Défense Numérique

Comment se protéger des menaces du monde numérique

Comprendre

C’est votre cerveau qui se fait pirater !

Piratage à cause de votre cerveau

Dans le monde du piratage informatique, il y a deux composantes essentielles : un code malveillant (malware) et un contexte d’exécution. Pour le premier, en 2014 déjà, plus de 74’000 nouveaux virus étaient créés chaque jour et pour le deuxième, c’est bien VOUS qui allez aider le malware à s’exécuter sur votre ordinateur, téléphone ou tablette. Car c’est votre cerveau qui se fait pirater en premier !

Il existe bien sûr des pirates / hackers qui recherchent les fameuses “failles” (le terme exact est vulnérabilité). Ils n’auront besoin de personne pour pirater les systèmes (le terme exact est exploiter). Contre eux, vous n’êtes pas de taille (et moi non plus d’ailleurs !). Mais ceux-là ne s’intéressent pas à vous. Ils ont d’autres objectifs. Ceux que vous rencontrerez (dans la très grande majorité), seront plus basiques dans leur approche. Au lieu de pirater votre système de manière frontale, ils vont vous utiliser dans leur tactique de diffusion de malwares, et ce, de 3 manières principalement :

  1. En vous transmettant des pièces jointes infectées par emails ;
  2. En envoyant des URLs de sites infectés, toujours par email ;
  3. En produisant des applications infectées pour mobile / ordinateur “gratuites” (je mets gratuites entre guillemets, car vous finirez par le payer ! Comme on dit, si c’est gratuit, c’est vous le produit !).

Si c’est gratuit, c’est vous le produit !

Ensuite, dans chacun des cas, ils auront besoin de vous  pour exécuter ce malware. Ils devront donc être convaincants. C’est alors que les biais cognitifs entrent en jeu, et que le piratage de votre cerveau commence.

Je vous propose donc de mieux comprendre POURQUOI votre cerveau ne vous facilite pas la tâche pour identifier de manière lucide les différentes tentatives d’arnaques.

Quel est le rapport entre le cerveau et le piratage ?

Ce blog est là pour vous aider à comprendre les mécanismes qu’utilisent les pirates informatiques (les “hackers”) pour compromettre votre environnement numérique et en tirer un bénéfice.

Les pirates recherchent le meilleur équilibre entre les moyens investis (leur temps, leurs compétences et leurs moyens techniques) et le bénéfice obtenu (voir article sur les 3 motivations pour lesquelles les hackers s’intéressent à VOUS).

Il se trouve que vous manipuler à l’aide d’un simple mail contenant une pièce jointe infectée est ce qui coûte le moins cher en tous points ! Le mail peut être envoyé à la terre entière, de n’importe quel coin du monde et en toutes les langues pour atterrir directement chez vous.

piratage-cerveau

Il suffit de vous convaincre d’ouvrir cette pièce jointe (et qu’elle ne soit pas détectée par l’antivirus, mais pour cela je vous invite à lire l’article sur le sujet). Après, c’est trop tard. Une fois le loup entré dans la bergerie, de fil en aiguille, tout ce qui est connecté chez vous pourra être infecté.

Reste maintenant à vous convaincre d’ouvrir la boîte de Pandore, et pour cela, le Graal pour vous manipuler est d’utiliser ce qu’on appelle les biais cognitifs de votre cerveau.

Que sont les biais cognitifs de votre cerveau qu’utilisent les pirates ?

Nous croyons que chacune de nos décisions est la conséquence logique d’un ensemble de critères rationnels. Il se trouve que NON ! Cette conclusion a d’ailleurs contribué à l’attribution du prix Nobel d’économie en 2002 à Daniel Kahneman (Amos Tversky l’aurait certainement reçu également s’il était encore vivant à cette date).

900px-The_Cognitive_Bias_Codex_(French)_-_John_Manoogian_III_(jm3)

Ses travaux (l’une des pièces maîtresse se trouve ici : Judgment under Uncertainty: Heuristics and Biases) ont pu démontrer que nous sommes capables de faire des erreurs systématiques par rapport aux choix qui seraient qualifiés de rationnels.

Ces biais ont de nombreuses conséquences sur notre vie de tous les jours et sur l’ensemble des décisions que nous prenons (du choix de la couleur de nos chaussures au choix de racheter telle ou telle entreprise).

Comment les pirates utilisent les biais de votre cerveau : un exemple

Dans la plupart des cas, les pirates ne vous connaissent pas personnellement. Ils ne vont pas faire une enquête approfondie sur vous, vos habitudes, vos équipements informatiques ,etc.

Une quantité très importante d’informations se trouve déjà dans la nature. En les croisant entre elles, on peut très rapidement créer une histoire, vous la présenter et tenter de vous faire chanter !

Prenons un cas pour illustrer cet exemple :Ashley Madison Piraté

  1. Piratage de LinkedIn
  2. Piratage de Ashley Madison

Supposons qu’une adresse email se trouve dans ces deux piratages… J’ai bien dit supposons…

Il ne vous reste qu’à envoyer un mail à cette adresse afin d’indiquer à la personne concernée que vous connaissez tout d’elle (vous avez son titre de job, et que son mail était présent dans la base de rencontre extra-conjugale).

Et voilà ! Vous êtes aussi tombé dans le panneau du biais de “Story telling” ! Celle où on l’on raconte une histoire inventée avec des faits dans le but de convaincre autrui !

Avouez que vous avez pensé que le compte en question est probablement celui d’un homme, peut-être cadre et qu’il trompe sa femme … !

Ah oui ? Eh bien raconte moi une autre histoire alors !

Autant la présence sur le réseau social professionnel LinkedIn ne choque personne, autant la présence de l’adresse email sur un site de rencontres pose des questions. Et nous, êtres humains, n’aimons pas les questions sans réponses, il nous faut des réponses ! Et comment ne pas croire à l’histoire la plus simpliste ?

Biais cognitif - Story telling

Voici quelques raisons possibles de la présence d’un email professionnel sur un site de rencontre :

  1. Faute de frappe entre deux noms de personnes (+200’000 MARTIN en France et uniquement en nom de famille) ;
  2. Personne célibataire en quête de rencontre (donc pas de tromperie à la clé !) ;
  3. Inscription de curiosité pour voir si des connaissances sont également inscrites. (C’est fourbe, mais pas orienté vers un adultère) ;
  4. Tentative de compromission d’un membre de notre réseau de connaissance à son insu ;
  5. Inscription volontaire et admise par les partenaires en couple (les couples libérés, ça existe !) ;
  6. Sous-traitant informatique du site, le compte est utilisé à des fins de tests (il y en a aussi !) ;

Alors que plusieurs hypothèses sont plausibles, notre cerveau va se convaincre de celle qui confirme nos croyances.

(petite anecdote sur l’histoire de Ashley Madison, la fuite de la base de données a permis d’identifier le nombre d’hommes et de femmes inscrits… elles n’étaient que 1’492 pour 20 millions d’hommes !!)

Et moi alors, on ne peut pas me faire chanter avec ça !

Dans l’exemple précédent, il y avait une condition, disposer de la même adresse email dans les deux bases de données compromises. Le biais utilisé était celui du “Story telling”, celle où on raconte une histoire fausse basée sur des faits. Selon les données à disposition, d’autres histoires peuvent être racontées.

D’ailleurs, avec le même piratage de LinkedIn (167 millions de compte quand même !), il y a de quoi exploiter. L’un des cas qui fait fureur, et le fera encore longtemps, c’est celui du mot de passe.

Voici un autre exemple :

On vous envoie un mail (sur l’adresse présente dans la base piratée de LinkedIn) avec votre mot de passe en clair dans le sujet du mail (idem, celui présent dans la base piratée de l’époque). Avec plus ou moins de variations, le message indique :

Je vous ai piraté, votre mot de passe est mon_super_mot_de_passe

Puis, dans le corps du message, un message de chantage demandant d’être payé en bitcoin. Si ce n’est pas fait dans les 24h, alors le pirate détruira toutes vos données. C’est difficile de ne pas croire à l’histoire !

Toutes les histoires ne finissent pas en chantage…

Les premiers jours d’Internet étaient remplies de belles histoires :

Si tu envoies ce message à 10 de tes amis, tu recevras 10’000 € dans 10 jours.

A quoi cela servait ? A récolter les adresses emails des gens sans les pirater. Ainsi, sans pirater techniquement qui que ce soit, il était possible de collecter des milliers d’adresses emails, et en plus, en sachant qui était connecté avec qui…

appat du gain

Et de nos jours, on a de temps en temps de belles histoires qui nous parviennent :

J’ai gagné à l’EuroMillion et souhaite partager mes gains avec toi. Clique ici, c’est décrit dans le journal et envoie-moi ton IBAN pour que je te fasse un virement.

Sauf que le site en question sera compromis et contaminera votre équipement.

Alors comment se protéger ?

Pour vous protéger contre le piratage informatique, mais aussi dans votre vie de tous les jours, je vous recommanderais bien de connaître les principaux biais cognitifs. Malheureusement, les connaître ne veut pas nécessairement dire qu’on pourra les éviter.

prendre son temps - chronomètre

Une manière simple d’y répondre est d’utiliser trois techniques extrêmement simples :

  1. Assurez-vous d’identifier votre interlocuteur
    • Est-ce bien l’adresse email que vous aviez dans votre carnet d’adresses ?
    • Avez-vous un n° de téléphone que vous pouvez appeler pour confirmer l’identité de votre interlocuteur ?
  2. Parlez-en autour de vous
    • On est plus intelligent à plusieurs que tout seul !
    • Le fait de verbaliser la situation nous aide à réaliser la supercherie.
  3. Prenez quelques minutes pour réfléchir et vérifier les informations
    • Seul un risque imminent et avéré sur la vie humaine nécessite de prendre une décision immédiate. Prenez toujours 5 minutes avant de décider, vous verrez, vous prendrez souvent une décision différente !
    • Mettez les informations que vous venez de recevoir en perspective. Est-ce logique dans la situation ? Pourquoi moi et pourquoi maintenant ?

Heureusement pour vous qui lisez ce blog, vous verrez au fil du temps comment mettre en place des moyens de protection directs et indirects.

Si vous avez des questions ou des commentaires, n’hésitez pas à les poser dans les commentaires ci-dessous.

Partager l'article :
  •  
  •  
  •  
  •  

Leave a Reply

Theme by Anders Norén


​Vous êtes libre de recevoir la liste des 13 questions auxquels vous devez répondre pour votre sécurité numérique