Alors que « le facteur humain » apparait désormais à travers tous les sujets des cybermenaces, il serait intéressant de l’analyser du côté obscur de la force ; du côté des cybercriminels.
La faillibilité humaine est le terrain de jeu des cyberattaquants, exploitée dans leurs attaques d’ingénierie sociale, alors pourquoi pas, nous aussi, défenseurs, s’appuyer sur leurs faiblesses ?
Commençons par un petit exercice de “logicométrie” 😉 : le cyberattaquant est-il vulnérable ?
- si le cyberattaquant est humain
- et que l’humain est faillible
- le cyberattaquant est-il faillible ?
1. Voici quelques exemples d’actualités
- Julius “Zeekill” Kivimäki, ce nom vous parle-t-il ? Il fait pourtant la une des journaux ces dernières semaines.
Petit rappel des faits, le 03 février vers 7H00 du matin, ce Finlandais de 25 ans est interpellé à Courbevois pour… violences conjugales et ce n’est pas tout. En effet il est accusé d’avoir extorqué un cabinet de psychothérapie (et quelques dizaines de milliers d’autres cybercrimes). Son pseudonyme « Ransom Man”. Son erreur? Parmi les fichiers téléchargés et déposés sur le dark web, il a omis d’enlever… son propre fichier contenant une copie entière de son dossier personnel.
Mais son manque de vigilance ne s’arrête pas là, auparavant il avait utilisé des cartes de crédit volées pour acheter des produits de luxe et des bons d’achat, nourrissant la suspicion des enquêteurs.
- autre histoire, l’erreur de Lapsus$, un jeu de mot qui valait prémonition. Ce groupe de
cybercriminels, apparu en décembre 2022, est spécialisé dans le vol de données de grandes entreprises, comme Microsoft, Nvidia, …
Le jeune « White », ou «breachbase »(de 17 ans), membre du groupe, a été identifié grâce à « une dispute d’adolescent ». Un de ses camarades , a, en effet, révélé son nom, son adresse et ses photos sur les réseaux sociaux.
Là encore, comme si cela ne suffisait pas, leur égo les a trahi, « il faut que jeunesse se passe », mais quand même, voilà-t-il pas qu’ils se sont vantés de leur méfaits sur les réseaux sociaux ?
- On passe à des expérimentés, le groupe Lazarus. Lazarus est un des groupes les plus
sophistiqués, associé à des cyberattaques parrainées par l’État nord-coréen. Aussi expérimenté soit-il, un des membres à commis l‘erreur du débutant. Ils ont « utilisé l’une des adresses IP appartenant à la Corée du Nord, celle-ci en possède moins de mille. Cette adresse IP a été observée se connectant à un webshell contrôlé par les attaquants pendant une courte période, ce qui a conduit les chercheurs à soupçonner qu’il s’agissait d’une erreur commise par un membre du groupe. »[1]
Toutes ces erreurs ont-elles un sens, une origine ? Et si on regardait du côté des fameux biais ?
2- Les biais cognitifs chez les cybers criminels
Le biais cognitif est un mécanisme de pensée à l’origine d’une altération du jugement, qui peut perturber une prise de décision, un jugement, un choix.
Tout le monde en est victime, les cybercriminels également. Voici quelques exemples :
- Le contexte
Le biais des couts irrécupérables
Ce biais concerne par exemple un projet pour lequel nous avons fait beaucoup d’efforts. Nous avons consacré tellement de temps ou d’investissements, que l’abandonner serait un crève-cœur. Les coûts qui ont déjà été engagés, qui ne sont ni remboursables ni récupérables, sont tels que l’on craint de les voir « gaspillés ».
Le cybercriminel peut en être victime lorsqu’il se lance dans son attaque avec un objectif, et se laisse distraire par divers évènements et change plusieurs fois de directions, fait des mouvements latéraux.
Il pourrait être ainsi amené à attaquer la mauvaise machine, cibler le mauvais service, exploiter la mauvaise vulnérabilité ou utiliser le mauvais exploit.
Et comme le pirate a investi beaucoup d’efforts pour que son attaque fonctionne, il va persister via un vecteur qui n’est pas réellement vulnérable.
Moralité, il est souvent émotionnellement plus facile de continuer dans un trou de lapin plutôt que de simplement passer à un vecteur d’attaque différent.
Le biais de confirmation
Il s’agit de la tendance que l’on a tous à chercher et sélectionner seulement les informations qui confirment nos croyances ou idées.
Le pirate informatique va rassembler des informations sur une machine ou sur un SI et, sur la base des informations qu’ils trouvent, il va conclure que la machine ou le système d’information doit être vulnérable malgré les preuves qu’ils trouvent et qui réfutent l’hypothèse initiale.
L’effet Peltzman
Il s’agit de la tendance des sujets à adopter un comportement plus risqué lorsqu’ils se sentent en sécurité.
Un attaquant voyant un reseau mal configuré (volontairement mal sécurisé par les défenseurs), induirait un sentiment de sécurité, au cyberdélinquant, qui l’amenerait à commetre des erreurs.
2. L’égo
Effet de soumission au groupe
Un individu interrogé dans un groupe peut être influencé par les réponses préalables des autres membres, même si celles-ci ne lui conviennent pas.
On sait que la plupart des cybercriminels font partie d’un groupe plus large, et bien souvent, pour être admis par le groupe, il faut se soumettre aux règles.
(Cf étude de Tajfel, Asch…)
L’influence sociale peut s’exprimer de manière implicite ou pas. Par conformisme ou soumission, l’individu va être sous l’emprise du groupe, et mener des actions qu’il ne mènerait probablement pas seul.
Biais de désirabilité sociale
Il s’agit de se montrer sous une facette positive.
Le monde virtuel est un moyen pour certains d’assouvir ses fantasmes, de construire de nouvelles identités et jouer le rôle d’autres personnes. L’anonymat fait pousser des ailes.
Le crime devient un défi personnel, voire parfois communautaire. Il est important de montrer à sa communauté ses capacités, ses talents ( on l’a vu avec Lapsus$)
Biais d’autocomplaisance
Cette tendance consiste à attribuer la causalité de sa réussite à ses qualités propres (causes internes) et ses échecs à des facteurs ne dépendant pas de nous (causes externes).
L’égocentrisme chez les cybercriminels à une place prépondérante.
Voyons l’exemple du troll. Le troll (il s’agit d’un agitateur qui aime générer des polémiques quel que soit le sujet de la conversation). Il aurait une tendance au narcissisme, au machiavélisme voire à un comportement psychopathe. Un troll est amoral ne se soucie pas du bien-être d’autrui. Il manque d’empathie ; l’impact de ses commentaires l’importe peu. Ils recherchent le chaos.[2]
Le biais d’affinité
Ce biais fait référence à notre tendance à privilégier les personnes qui partagent les mêmes centres d’intérêt.
Ce biais peut avoir un lien avec le biais de désirabilité sociale. Le cybercriminel a besoin de partager des affinités avec ses pairs.
Il peut également apparaitre dans l’utilisation d’une méthodologie. le cyber attaquant individuellement peut utiliser les mêmes solutions parce qu’elles lui sont familières et confortables.
3.La cupidité
Le cybercriminel est motivé la plupart du temps par un gain personnel. Cela peut être de l’argent via la vente de données volées, l’extorsion, la fraude.
De nombreux biais sont liés à l’argent et peuvent influencer un cybercriminel (le cout irrécupérable pourrait se trouver aussi dans ce paragraphe), comme l’aversion de la perte, le biais de rationalisation post achat, la théorie de la gratification différée, la théorie des perspectives…
4.L’émotion
Il peut arriver (rarement) que le cybercriminel ne soit pas maître de ses actes, Il n’en est parfois même pas conscient, ainsi dans une interview d’un « hacker » on retrouve ce témoignage :
« c’est lorsque l’un de mes amis « dans la vraie vie » a été victime d’une fraude à la carte bancaire. J’ai alors réalisé que mes actions avaient un impact sur des victimes bien réelles, et que je ne jouais pas uniquement avec des chiffres et de l’argent virtuel. » [3]
S’il n’est pas maitre de ses actes. Il cherchera un moyen de nourrir cette frustration, soit en changeant de victime, soit en changeant sa technique, mais ce qui est sûr c’est qu’il se donnera tous les moyens pour atteindre son but et stopper cette frustration.
La vengeance est une réponse à la frustration, une façon de réduire sa détresse émotionnelle
C‘est le défi qu’il les anime, faire ce qui est interdit. Quel frisson à l’idée de s’introduire dans un système soi-disant sécurisé.
3. Et demain?
On sait aujourd’hui qu’il est possible de contrôler notre cerveau par la pensée (ICM : Interface cerveau machine), les grands sportifs l’utilisent déjà, aux USA, il existe des casques qui aident à développer la concentration, on parle de « brain enhancement» ou « neuro enhancement » en français « augmentation cérébrale », « botox pour le cerveau ».
L’agence de cybersécurité en Allemagne travaille depuis 2021 à rendre notre cerveau impossible à pirater.
Comme dans toutes nouvelles technologies, il y a aussi le revers de la médaille. L’état chinois a bien compris le potentiel de ces avancées, et développe déjà des armes de contrôle cérébral offensives et oui Il y a des chercheurs sans scrupule qui cherchent à développer ces technologies en arme de manipulation.
Alors la réponse au problème est donc bien : Oui, le cybercriminel est faillible, et même si nous sommes plus dans une vision défensive plutôt qu’offensive ( Il est vrai que nous le faisons déjà via les honeypots) , il pourrait être intéressant de concevoir des systèmes qui intègrent les limites humaines, d’adopter des stratégies de tromperie, similaires à celles employées par nos adversaires. Nous devons semer le doute dans leurs esprits, pratiquer la fausse information comme eux, user des biais cognitifs comme eux…
« Quand on a pour seul outil un marteau, tous les problèmes ressemblent à des clous »
Maslow…
(C’est le pouvoir de la représentation des choses selon une perspective individuelle.)
Nathalie Granier-Février 2023
[1] https://itsocial.fr/actualites/le-groupe-apt-lazarus-demasque-apres-une-erreur-grossiere-dun-de-ses-membres/
[2] L’étude porte sur 400 utilisateurs de Reddit intitulée Social Media and Society par les professeurs Dr Pamela Brubaker et Dr Scott Church
[3] Dans la peau d’un hacker black hat @KORBEN — 10 JUIN 2013-https://korben.info/interview-black-hat.html
Jérôme Remanjeon. Le cerveau humain sera-t-il
l’ultime champ de bataille ?