Contrairement à d’autres situations ou activités, l’analyse des biais dans le renseignement est assez récente. Pour preuve, le programme européen RECOBIA (REduction of COgnitive BIAses in Intelligence Analysis) date seulement de 2012. L’objectif de ce programme est de travailler à l’amélioration de la qualité de l’analyse du renseignement sur les menaces en réduisant l’impact négatif des biais cognitifs.
En effet, un analyste en renseignement qui doit retravailler l’information, l’analyser, la confronter à une série d’autres informations ou réalités, etc. est au cœur de très nombreux mécanismes cognitifs. Il est donc sujet à un certain nombre de déviances qui pourraient altérer son jugement ou son analyse, et donc fournir une information erronée, tant dans son contenu que dans son importance ou sa validité, par exemple.
C’est en cela que le DGA Lab, laboratoire d’innovation du ministère de la Défense, a identifié dans le milieu du renseignement, 29 biais cognitifs majeurs qui entrent en jeu de manière quasi systématique, lors du travail de qualification d’un renseignement.
Je ne vais pas lister les 29, car cela n’aurait que peu d’intérêt. Mais j’ai essayé de me prêter à l’exercice du rapprochement de ces biais avec les 5 étapes dans le cycle du renseignement afin de déterminer en quoi chacune de ces étapes peut être influencée, perturbée par un biais.
Dans un souci de simplification, j’ai essayé d’illustrer mon propos dans le schéma ci-dessous. Il ne s’agit évidemment que d’un premier travail. Que d’une ébauche de réflexion qui me permet, dans le cadre même de mes activités, de comprendre et d’analyser ma propre méthode de traitement de la donnée.
Les biais cognitifs pouvant affecter les pratiques associées au renseignement sur les menaces.
Ça y est, nous y sommes, cette fois il ne s’agit plus de surveiller, d’être en veille, mais en action. Nous sommes en pleine cyber crise !
Les grands opérateurs de service en cybersécurité sont généralement habitués à gérer des crises, que ce soit dans leur propre organisation, ou pour l’un de leurs clients. Ils ont donc là encore tout un arsenal d’outils et de méthodes pour piloter et gérer ce type d’évènements.
Pour autant – et on le vérifie quasi systématiquement –, personne n’est à l’abri de mauvaises décisions. Alors si nous sommes tellement préparés, pourquoi une gestion de crise peut-elle déraper ?
Plusieurs biais peuvent expliquer ces erreurs d’appréciation. En voici quelques-uns.
Il arrive très souvent de voir une équipe ne pas déclencher le protocole de crise alors qu’elle est justement en pleine tempête. Ça peut sembler aberrant, mais analyser la situation et la qualifier de crise n’est pas chose aisée. Sans compter que lorsque tout devient critique pour tout le monde, on ne sait plus distinguer l’urgent de l’important. C’est alors que se met en branle une réaction quasi systématique : l’improvisation générale. Tout le monde se mêle de tout, personne ne respecte plus les protocoles de communication, les niveaux de confidentialité sont bafoués, les communications sont anarchiques, les actions non pilotées, etc. La situation est idéale pour garantir une perte d’information et mener un membre de l’équipe à prendre la mauvaise décision. Les acteurs de cette situation ne la perçoivent pas telle qu’elle est réellement. Et ce pour une raison assez triviale finalement : l’anarchie mène à la production en masse de données chiffrées ou de contenus sémantiques, qui vont venir perturber l’analyse et le bon sens, en créant une distorsion de l’estimation ou de l’interprétation de l’information. La simple formulation d’une question ou d’une situation influe sur la perception d’une situation et conduit notre cerveau à commettre des écarts d’interprétation pouvant être lourds de conséquences. Il s’agit du biais d’ancrage.
Un autre point qui intervient très souvent dans la mauvaise prise de décision : ne se fier qu’à l’expertise en oubliant le bon sens. Les décideurs dans une entreprise par exemple, qui ne sont généralement pas des techniciens, vont parfois se retrouver à devoir prendre une décision dans un contexte qu’ils ne maîtrisent plus. La cyberattaque est un exemple frappant : elle est très technique, est décrite par un vocabulaire très abstrait, et n’est comprise que des experts du sujet. Dans ce contexte, le patron se retrouve dans une position compliquée et va avoir du mal à prendre la décision. Il va donc s’en remettre aux techniciens, considérant qu’ils sont mieux placés pour le faire. Son jugement sera donc totalement influencé et pourrait ne pas refléter ce qu’il pense vraiment, et surtout ce qu’il doit réellement faire. Il s’agit du biais d’expertise.
Une autre situation qui génère souvent des déviances est la réunion de crise. Il arrive parfois que certains, par peur d’être exclus, ou par simple besoin de montrer qu’ils sont du même avis que la majorité, prennent une décision qui n’est pas forcément la leur. Ce désir d’harmonie, qui rend irrationnels les processus de décision, provient du biais de conformité. On pourrait également parler du biais du faux consensus qui intervient dans les mêmes moments, mais lorsqu’il faut aller vite : accélérer la prise de décision, sans avoir analysé les alternatives et la qualité des choix faits.
Un biais assez similaire intervient parfois en situation de crise. Il s’agit du biais de similarité, qui confère à un individu, parce qu’il pense comme les autres, un poids dans la décision finale, alors que ce même individu n’a pas forcément d’expertise sur le sujet. « Il pense pareil, alors c’est qu’il sait ».
Le retour d’expérience et son analyse sont particulièrement importants après toute gestion de crise ou incident majeur.
On pourrait continuer tant la liste des biais est longue. La situation de crise, parce qu’elle est exceptionnelle, parce qu’elle génère du stress, de la pression, de la peur, est sans doute l’une des situations où l’on peut trouver de très nombreux biais qui s’expriment : le biais de l’illusion de validité, des émotions immédiates, de la malédiction de la connaissance, de l’ambiguïté, d’autorité, d’injonction paradoxale ou de renoncement, etc. Toutes ces déviances de la pensée que notre cerveau ordonne sans que nous puissions le contrôler simplement.
C’est en ce sens que le retour d’expérience et son analyse sont particulièrement importants après toute gestion de crise ou incident majeur : reprendre à froid, chaque décision, chaque comportement, et essayer de comprendre ce qui a pu modifier une perception, une décision.
En général, une équipe cyber, lorsqu’elle est pleinement constituée, se compose d’un certain nombre de groupes clairement identifiés : équipe de gestion du risque, une équipe de détection (SOC), une équipe de réponse à incidents (CERT), et une équipe de renseignement (CTI), etc.
Toutes sont normalement formées aux risques cyber, aux crises, aux incidents. Chaque membre des différentes équipes, en fonction de son niveau d’expertise, est doté d’une méthode d’analyse des risques, d’un arsenal d’outils, de données télémétriques lui permettant d’assurer sa mission. Pourtant, force est de constater qu’ils ne sont pas exempts de failles.
Les analystes du SOC, désignés pour surveiller les systèmes d’information, sont de plus en plus surchargés cognitivement : on estime qu’ils doivent traiter les alertes au rythme d’une toutes les deux minutes ! Trop d’informations en même temps, pas ou peu de lien entre plusieurs informations, une contextualisation qui change toutes les deux minutes également, une multitude de sources d’informations qu’il faut appréhender et rapidement analyser, etc.On estime que les analystes du SOC, désignés pour surveiller les systèmes d’information, doivent traiter les alertes au rythme d’une toutes les deux minutes.
Cette combinaison de facteurs qui inclut des quantités écrasantes de données, les nombreux faux positifs qu’elles génèrent, le temps qui est compté, le stress de la situation, l’organisation du travail, les pressions managériales… entraînent une surcharge cognitive. Laquelle peut, évidemment, conduire parfois (et de plus en plus souvent) à la prise de mauvaises décisions.
Si nous rapprochons ces constats aux biais cognitifs, voici ce que nous pouvons dire :
Les acteurs qui travaillent dans ce type de contextes peuvent surestimer ou sous-estimer (biais d’optimisme) la criticité d’une situation, et surtout peuvent avoir tendance à rechercher des preuves soutenant une hypothèse qu’ils souhaitent privilégier. L’analyste peut surpondérer des informations allant dans son sens : c’est le biais de confirmation. Exemple d’une entreprise qui a l’habitude de mener des campagnes de phishing pour sensibiliser ses personnels : les équipes cyber vont penser en priorité à exclure la possibilité d’une attaque, et penser plutôt à un exercice. Elles vont plutôt rechercher tous les éléments allant dans ce sens, sans forcément se dire qu’il s’agit d’une réelle campagne de phishing. Et pendant ce temps, le chrono tourne.
Les mêmes acteurs peuvent être amenés à se référer directement à un outil et à ses résultats, sans chercher à analyser le contexte réel : biais d’automatisation. L’omniprésence de l’outillage et le sentiment que la machine a toujours raison les amènent à privilégier les résultats issus d’un système automatisé, au détriment de décisions réfléchies, posées et contextualisées.
Souvent, lors d’un incident de sécurité, les équipes ont tendance à se focaliser sur les risques majeurs, en oubliant les risques résiduels qui peuvent être tout autant dévastateurs : biais d’information partagée, on passe plus de temps sur les informations générales et moins sur les détails. Mais il peut également faire l’inverse, et ne se concentrer que sur ce qui est minime. C’est ici un comportement qui répond à la loi de la futilité, et qui ordonne de passer plus de temps sur des questions sans intérêt que sur le sujet en cours. C’est assez proche de l’effet de l’autruche, qui va induire un tri trop sélectif de l’analyste, lequel ne va pas avoir la même considération pour toutes les informations qui lui parviennent.
Parfois, un analyste de SOC, parce qu’il a de l’expérience, oublie de tester d’autres méthodes d’analyses ou de contextualisation. Persuadé que sa méthode est unique et qu’elle est la bonne, il ne cherche pas à la confronter à une autre. C’est l’effet Einstellung : lorsqu’une idée vient immédiatement à l’esprit dans un contexte familier, elle empêche les alternatives d’être considérées. On retrouve ce comportement avec l’expression du biais heuristique, où seules les informations qui viennent à l’esprit en premier sont considérées. Ce phénomène peut être excessivement dangereux, notamment lorsque les équipes sont focalisées sur une attaque phare et en oublient la sécurité d’autres périmètres.
Un autre biais assez fréquent que l’on rencontre est le biais de disponibilité, qui consiste à interférer dans la prise de décision, en ne mettant en avant que les instances dans lesquelles certaines actions ont réussi dans le passé. L’analyste va alors comparer la situation en cours avec une précédente qui y ressemble, et prendra une décision potentiellement peu efficace, voire inadaptée.
Enfin, l’expérience peut être un atout, mais également une contrainte en cybersécurité. L’excès de confiance peut biaiser la perception des choses et conduire à prendre une mauvaise décision. Cette déviance est elle aussi liée à un biais, naturellement appelé le biais de l’excès de confiance.
Nous venons de décrire quelques biais qui peuvent être à l’origine de mauvaises décisions dans un SOC… et ce dans une situation dite nominale. Qu’en est-il en cas de crise majeure ? Ce sera l’objet du prochain article de cette série.
Même si certains diront « tout maîtriser », il faut savoir reconnaître que nous sommes manipulé-e-s la plupart du temps par un fonctionnement très spécial de notre cerveau. L’immense majorité des milliers de décisions que nous prenons au quotidien le sont en mode « pilotage automatique », sous l’impulsion forte, mais incontrôlée, de nombreux biais cognitifs. Un biais cognitif est une distorsion dans le traitement cognitif d’une information. On imagine alors que comprendre ces biais cognitifs est un réel enjeu stratégique, tant pour les déjouer que pour les utiliser dans nos actions.
Les biais cognitifs constituent un sujet qui me passionne depuis de nombreuses années. Dans le domaine de la cybersécurité, on imagine aisément que comprendre ces biais, et être capables de les utiliser, nous donnerait un avantage stratégique très important : déjouer les attaques, et manipuler l’attaquant !
L’objectif n’est pas ici de faire une liste sans fin de tous les biais qui existent, mais plutôt de présenter comment, au quotidien, ils peuvent altérer les plus aguerris d’entre nous. Les analystes, les experts forensics, les spécialistes du renseignement, les meilleurs pilotes de cellules de crises… tous sont susceptibles à un moment ou à un autre de laisser un biais prendre le contrôle de leurs réflexions, de leurs décisions.Tout le monde est concerné par les déviances que les biais cognitifs peuvent engendrer.
On ne sera jamais certain d’éviter d’être la victime d’un biais. Mais on doit essayer de tout faire pour éviter qu’il ne nous piège au mauvais moment. D’ailleurs, il est quasi certain que j’ai dû en être victime moi aussi en rédigeant cette série d’articles. L’influence de mon travail, de mes collègues, de mes mentors… Tout le monde est concerné par les déviances que les biais cognitifs peuvent engendrer. Un des pièges à éviter, c’est de ne pas céder au biais de l’angle mort, et croire que les biais cognitifs sont davantage présents chez les autres que chez soi.
Des menaces dont il est difficile d’appréhender la réalité
En cybersécurité, la perception du risque est particulière du fait d’un manque d’information à jour sur les menaces. Ces dernières étant très évolutives et mouvantes, nous n’avons général qu’une vue très partielle du son contexte complet du risque.
Nous savons que la menace est réelle, mais il est très compliqué de quantifier le risque qui y est associé. Pire encore, certains ne se sentent pas toujours concernés (effet Dunning Kruger : la plupart des gens pensent qu’ils ne seront pas victimes d’incidents de sécurité), même si cela tend à changer.Nous sommes désormais de plus en plus conscients qu’être attaqués sera une réalité, mais nous n’arrivons toujours pas à pleinement anticiper cette réalité, et à en évaluer le risque.
En effet, nous sommes désormais de plus en plus conscients qu’être attaqués sera une réalité, mais nous n’arrivons toujours pas à pleinement anticiper cette réalité, et à en évaluer le risque.
Nous pouvons aujourd’hui qualifier leurs coûts tangibles : vol de fonds (directs ou via une rançon), dommages causés aux systèmes, amendes pour infractions aux règlements, compensations financières. Et nous savons à peu près définir leurs coûts non palpables qui pourraient inclure la perte d’un avantage concurrentiel liée au vol de propriété intellectuelle, la perte de confiance, l’atteinte à la réputation, la décrédibilisation de la marque, etc.
Mais au-delà de ces dommages que nous savons potentiellement mesurer, les cyberattaques prennent désormais une ampleur capable de causer des pannes d’infrastructure à une échelle beaucoup plus grande, capable d’affecter des interconnexions complexes entre plusieurs industries, entre plusieurs business, et potentiellement déstabiliser des systèmes financiers ou industriels complets.
L’objectif ici n’est pas de décrire les risques, et d’apporter une réponse à leurs qualifications, mais d’avancer sur une des nombreuses questions que l’on pourrait se poser pendant une cyberattaque : comment prendre les bonnes décisions dans un contexte de crise cyber ?
Là encore, je ne vais pas m’aventurer à débattre sur la définition d’une cellule de crise, ou le « comment bien gérer une crise cyber », car ce n’est pas mon métier premier, mais je vais plutôt m’intéresser à l’humain au milieu de cette crise. L’Humain et, avec lui, les organisations qu’il a construites, sont des édifices fragiles et faillibles. Et évidemment, les biais cognitifs sont souvent au cœur de cette fragilité.
Je vais essayer de centrer cette série d’articles sur 4 domaines pour lesquels les biais cognitifs auront une action déterminante sur la prise de décision des équipes en charge de gérer les risques, une crise, du renseignement ou la riposte contre l’adversaire.
La Sensibilisation et la formation à la cybersécurité est bien entendue une évidence, plusieurs articles, publications le rappellent constamment.
Pour autant, une formation pour une formation n’a pas réellement d’impact. Et peut même avoir un effet désastreux : noyer, galvauder, diluer l’information à retenir.
Il est essentiel d’utiliser tous les outils à disposition (d’en connaitre aussi les limites) pour aider les salariés d’une entreprise à retenir ce qu’ils apprennent, en particulier sur des sujets qui peuvent les impacter au quotidien.
Si on se réfère à la psychologie cognitive, la mémoire a une capacité limitée. Il est donc important de permettre à des informations d’y entrer, d’y être maintenue et d’être éventuellement rappelées (encodage – stockage – récupération).
C’est pourquoi les conférences interminables, les présentations PowerPoint de 40 slides et les courriels de plusieurs dizaines de lignes, envoyés en masse sont voués à l’échec.
L’information est reçue, interprétée, mais une très (trop) importante partie va se perdre avec le temps, plus ou moins court d’ailleurs.
Pour réussir une mission de sensibilisation ou de formation, les entreprises doivent donc se concentrer sur deux stratégies simultanément :
La formation d’habitudes
Pour modifier les comportements, il faut créer des habitudes car les comportements habituels sont provoqués automatiquement.
Les habitudes sont susceptibles de persister avec le temps (Observation, essai, exercice, répétition).
La perturbation des habitudes.
Il faut créer des habitudes mais en éviter d’autres. Par exemple, les employés au bureau, mais aussi dans la vie privée, utilisent souvent le même mot de passe pour plusieurs types d’accès (web, annuaire de l’entreprise, comptes bancaires, wifi, etc…), cliquent sur des liens suspects sans même prendre le temps de vérifier, ne mettent pas à jour leurs smartphones, ne paramètrent pas certains appareils et s’exposent, ainsi que leur entreprise, à d’innombrables risques.
Il faut s’attaquer directement à ces mauvaises habitudes et convaincre de les abandonner.
C’est cette stratégie qui sera la gagnante.
Convaincre de faire et défaire en pensant la formation et l’information autrement.
Une étude récente montre que plus de 85% des entreprises considèrent le renseignement sur les menaces comme un élément important de l’arsenal cyber à détenir.
Mais il a été montré que
seulement 41% des entreprises utilisent efficacement les informations fournies
par les équipes de Cyber Threat Intelligence pour réduire leurs risques cyber.
En parallèle, une autre étude
montre que quasi 58% des organisations dans le monde considèrent que leur SOC
est totalement inefficace !
Alors que s’est-il passé entre le
moment où le concept de la Threat Intel est acquis et le moment où il est mis
en œuvre ?
Petit rappel
Selon Wikipedia, La « Cyber Threat
Intelligence », ou renseignement sur la cyber-menace, est une « discipline
basée sur des techniques du renseignement qui a pour but la collecte et
l’organisation de toutes les informations liées aux menaces du cyber-espace ».
L’important dans cette
définition, c’est de bien comprendre la notion de « techniques de
renseignement ». En effet, les activités de Cyber Threat Intelligence s’appuient
très fortement sur toutes les méthodes, concepts et techniques issus des
organismes de renseignements traditionnels, qu’ils soient militaires ou
étatiques.
Je ne vais pas revenir sur ces
sujets que j’évoque plus longuement dans d’autres posts ou articles, mais comme
je l’ai déjà expliqué, pour anticiper et adapter sa réaction, il est nécessaire
de bien connaitre son ennemi. Et évidemment, ça passe par une bonne compréhension
du détail des attaques, des techniques, des procédures mises en place (les
fameuses TTP), des outils utilisés, etc.
Mais attention, collecter à
outrance des informations qui ne seront pas traitées ou enrichies n’a pas franchement
de sens. Beaucoup d’acteurs pensent que multiplier les sources, empiler les
indicateurs et marqueurs est gage de puissance et d’efficacité. Or nous le
savons, plus il y aura de données disponibles non traitées, plus ce volume aura
des effets négatifs car les utilisateurs finaux auront du mal à tout traiter,
interpréter et utiliser.
Et puis, aujourd’hui, je constate
que la qualité des renseignements sur les menaces est de plus en plus inégale.
Et l’effet de volumétrie joue pour beaucoup.
Et de cette inégalité dans la
qualité de l’information transmise nait un autre problème : la qualité du
traitement qui en est fait par le SOC.
Le lien qui existe entre les
outils et équipes de détection du SOC et les équipes de CTI est de plus en plus
fort et étroit. L’information fournie permet au SOC de proposer la meilleure
analyse possible, aussi bien dans la richesse du contexte que dans l’interprétation
des motivations par exemple.
L’équipe de renseignement va
permettre au SOC d’optimiser la prévention et la détection, en apportant des
informations supplémentaires sur le contexte d’une attaque ou d’une menace :
L’acteur est-il connu ?
Quelles sont ses motivations ?
Quels outils ? quels malwares ?
Y a-t-il eu d’autre attaques de ce type ? où ? quand ?
L’équipe de CTI a une importance
stratégique pour le SOC, car elle apporte une vision sur 2 axes :
global, sur les tendances en termes de campagnes
d’attaques ou sur les acteurs dangereux
spécifique, pour un contexte métier, sectoriel
ou business donné.
En travaillant en temps réel sur l’information
qu’elle exploite, l’équipe de renseignement va également travailler sur « la
fraîcheur » de la donnée, et c’est une des clés de la réussite d’une telle
entreprise. En effet, pour qu’une détection soit efficace, il faut que la validité
de la donnée soit la plus précise possible. Le SOC est déjà trop souvent noyé
sous les faux-positifs pour que la CTI en génère d’autres.
Mais on a trop souvent tendance à
réduire la CTI à une activité pourvoyeuse d’indicateurs techniques.
L’équipe de CTI va donc analyser
le contexte, mais également le coupler à l’étude du ou des groupes qui se
cachent derrière chaque menace.
Ne pas se contenter de trouver
des contremesures à un instant T. Il faut comprendre qui est derrière une
attaque, pour déterminer le pourquoi et le comment.
Mieux appréhender le processus
décisionnel de l’adversaire est une des clés de la cyber-défense.
Analyser le comportement criminel
devient donc primordial. Et ce sujet est trop souvent laissé de côté pour,
encore une fois, concourir sur la quantité et non la qualité : empiler des
« IoC » plutôt que de prendre le temps de les qualifier pleinement.
« Derrière une attaque se
cache un humain »… et pour comprendre l’humain, il est indispensable d’intégrer
des profils non techniques à l’analyse. C’est que je fais au quotidien.
Une compréhension claire de
l’adversaire est le fondement d’une défense forte et proactive.
Une complétude du renseignement
permet au SOC de mettre en œuvre la meilleure stratégie de supervision, et de
déployer des plans de détection adaptés et contextualisés, et donc efficaces.
Les informations récoltées par l’équipe
de CTI permettent à chacun des acteurs de prendre les bonnes décisions au bon
moment, de hiérarchiser les problématiques en fonction des impacts mais aussi
de gérer ces impacts.
De l’importance de la Threat
Intelligence dans un Security Operations Center
Guider les actions, anticiper des
attaques, comprendre les motivations, prévenir les risques… sont autant de
missions que remplit l’équipe de CTI.
C’est une valeur ajoutée
incontournable pour n’importe quel SOC. Ce dernier doit pouvoir apporter à ses
clients toutes les informations techniques et contextuelles qui sont en rapport
avec une menace, un risque ou un incident. Savoir répondre à « qui nous
cible ? » ou « comment l’adversaire va nous attaquer ? » et
ce le plus tôt possible.
Pouvoir créer des « rapports à la carte », déchiffrer l’ensemble de données en éléments d’action et en recommandations utiles pour chaque client, le tout dans un langage accessible, est un caractère différenciant très important pour un opérateur de SOC.
* quelques valeurs ont été tirées d’enquêtes menées par PONEMON en 2018 et 2019.
Depuis la nuit des temps, la supercherie est un art qu’il faut savoir maîtriser pour gagner des guerres. C’était d’ailleurs l’un des points clés évoqués par Sun Tzu, dans son « Art de la Guerre » dont il dit qu’il est entièrement « basé sur la duperie. »
Sun Tzu n’imaginait sans doute pas qu’avec ce manifeste, il allait à jamais marquer de son empreinte les sciences militaires, pour les faire graviter autour d’un concept simple : « the deception ».
« Deception », ce terme anglais, qui pourrait passer pour un faux-ami, mais qui désigne en fait l’ensemble des mesures et contremesures à utiliser pour induire en erreur son ennemi. On y retrouve évidemment les ruses, les leurres, les déformations de la réalité et les falsifications. La supercherie est donc là, présente au cœur de chaque combat, de chaque assaut, de chaque victoire.
Celui qui en maîtrisera l’art sortira vainqueur de sa bataille. Mais revenons au sujet qui nous occupe.
L’ingénierie sociale
Définir l’ingénierie sociale est une tâche ardue, car elle peut prendre un certain nombre de formes en fonction du contexte de son utilisation.
Nous pourrions simplifier les contextes en quatre grands ensembles : les sciences sociales, les sciences politiques, la sécurité de l’information et la psychologie.
Si dans les deux premiers, la définition de l’ingénierie sociale peut sembler une pratique saine (et encore, nous pourrions en débattre j’en suis sûre), les deux derniers cadres d’utilisation de l’IS relèvent plutôt de la manipulation psychologique individuelle à des fins malveillantes.
Concentrons-nous sur le domaine de la sécurité de l’information
(Illustration de César Leal Jiménez sur « le lavage de cerveau »)
Dans le contexte de la cybersécurité, l’ingénierie sociale revêt une forme particulière.
En effet, même si sa base première reste identique dans chaque contexte (pratique de manipulation), l’ingénierie sociale en cybersécurité est une forme de manipulation psychologique, plus ou moins élaborée, plus ou moins lente, dont la seule finalité est de contrôler ou influencer la pensée, les choix, les actions d’un individu, via un rapport de pouvoir ou d’influence, afin de mettre en place une arnaque, une usurpation ou tout autre forme d’escroquerie.
L’ingénierie sociale et la sécurité de l’information
ou l’art d’obtenir une information importante pour l’utiliser à des fins malveillantes mais relutives.
Une définition posée, en 2011, par un employé des forces armées ou du département de la Défense des États-Unis.
Dans le contexte IT, les attaques par ingénierie sociale sont devenues légions et certaines d’entre elles sont si sophistiquées qu’il est particulièrement compliqué de les détecter simplement.
En exploitant les faiblesses d’un individu ou d’une organisation, l’attaquant a un but précis : récupérer un bien, un service, un virement bancaire, un accès physique ou informatique, une information confidentielle, etc.
Et la méthode utilisée, appelée processus « d’élicitation », est toujours la même : fausser la perception de la réalité de sa victime en usant notamment d’un rapport de séduction, de suggestion, de persuasion, de soumission.
Un petit retour en arrière
C’est en 2002 que le monde a pu enfin comprendre ce qu’était une attaque par ingénierie sociale.
En effet, cette année-là, Kevin Mitnick, le plus célèbre des arnaqueurs par IS, et sans doute fils spirituel de Sun Tzu, publiait son fameux « Art de la supercherie ».
Kevin Mitnick a été l’un des « ennemis publics » les plus recherchés par le FBI parce qu’il avait piraté près de 40 grandes entreprises rien que pour relever des défis. De grands noms comme Nokia, Fujitsu, NEC, Novell, Sun Microsystems, Motorola, Apple ont compté comme étant ses victimes.
En 1980, Kevin Mitnick pénètre physiquement dans le central téléphonique COSMOS qui servait de base de données pour archiver les appels téléphoniques, ainsi que la facturation de la Pacific Bell à Los Angeles.
Le pirate de génie se procura une liste des mots de passe des utilisateurs, les combinaisons de fermeture des portes des bureaux centraux de Pacific Bell, etc.
En 1983, Kevin Mitnick fait une intrusion dans le réseau du Pentagone en se servant d’une machine de l’Université de Californie du Sud.
Il parviendra à se connecter à l’ARPAnet, l’ancêtre d’Internet, et obtiendra un accès illégal à tous les fichiers du département de la Défense américaine !
Et tout ça, sans violence… Ses méthodes : utiliser la terminologie de l’entreprise ciblée, trouver les bons contacts, usurper la bonne personne pour réussir son attaque, utiliser la crédulité de sa victime en prétextant un problème ou la résolution d’un problème.
Plus proche de nous
Entre 2005 et 2006, un certain Gilbert Chikli réussira à récupérer près de 60 millions d’euros auprès d’employés de 33 sociétés françaises !
Chikli est l’inventeur de la juteuse escroquerie aux faux ordres de virements (FOVI) aussi appelée « L’arnaque au Président ».
Sur un simple coup de fil, il parvient à « isoler » psychologiquement son interlocuteur avant de le manipuler à sa guise en se faisant passer pour le PDG de groupes ciblés et avant de leur ordonner le virement d’importantes sommes vers des comptes bancaires à l’étranger.
Cette technique est d’ailleurs toujours en vigueur en 2019 ! Et non content d’avoir réussi ce coup de maître, Chikli est suspecté d’avoir mis sur pied une arnaque encore plus osée, l’escroquerie dite du « faux Le Drian » !
En effet, il est suspecté de s’être glissé dans la peau de l’ancien ministre de la Défense pour récupérer d’importantes sommes d’argent auprès de richissimes contacts (particuliers, hommes politiques, représentants religieux, grands chefs d’entreprise).
Son argumentaire rodé s’appuyait sur des faits qui secouaient alors le monde : les rançons réclamées par le groupe État islamique en échange de la libération de soldats ou de journalistes français…
Les arnaques au Président, les attaques FOVI, aux faux fournisseurs, au faux changement de RIB, ou aux faux supports techniques se sont généralisées depuis 10 ans. On estime d’ailleurs aujourd’hui qu’elles coûtent plus de 6 milliards de dollars par an aux victimes !
Ces deux grands génies de l’arnaque ont joué de leurs connaissances, de leur charisme, de leur sens de l’imposture et bien sûr de leur culot pour abuser de la confiance, de l’ignorance et de la crédulité de leurs cibles et ainsi obtenir ce qu’ils cherchaient.
Mais alors pourquoi ça fonctionne ?
Comme je l’ai dit précédemment, pour atteindre son objectif, le pirate va utiliser différentes méthodes, techniques et psychologiques.
Partant du constat que les êtres humains ne sont pas toujours rationnels et qu’ils prennent parfois les mauvaises décisions et selon un schéma que l’on ne comprend pas toujours, le pirate va manipuler la pensée, le mode de décision de son interlocuteur afin d’obtenir les premières informations, qui lui serviront pour ses futures attaques.
L’ingénierie sociale sera une de ses premières armes.
Les cyber-attaquants exploitent les facteurs de comportement sociaux, émotionnels et psychologiques pour influencer et manipuler. Et c’est en faisant ce constat que l’on comprend que toutes les techniques d’ingénierie sociale sont basées sur un point commun : les biais cognitifs qui permettent à une personne de prendre une décision.
Une attaque par les biais cognitifs consiste donc à « dévier la pensée logique et rationnelle » de sa victime pour obtenir d’elle ce que l’on souhaite. Et bien sûr, le choix des leviers doit être adapté à la situation et à la cible.
Selon les travaux de Wason et Evan, mis en exergue par Kahneman et Tversky, la cognition humaine repose sur deux grands ensembles de processus cognitifs :
Les processus du système 1, rapides et automatiques, qui comprennent les processus débouchant sur une pensée intuitive.
Les processus du système 2, lents et contrôlés, qui regroupent les processus cognitifs amenant à une pensée analytique.
On parle alors de Biais Heuristique : les informations qui sont répétées et auxquelles nous adhérons fortement deviennent des réponses intuitives.
Et de Biais Analytique, par lequel nous essaierons de justifier nos réponses en cherchant d’autres données qui confortent nos croyances tandis que les informations contradictoires seront écartées ou interprétées dans le sens de nos croyances.
Et évidemment, c’est en abusant du biais heuristique que les meilleures attaques par ingénierie sociale fonctionnent.
Quelques exemples de biais
Tous les sentiments peuvent être utilisés comme leviers d’influence. Le choix des biais employés par le pirate va être mûrement réfléchi et devra s’adapter à la situation et à la victime.
Pour cela, il prendra le temps nécessaire à la récolte d’informations sur le web, à défaut ou en complément il tentera la manipulation téléphonique (extorsion d’information), par mail, sur les réseaux sociaux et peut même être amené à user de manipulation directe (accès physique à des installations).
Plus le pirate sera spontané, naturel, entraîné, plus facilement il obtiendra les informations.
Souvenez-vous de Mitnick ou de Chikli… Ils sont les exemples même des «parfaits » manipulateurs. La plupart du temps les manipulateurs n’ont pas besoin de connaitre les quelques 250 biais référencés aujourd’hui. Ils n’en utilisent que quelques-uns. Et les maîtrisent à la perfection.
Voici les plus récurrents auxquels vous avez peut-être été déjà vous-même confronté(e) :
« Laissez-moi vous aider », l’effet Benjamin Franklin ou le principe de réciprocité. (Ce biais cognitif a été étudié notamment par Robert Cialdini) Chacun de nous se sent obligé de rembourser ou rendre ce qu’ils ont reçu des autres. Le pirate va tout faire pour vous rendre un service et vous demandera, un jour, de lui rendre en retour un service.
Le principe de contraste (dans le milieu de la vente on parle de ‘porte dans le nez’) : Le pirate va donc ouvrir une conversation en demandant quelque chose d’extrême. Alors que la victime répondra forcément « non », elle «se retirera» pour une seconde demande plus «raisonnable». En demandant quelque chose de peu contraignant dans un second temps, la personne aura l’impression que cette nouvelle demande n’est pas si difficile à accorder, comparativement à la demande initiale et le fait qu’elle ait refusé lui donnera un sentiment de devoir accepter la deuxième demande, et aura l’impression de se ‘racheter’.
« Instaurer la confiance » : Le manipulateur anticipe la suspicion et la résistance. Il transforme la méfiance en confiance. Il prévoit les futures questions de sa victime. Pour ne jamais être pris au dépourvu, le manipulateur va tout préparer en avance de phase pour ainsi conforter sa victime dans le fait que tout est bien sous contrôle. L’attaquant exploite ici le principe de l’appropriation : les gens sont plus susceptibles de se conformer aux demandes de ceux qu’ils aiment, apprécient, croient bien connaître.
Suggérer indirectement : Quand une idée vient de soi, on est beaucoup plus disposé à réaliser ce qu’on nous a demandé. Le pirate suggère à sa future victime de l’aider, sans le dire expressément, ainsi la victime va fort probablement penser que l’initiative vient d’elle, et donc elle acceptera de rendre service.
« La culpabilité, la compassion, l’intimidation » : La serviabilité constitue un réel point faible qu’un manipulateur exploitera très souvent. En utilisant, par exemple, le principe de l’autorité, les gens suivent d’autres qui semblent savoir ce qu’ils font (courriels de phishing pour donner l’impression qu’ils ont été envoyés par des organismes faisant autorité).
On le comprend aisément, cette réalité de l’exploitation des biais cognitifs met l’humain au centre de la chaîne de sécurité et l’identifie clairement comme le maillon le plus faible. Et l’émergence et la démocratisation de l’intelligence artificielle renforce encore la menace en offrant aux attaquants des possibilités de création de leurres plus complexes, immersifs et cohérents.
Et enfin, comment ça peut fonctionner ?
C’est effectivement la question légitime que l’on peut se poser : comment peut-on encore aujourd’hui céder à ce genre d’attaques ?
On a vu que la manipulation psychologique était le moyen, mais avec quel support ? Si l’accès physique à la victime n’est pas toujours possible, l’accès virtuel lui l’est quasiment toujours. Il va donc falloir utiliser des techniques plus ou moins avancées pour porter et supporter l’attaque psychologique et l’utilisation des biais cognitifs. Il existe un grand nombre de techniques, mais je vais me focaliser sur une en particulier, sans doute la plus connue et la plus répandue, encore de nos jours.
Le phishing et ses variantes
Commençons par définir ce qu’est le « phishing » techniquement : « Phishing = fishing + phreaking », c’est-à-dire « Pêche + Piratage de lignes téléphoniques ».
Plus globalement, le phishing (ou hameçonnage) est une forme d’escroquerie, par email ou par téléphone, qui consiste à prendre l’identité d’une personne ou d’une entreprise connue et/ou reconnue pour inciter le ou les destinataires à fournir des informations susceptibles de rapporter de l’argent ou de fournir des informations dites confidentielles.
Si l’on fait un état des attaques par phishing sur l’année 2018, le bilan est alarmant.
Sur près de 300 milliards de mails échangés par jour, près de 65% sont des spams, soit environ 195 milliards… et plus de 500 millions de ces spams sont des emails de phishing !
Aujourd’hui, on considère que près de 150 millions de personnes répondent quotidiennement à des emails de phishing, et que 80% des entreprises dans le monde sont touchées. Montant total de la perte estimée… 12 milliards de dollars (près de 11 milliards d’euros).
Ces chiffres donnent le vertige !
Et il existe quelques variantes à cette technique, qui permettent aux attaquants de diversifier le support d’attaque, et donc d’augmenter sa surface.
Si le phishing permet d’adresser un grand nombre de destinataires avec peu de personnalisation, il est nécessaire parfois pour les attaquants d’aller plus loin et de donner plus de crédibilité à leur arnaque. Il s’agit alors d’attaque par « Spear Phishing », appelée aussi harponnage. L’attaque est ciblée, personnalisée, et souvent quasi invisible.
On pourra également citer SMISHING (SMS Phishing), le VISHING (Voice Phishing) et une technique qui fonctionne également très bien, le Hard Phishing (appelée aussi USB Drop).
Illustration de Patrick Chappatte, dans « International Herald Tribune »
Comment reconnaître une tentative de phishing ?
Un des exemples les plus connus est le courrier électronique qui vous invite à vous connecter à un site de banque, un site commercial ou un site de paiement comme Paypal. Le prétexte utilisé est souvent le même : on vous demande, pour des raisons de sécurité, de mettre à jour vos données personnelles, de changer votre code confidentiel ou bien de régulariser une facture impayée. Dans cet email, il y aura toujours un lien qui conduira à un site pirate, copie visuellement quasi parfaite, afin de récupérer vos données confidentielles.
Comment réagir face au phishing ?
Ne répondez jamais à ce type de courrier et prévenez le site usurpé au plus vite en lui faisant suivre ce message.
Ne cliquez jamais sur les liens des messages qui vous semblent suspects.
Ne récupérez ou visionnez jamais les pièces jointes des courriers étranges.
Assurez-vous lors des sessions Internet de la sécurité et de l’authenticité du site sur lequel vous êtes, en repérant par exemple, le cadenas vert sur la barre de navigation.
Tapez vous-même l’adresse des sites institutionnels (impôts, assurance maladie, CAF, etc…) et des sites les plus importants (banque, fournisseurs d’énergie, sites de paiements…).
Faites aussi attention aux messages vous incitant à appeler votre banque : prenez le temps de vérifier le numéro de téléphone.
Signalez les tentatives d’escroquerie sur le site Internet d’assistance aux victimes d’actes de cybermalveillance (https://www.cybermalveillance.gouv.fr/).
Et quoi qu’il arrive, soyez toujours vigilants.
Pour finir
L’humain étant le maillon le plus faible de toute la chaîne de sécurité, l’ingénierie sociale a encore aujourd’hui de grandes et belles années à vivre.
Et puis comme je l’ai dit un peu plus tôt, l’arrivée de l’intelligence artificielle permet de créer des leurres numériques de plus en plus avancés, réalistes et crédibles. L’environnement numérique dans lequel chacun de nousse trouve est de plus en plus hostile, et il devient particulièrement compliqué de faire le bon choix.
Les données personnelles sont le Graal de chaque pirate informatique, et ce bien plus que des plans d’avions. Un numéro de carte vitale et une identité complète valent bien plus que plusieurs milliers de numéro de cartes bancaires.
L’enjeu individuel est désormais de savoir déceler le faux pour protéger le vrai et il devient urgent de changer le paradigme : agir pour ne plus subir.
Nathalie GRANIER – Cyber-Psychologue, experte en Threat Intelligence
Références
TZU Sun, l’art de la guerre – Coll Mille et une nuits – 1996
Mitnick, l’art de la supercherie – Coll CampusPress – 2005
SELLAMI Stéphane et LEPLONGEON Marc, Faux Le Drian : une arnaque spectaculaire – Le Point, Avril 2018, https://www.lepoint.fr/faitsdivers/exclusif-l-escroc-gilbert-chikli-futur-repenti-23-04-2018-2212668_2627.php
KAHNEMAN Daniel, Système 1 / Système 2 – Les Deux Vitesses De La Pensée – Coll Flammarion – 2012
CIALDINI Robert, Influence et manipulation : Comprendre et maîtriser les mécanismes et les techniques de persuasion – Coll First Editions 2004
Rapport Verizon « Databreach Investigation » – 2019
The Evolution of Cyber Threat Intelligence (CTI): SANS CTI Survey 2019
Illustration : Marian Beck – https://www.flickr.com/photos/lescientist/
Le titre peut sembler un tantinet racoleur, mais évidemment il n’en est rien.
Je voudrais simplement décrire au travers de ces quelques lignes le parcours d’une Psychologue au sein d’une équipe CERT, et plus particulièrement au sein de l’équipe de Cyber Threat Intelligence (CTI).
