Accueil Cybersécurité Avis d’expert – Cyberattaques et social engineering : l’art d’exploiter le cerveau...

Avis d’expert – Cyberattaques et social engineering : l’art d’exploiter le cerveau humain !

Fred Raynal

Les attaques subies récemment par Twitter ou encore Doctolib ont permis d’identifier et de mettre en avant deux problématiques majeures : la gestion des données personnelles et le social engineering. Fred Raynal, CEO de Quarkslab, revient sur la question.

 

Gestion des données et protection de la vie privée

Trop d’employés de la firme avaient accès aux comptes des utilisateurs. Ce problème est le même pour TOUS les services en ligne : clouds ou serveurs mutualisés, données médicales (cf. Doctolib), sites de rencontres, Facebook…

Par exemple, chez les hébergeurs de serveurs ou les fournisseurs d’applications SaaS, il faut évidemment éviter qu’un utilisateur puisse accéder aux données d’un autre utilisateur. Et pourtant, il arrive encore régulièrement qu’en changeant un identifiant, un utilisateur accède à des données qui ne sont pas les siennes. Au-delà de cela, les administrateurs de l’hébergeur ou du service peuvent-ils accéder à nos données ou nos méta-données ? La réponse est quasiment toujours oui. Si les données sont parfois chiffrées, qui gèrent et détient les clés ? Et quid des législations (US, Chine, Russie…) imposant un accès à des données chiffrées hébergées chez les hébergeurs dans des cas plus ou moins définis (terrorisme, pédophilie…) et parfois détournés (espionnage industriel) ?

On l’a vu récemment avec Doctolib qui a déclaré que des attaquants avait eu accès à des données via une application tierce. La gestion des dépendances d’une application est un point particulièrement compliqué car la surface d’attaque grossit presque sans contrôle du développeur principal.

La “privacy” (protection de la vie privée) devient un enjeu. Lors de la crise sanitaire, nous avons pu assister à un débat démocratique passionnant et animé sur la question des données de l’appli StopCovid. Beaucoup de pays ont adopté des applications similaires sans se poser de questions alors qu’ici en France, celle de la protection de la vie privée tout comme celle de la sécurité sanitaire ont été posées sur la table !

Entre d’un côté, les fournisseurs des services eux-mêmes et de l’autre, les failles tierces, les attaquants disposent de nombreuses options techniques pour accéder à nos données. Pour autant, des solutions existent pour protéger les données : le chiffrement de bout en bout, popularisé par les applications de messageries lorsque les données sont stockées ou transmises, ou l’obfuscation, consistant à dissimuler les données, lorsqu’elles sont manipulées. 

Le social engineering : exploiter les failles du cerveau à des fins techniques

Mais les attaques techniques ne sont pas la seule menace. La seconde problématique qu’illustre l’attaque de Twitter est qu’au moins un des employés avec ces accès excessifs a été trompé par l’attaquant. Ce type d’attaque s’appelle du “social engineering”. L’objectif est d’amener une personne à effectuer une action en jouant avec son cerveau. Ces attaques ont été popularisées en informatique par Kevin Mitnick, traqué par le FBI pendant des années, qui téléphonait à des personnes pour obtenir des accès illégitimes à des réseaux dès le début des années 1980. Aujourd’hui, les “fraudes au président” reposent sur les mêmes schémas : en apprendre le plus possible sur les cibles (organisation, qui est là ? quand ? les centres d’intérêts ? etc.) pour créer de la confiance, mettre les cibles en situation de stress afin de les amener à révéler un secret ou effectuer une action, en toute sérénité.

Notre cerveau est victime d’un dysfonctionnement (ou d’un bug comme on dit en informatique) et des attaquants exploitent ces vulnérabilités depuis des siècles. On parle de “biais cognitifs”.

Les biais cognitifs nous permettent de supporter 4 situations courantes. Notre perception envoie à notre cerveau des millions de signaux que celui-ci ne sait traiter. Du coup, il compresse avec perte (il fait le tri). Ces signaux génèrent des souvenirs, mais on ne se souvient pas de tous les détails, ils sont organisés pour être stockés, avec des différences entre mémoire à court ou long terme. Ces souvenirs et notre manière de raisonner nous permettent de prendre des décisions, mais décider est compliqué. D’une part, nous n’aimons pas le faire sans maîtriser tous les tenants et aboutissants : nous avons besoin de donner du sens aux choses et nous projetons notre propre personnalité dans des contextes incomplets. D’autre part, nous préférons, à cause de notre instinct de survie, les choix peu engageants aux décisions irrévocables : le statu quo est rassurant versus l’incertitude. Les progrès des neurosciences sont à la fois terrifiants et fascinants pour expliquer le fonctionnement du cerveau. En effet, plus on le comprend, mieux on sait en exploiter les biais (bugs).

En ayant connaissance d’un événement aux conséquences désastreuses (biais de négativité qui renforce les souvenirs négatifs au détriment des positifs) pour peu qu’il soit récent (biais de disponibilité en mémoire qui nous fait croire qu’un événement récent est fréquent… et est donc susceptible de se reproduire), une cible va effectuer une action pour éviter un nouveau désastre. Dans le même temps, cette cible a été approchée par l’attaquant (biais de halo : personne présentant bien, donc de confiance, intelligente, etc.) qui a raconté comment il a vécu et résolu une situation similaire (biais d’ancrage : il a résolu la situation comme cela, je pourrai faire de même). Si ça a marché pour lui, alors ça marchera pour la cible (biais de conformité). A partir de là, le cerveau de la cible va chercher tous les éléments pour confirmer que l’attaquant est bien la bonne personne pour l’aider (biais de confirmation), jusqu’à franchir le pas. Évidemment, l’escroc prendra soin de placer sous les yeux de la cible un truc énorme pour éviter que la cible ne creuse trop loin (biais de l’angle mort).

Au final, les escrocs, arnaqueurs, commerciaux, espions, recruteurs ou autres prestidigitateurs sont parfaitement habitués à toutes ces failles du cerveau et les exploitent quotidiennement. Quand c’est à des fins “techniques”, on parle alors de “social engineering”. Tout le monde peut se faire avoir à ce jeu-là. La seule défense est la sensibilisation voire l’entrainement pour prendre conscience de ces biais et être capable de détecter quand une anomalie se passe.

La cybersécurité est un sujet qui touche à de nombreux aspects : techniques, légaux, organisationnels, mais aussi humain. L’attaque Twitter nous le rappelle bien.