer une action, en toute sérénité.

Notre cerveau est victime d’un dysfonctionnement (ou d’un bug comme on dit en informatique)et des attaquants exploitent ces vulnérabilités depuis des siècles. On parle de “biais cognitifs”.

Les biais cognitifs nous permettent de supporter quatre situations courantes. Notre perception envoie à notre cerveau des millions de signaux que celui-ci ne sait traiter. Du coup, il compresse avec perte (il fait le tri). Ces signaux génèrent des souvenirs, mais on ne se souvient pas de tous les détails, ils sont organisés pour être stockés, avec des différences entre mémoire à court ou long terme. Ces souvenirs et notre manière de raisonner nous permettent de prendre des décisions, mais décider est compliqué. D’une part, nous n’aimons pas le faire sans maîtriser tous les tenants et aboutissants : nous avons besoin de donner du sens aux choses et nous projetons notre propre personnalité dans des contextes incomplets. D’autre part, nous préférons, à cause de notre instinct de survie, les choix peu engageants aux décisions irrévocables : le statu quo est rassurant versus l’incertitude. Les progrès des neurosciences sont à la fois terrifiants et fascinants pour expliquer le fonctionnement du cerveau. En effet, plus on le comprend, mieux on sait en exploiter les biais (bugs).

En ayant connaissance d’un événement aux conséquences désastreuses (biais de négativité qui renforce les souvenirs négatifs au détriment des positifs) pour peu qu’il soit récent (biais de disponibilité en mémoire qui nous fait croire qu’un événement récent est fréquent… et est donc susceptible de se reproduire), une cible va effectuer une action pour éviter un nouveau désastre. Dans le même temps, cette cible a été approchée par l’attaquant (biais de halo : personne présentant bien, donc de confiance, intelligente, etc.) qui a raconté comment il a vécu et résolu une situation similaire (biais d’ancrage : il a résolu la situation comme cela, je pourrai faire de même). Si ça a marché pour lui, alors ça marchera pour la cible (biais de conformité). A partir de là, le cerveau de la cible va chercher tous les éléments pour confirmer que l’attaquant est bien la bonne personne pour l’aider (biais de confirmation), jusqu’à franchir le pas. Évidemment, l’escroc prendra soin de placer sous les yeux de la cible un truc énorme pour éviter que la cible ne creuse trop loin (biais de l’angle mort).

Au final, les escrocs, arnaqueurs, commerciaux, espions, recruteurs ou autres prestidigitateurs sont parfaitement habitués à toutes ces failles du cerveau et les exploitent quotidiennement. Quand c’est à des fins “techniques”, on parle alors de “social engineering”. Tout le monde peut se faire avoir à ce jeu-là. La seule défense est la sensibilisation voire l’entrainement pour prendre conscience de ces biais et être capables de détecter quand une anomalie se passe.

La cybersécurité est un sujet qui touche à de nombreux aspects : techniques, légaux, organisationnels, mais aussi humain. L’attaque Twitter nous le rappelle bien.

Fred Raynal de la société Quarkslab, spécialisée en cybersécurité système d’attaque et de défense pour les entreprises.

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte