Espionnage, attaques subversives et cyber sécurité : de l'impact des actions de " social engineering "   et des vulnérabilités humaines sur la sécurité globale des entreprises

Franck DeCloquement

La manipulation, apparue en même temps que l'être humain comme  son corollaire naturel, est devenue  un outil prisé des acteurs  de la cybercriminalité. Les techniques d'ingénierie sociale mises  au service  de la captation des données  informatiques frappent désormais l'ensemble des entreprises autant que les particuliers. Dans cet article, Franck DeCioquement, enseignant à l'IRIS et spécialiste en intelligence stratégique pour le groupe KER-MEUR, livre des éléments de compréhension et d'intelligence à ce sujet en mettant l'accent sur la centra lité de la dimension humaine beaucoup plus que sur les failles techniques permettant aux cybercriminels de commettre leurs forfaits. L'Homme doit  être placé au centre de toute politique de protection des données, rappelle l'auteur, suivant un des principes fondateurs du philosophe chinois SunTzu dans son célèbre Art de la guerre.« Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir; cent fois vous serez victorieux. >>.

«The minds of men are mirrors to one another».  David Hume

Cybercriminalité et faiblesses humaines

Alors que la plupart des analyses sur le piratage informatique se  focalisent  sur  les failles  techniques, il nous est apparu  judicieux de nous concentrer  sur un sujet parfois sous-estimé par un certain  nombre  d'observateurs : l'homme ! Autrement  dit, la composante humaine et sa subjectivité   intrinsèque   comme    source    de vulnérabilité majeure et levier d'action inépuisable - pour  les prédateurs de tous  poils - en acquisitions frauduleuses de data au détriment de leurs proies.

Des escroqueries audacieuses aux  nombreux exemples  d'impostures réussies  par le  truchement    des   réseaux    sociaux,   des    scénarios  d'espionnage    les   plus    rocambolesques   aux menaces  de chantage  par  simple  cryptage  des données, toutes ces actions criminelles sophistiquées  entretiennent un point commun: elles sont en  effet basées  pour l'essentiel sur un art consommé de la persuasion  et de la supercherie, déployé très habilement par un opérateur malveillant  pour parvenir à ses fins. C'est ce qu'énonçait   il  y  a  déjà  bien  des  années   un pionnier  en  la  matière,   J'américain  et  ancien pirate informatique emblématique Kevin Mitnick  Les aspects  purement technologiques n'entrent en ligne de compte que pour une partie mineure dans ce processus de «captation malveillante».  In fine, les  cybercriminels  devancent  toujours   les   entreprises  dans   leurs   contre­  mesures.  Le recours  aux  méthodes  de l'action psychologique  par des  prédateurs ingénieux  et stratèges  profite de la  profusion des techniques numériques   de   communication  dans   notre écosystème de vie.

S'appuyant sur les stratégies de la subversion, ces actions criminelles permettent l'usage raisonné des méthodes d'approche  psychologiques basées sur « l'art de la tromperie et de la persuasion>>, pour  mystifier  une cible.  En conséquence - et pour paraphraser Mitnick lui-même-  l'Homme doit résolument  être au centre  de la politique de protection des données. Aucun pare-feu ou protocole de cryptage  ne saurait  être  assez  efficace pour stopper des individus déterminés à pénétrer un réseau en vue d'obtenir une information classifiée, au sein d'une structure institutionnelle ou entrepreneuriale.

Dans l'ère du recours aux solutions de protection basées sur Je tout technologique, afin de gagner en productivité et réduire corrélativement les coûts, l'élément humain  constitue  la pierre  de faîte de l'édifice entrepreneurial. Mais cette dimension humaine est  a contrario  Je principal point faible et le parent pauvre des dispositifs de protection  des architectures réseau.  « L'angle mort «  en quelque sorte, des politiques de sécurité.  Et plus spécifiquement au sein des  PME­ PMI, car cela coûte cher.

Négliger la dimension  humaine  revient à courir Je risque que tout J'édifice s'écroule tel un château de cartes:  un personnel peu ou mal formé, qui ne respecte   pas  les  consignes    élémentaires  de prudence ou des protocoles de sécurité stricts, et c'est toute l'entreprise qui peut faillir dans l'instant,  à la vitesse  de  l'électron.  Les  faiblesses  individuelles constitueront donc un terrain privilégié, une clef d'accès opportune et un vecteur d'infestation  virale inestimable pour tout «black hat>>  qui se respecte. L'art de la dissimulation et de   la   supercherie   explique   aussi   comment  certaines attaques par imposture réussissent très souvent au-delà des espérances initiales de leurs concepteurs. Cela est spécifiquement Je cas dans Je désormais  fameux  scénario  « d'arnaque aux faux présidents» qui use d'éléments contextuels fallacieux et d'une présentation de soi contrefaite, pour pousser insidieusement une victime manipulée    à    effectuer    d'urgence   un    virement bancaire, mais au bénéfice d'une entité prédatrice mal intentionnée.

Penser  le mal : petite psychologie de l'assaillant

Les nouveaux usages du numérique posent ainsi des défis totalement inédits  en matière  de cybersécurité et d'intelligence. Et la bonne compréhension des vulnérabilités humaines est encore  plus essentielle  que la seule maîtrise  du code ou des architectures techniques  en réseaux pour faire face à ces attaques subversives.

Non seulement  un opérateur  malveillant se positionne  dans  la «tête  d'autrui » pour lui extirper  des  informations vitales  ou  lui  ravir  certains secrets    en   mesure    de   faciliter   ensuite   le «guidage>> des attaques technologiques,  mais il vient également «au contact»  pour exploiter, par effet d'empathie, une vulnérabilité personnelle ou une faille circonstancielle opportune afin de saisir plus aisément des éléments d'articulations exploitables. Ces derniers se nichent  le plus souvent au cœur d'une simple conversation, d'apparence   anodine,   ou  menée   à  bâton   rompu. L'individu en relation est envisagé par un prédateur    mal   intentionné   comme    un    système  complexe   d'autorégulation,  inclus   dans   une dynamique d'équilibre   et  d'échange  avec  son environnement. Ces déterminants sont largement spécifiques à chaque individu. En d'autres termes, chaque  personne  qui communique a son propre tempo, ses propres codes comportementaux et ses propres  rythmes d'interaction. Tout ceci forme une sorte de pattern' de réaction aux divers stimulis que projettera le manipulateur pour soutirer du  renseignement à  sa  victime.  Ne pas  tenir compte  de toutes  ces variables  humaines rend pratiquement impossible la mise en œuvre d'un processus d'élicitation efficace. La rapidité  et la dextérité manuelle du pickpocket sont ici remplacées  par l'ingéniosité psychologique de l'assaillant à <<faire dire» ou« faire croire».

L'élicitation est cette manière ingénieuse de soutirer de l'information  à autrui ou à un groupe d'individus, sans que les fins réelles poursuivies ni les objectifs de la conversation ne soient divulgués en retour. Il s'agit d'une technique offensive de conditionnement et de collecte de l'information stratégique redoutablement efficace, à partir d'une source humaine généralement ouverte.

Ces actions spéciales- <<non-conventionnelles»­ se  multiplient  à  foison  contre  les  entreprises françaises et suisses, auprès des particuliers,  des personnels  internes et  des  filiales  de  grands groupes. Mais aussi en direction de la sous-traitance utilisée  comme autant de «portes arrière dérobées ,,s pour atteindre de biais, la cible prioritaire.   Et  ceci,  dans   des   proportions   encore inimaginables il y a quelques années. Pour mettre en œuvre  une stratégie  d'élicitation efficace, le collecteur  pernicieux  a  besoin  d'un  niveau  de réflexion élevé, de flexibilité psychologique, d'une capacité naturelle d'adaptation  pour déployer et orienter  son  processus de recherche,  de collecte puis d'accaparement.

Selon la dernière étude  en date  - et assez pessimiste - du CESlN (Club des experts  de la sécurité de l'information et du numérique)6, seuls 19%  des entreprises interrogées n'ont  constaté aucune  cyber-attaque au cours de l'année.  33% des sondés en ont recensé au moins dix à treize en 2015. Cette enquête montre aussi que l'utilisation de serveurs extérieurs «cloud» en particulier, inquiète  très  fortement une  bonne  moitié  des professionnels   du  secteur,   pour  des  raisons évidentes de vulnérabilité pour les données qui y transitent. Et ceci, même si 85% des entreprises s'en servent  pourtant  activement au quotidien. Des tendances générales que confirme d'ailleurs l'enquête Global Economie Crime Survey 20167 de PricewaterhouseCoopers  (PWC)

Rappel de quelques chiffres clefs

Les entreprises et  les  directions générales se sentent particulièrement exposées et vulnérables face au vol de données personnelles  ou de fuites d'informations stratégiques, quand  bien même J'attaque la plus fréquente est la demande  de rançon dont elles sont 61% à avoir été victimes. Les trois quarts  d'entre  elles (76%) s'attendent à une intensification des attaques cette année indique  le rapport  du CESIN. Les salariés  sont jugés trop peu sensibilisés aux cybers-risques (à 41%),   et  les   personnels  trop   peu  enclins   à respecter scrupuleusement les recommandations de leur direction de la sécurité (à 52%).

En définitive, les moyens techniques  alloués à la cybersécurité  sont  jugés très insuffisants  à 58%. Tout  comme   les   moyens    humains    à   69%.

47% des  sondés   envisagent d'augmenter très substantiellement les ressources  dédiées à la cyber-sécurité, et 40% prévoient  même  de souscrire  à terme  une <<   cyber-assurance >>    (19% d'entre eux J'ont déjà fait). Il ressort de ce sondage que  les  enjeux  prioritaires sont  à  leurs  yeux «humains>> davantage que «techniques>>.

Tout le monde s'accorde  à dire qu'il est aujourd'hui urgent de donner  toute son importance  au processus de cybersécurité dans l'entreprise. Ce qui obligera chacun à réfléchir et à travailler autour des nouveaux usages du numérique, par l'ensemble des  personnels   et  des  parties prenantes en interactions dans les structures entrepreneuriales, allant des directions générales en passant  par les membres de l'encadrement intermédiaire, jusqu'aux plus petits personnels, sous-traitants compris. Consécutivement, il en va de même pour les particuliers, obligés de composer avec les moyens disponibles dans leurs foyers. La vulnérabilité est accrue pour des courriels piégés provenant d'entreprises d'hébergement de données   situées  sur le territoire   national,    mais   non   incluses   sur   les principales listes noires des hébergeurs identifiés comme  «véreux>> ou « insécures >>.  La détection amont n'est pas aisée, voire souvent impossible, pour un particulier, et les identités véritables des prestataires difficiles à démêler.

Pas de solution  miracle  donc, dès lors qu'il est nécessaire  de passer  par une sous-traitance des services informatiques, pas ou très peu sécurisée. En conséquence, il est impératif  de former  des hommes et des femmes aux usages raisonnés des bonnes pratiques en matière de cybersécurité. Et ceci d'autant plus quand  le distinguo entre  «vie privée>> et «vie publique>> est de moins en moins discernable et les frontières de plus en plus floues.

Social engineering et autres complications

L'ingénierie sociale, ou« social engineering >> en anglais,  est  une  forme  d'acquisition  déloyale d'informations par le recours  massif à l'art du conditionnement et à la manipulation. Autrement dit, l'escroquerie des personnes à des fins d'obtention de  données   sous  embargo,  à  très haute valeur  ajoutée.  Il s'agit d'informations sensibles  qui n'auraient jamais été divulguées dans des conditions normales d'interactions sociales. On influence ou abuse généralement de la confiance d'un individu  que l'on conditionne, afin  de lui  soutirer  des renseignements utiles (mot de passe, données sensibles,  codes d'accès, agenda  interne, options  stratégiques, etc.) pour commettre un forfait. Il s'agit  en définitive  de conditionner autrui à «répondre positivement» à des attentes  ou des injonctions cachées induites par un interlocuteur malveillant, sur la base des fameuses failles humaines qui affectent  notre perception 9 Les biais perceptifs (biais de discrimination privative,    biais    d'induction    et   de déduction,  biais de  distorsion  perceptive,  biais d'endofavoritisme et d'exodéfavoritisme, biais de surinclusion et de surexclusion, etc.) constituent  un  bon exemple  et  nous  concernent tous.  Les études  en psychologie cognitive  et psychologie sociale le démontrent sans conteste: la perception humaine est loin d'être objective

Ces failles nichées  au cœur  même des psychés individuelles constituent une pièce maîtresse dans ce type de stratégies qui se fondent pour agir sur la manipulation d'autrui via un cocktail intelligent     d'actions      sournoises     d'inspiration neuroscientifique. Elles  peuvent  être  activées sans   connaissances  spécifiques   préalables, et représentent une clé de réussite  amont  majeure pour un acteur malveillant.  Et ceci, dans 90% des cas de piratages par usage des technologies numériques en réseau. Ici comme ailleurs, le juge de paix ayant  le culot et une certaine  forme de « créativité  » pour se positionner en  avance  de phase sur les perceptions de la cible. Ces formes de ruse de la raison ou de management des perceptions sont de plus en plus courantes, sophistiquées  et   habiles.   D'inspiration   néo­ constructiviste, elles vont notamment jouer sur la psychologie, le ressenti,  les perceptions  et les émotions d'autrui, afin de progresser imperceptiblement  vers le but final  recherché : ravir une information  stratégique exploitable. Pareille stratégie  peut  notablement s'appuyer sur l'exfiltration de données  sensibles par le truchement   d'un    email    piégé    («phishing» ou <<Spear-Phishing» contenant un malware contaminant, portant au choix sur un plan social, un plan de fusion ou de rachat d'entreprise, une politique  RH, etc. Au demeurant, les stratégies d'approche sont innombrables et les visées criminelles nombreuses.

Ce que l'homme fait à l'homme à l'ère du web2.0

Aujourd'hui  le plus souvent  réduit  au statut  de consommateur, asservi   par  une  obligation  de compétition permanente, abandonné à lui-même, l'individu  triomphant des années 1980 a très largement perdu de sa superbe, au profit d'un être mimétique  post-moderne  asservi et soumis aux impératifs  d'une culture  politique de la concurrence du «tous contre tous» 13. Quid de l'être humain tapi sous la carapace? Nul ne s'en préoccupe plus, au point de demander à chacun de prendre  en charge  ce qui  relevait  auparavant de  l'action commune  et de la  représentation politique,  de résoudre par ses propres forces ce que la société des hommes ne parvient plus à résorber: la peur des autres  et la  haine de soi, la misère  sociale, l'indifférence  généralisée et  la  perte  du  sens collectif.  Dès  lors,  force  est  de  constater   que l'économie politique a pris la place de la morale. Le  ressentiment et la défiance, la place de la convivialité  et  de  la  confiance  mutuelle   sont autant  de mutations funestes  qui impactent forcément l'entreprise et son écosystème global.

A l'ère du web 2.0, la situation  de l'homme  au monde est devenue très complexe et sujette aux manipulations insidieuses en tous genres.  Une situation  d'autant plus insupportable pour nos modernes consciences  que les rhétoriques actuelles du «contrôle de soi» adossées au «tout concurrentiel» investissent de concert l'ensemble du corps social. Et notamment le monde de l'entreprise. «Seules deux choses sont infinies, l'univers et la stupidité de l'homme, et je n'en suis pas certain  pour la  première »  affirmait   Albert   Einstein.  Cette célèbre maxime  posait évidemment en creux la question des limites de la rationalité15 humaine.

Malgré notre libre arbitre de façade, posé comme le principe structurant de notre identité,  nous sommes    tous    influençables,    manipulables, éminemment vulnérables  et aisément  faillibles, comme l'a cruellement démontré l'emblématique expérience   de  Milgram  sur  La  Soumission  à l'Autorité. Plus récemment  encore, citons Le jeu de la Mort  inspiré des mêmes travaux de psychologie sociale, repris et approfondis  par jean-Léon Beauvois et Robert Vincent joule depuis  une quarantaine d'année,  à travers  leurs  différents traités sur la psychologie de l'engagement.

Pour ne pas conclure trop vite sur les mécanismes de cette  part d'ombre  qui nous rend collective­ ment     et     éminemment     manipulables    et vulnérables, il nous est apparu éclairant de laisser le mot de la fin au psychiatre et médecin Henri Grivois. Gageons que ces quelques lignes supplémentaires  qui envisagent  la subjectivité comme un  produit  du   mimétisme  universel   cher   à l'académicien René Girard sauront  nous édifier sur notre commune faiblesse.

Fragilités humaines dans les affaires cybers

Nous avons pu relever à travers  cette rapide présentation toute l'équivocité  de l'intersubjectivité       humaine,       tel      un       champ       de forces omniprésentes depuis les temps immémoriaux.  A  ce  titre,  les  dernières techniques de manipulation par le truchement des ressources  cybers   ne   peuvent   s'appréhender   aisément compte tenu de leurs formes hybrides, polymorphes et tangentielles, d'apparence  irréductible.

Comme nous le rappellent  les signataires   d'un texte commun en faveur d'une définition de la psycho criminalistique, «il est clair qu'aujourd'hui, existe un retard manifeste de la France par rapport au monde judiciaire anglo-saxon et que notre nation se doit de sortir de son« splendide isolement». Rien n'est plus vrai dans le registre des techniques  d'intrusions portant sur les vulnérabilités humaines  et visant prioritairement  les collaborateurs  de l'entreprise. L'hypothèse du «désir mimétique» girardien, née de l'autre  côté  de  l'Atlantique  sous  la  plume  du célèbre  académicien  Français  récemment disparu, a très largement rendu compte des fondements violents,  imitatifs  et envieux  de la nature humaine. Et ceci avant même l'avènement des sciences  cognitives  et des imageries médicales  en   phase   de  le  prouver.  Ces   apports inestimables de la recherche contemporaine en neurosciences sont  encore  peu connus  dans  le giron de la petite et moyenne  entreprise, et des experts francophones sur les questions d'intelligence.

Compte tenu de l'inefficacité  grandissante des mécanismes politiques à refonder de l'ordre social dans nos sociétés contemporaines, l'homme moderne ne peut plus faire obstacle à sa propension maladive pour l'imitation  envieuse et l'ordre concurrentiel... et finalement la mise en œuvre d'actions  malveillantes  pour  l'emporter à tout prix.

La présence  de  cette  violence  en  germe  nous semble être à la base d'un questionnement fonda­ mental sur sa pérennité  dans l'histoire humaine, traversée par de multiples formes de violence qui émaillent  notre vie quotidienne.

Dès  lors,   nos   individualités  sont   devenues, en quelque  sorte  à notre  corps  défendant,  une trajectoire   obligatoire  pour  les  arnaqueurs  et les  pirates  usant   des  techniques numériques intrusives pour  agir, sous  l'influence de cette mimésis universelle.  

Franck DeCioquement, enseignant à 1'1 RIS

Bibliographie

].L. Beauvois, «Les influences sournoises. Précis des manipulations ordinaires», François Bourin éditeur, 2011.

P Cahuc  et Y A/gan, «La soczété de défiance: comment le modèle social français s'autodétruit», collection de CEPREMAP (Centre pour la Recherche Economique et ses Applications), éditions rue d'Ulm, 200 7.

].P Dupuy et P Livet, «Les limites de la rationalité­ Rationalité, éthique et cognition»,  Tome 1 et 2, Actes du colloque de Cérisy, éditions de La Découverte, 199 7.

F DeCloquement etE. Lehmann, «Petit Traité d'Attaques Subversives Contre les Entreprises: théorie et pratique de la contre-ingérence économique», éditions CHIRON, octobre 2009.

A. Ehrenberg, «L'Individu incertain>>, édition Ca/mann-Lévy,1995.

A. Ehrenberg, «Le culte de la performance», éditions Ca/mann-Lévy, 1995.

A. Ehrenberg, «La fatigue d'être soi», éditions Odile jacob, Paris, 1998.

A. Ehrenberg, «La Société du malaise», Odile  jacob, Paris,2010.

C. Hadnagy,  forword by ?Wilson« Social engineering- The art ofhuman hacking», Wiley Publishing, !ne, 2011.

R.-V joule et].-L Beauvois, «Petit traité de manipulation à l'usage des honnêtes gens», Presses Universitaires de Grenoble (PUG), 2004.

R. -V joule et].-L Beauvois,«La soumission librement consentie», Paris, Presses universitaires de France (PUF), 1998.

S. Mi/gram, «la soumission à l'autorité, un point de vue expérimental{«Obedience to Authority: An Experimental View»J », 2ème édition, éditions Ca/mann-Lévy, 1994.

K. Mitnick et W Simon (avec une préface de Stewe Wosnzak),«L'Art de la supercherie: Les révélations du plus célèbre hacker de la planète»,éditions PEARSON, 2005.

L Segal, «Le rêve de la réalité .Heinz von Foersteretle constructivisme», éditions du Seuil, 1986.

Federal Bureau of Investigation {FEI): « Elicitation Techniques», date de consultation.·fe 1010412016, ressource disponible sur:

https:l/www.fbi.gov/aboutus/investigatelcounterintelligencelelicitation- techniques

PWC Global. «Adjusting the Lens on Economie Crime: Preparation brings opportunity back into focus »,Lien web vers l'étude de PricewaterhouseCoopers: http:llwwwpwc.comlgxlenlservicesladvisorylconsultinglfore nsicsleconomic-crime-survey.html

CESIN: le Club des experts de la sécurité de l'information et du numénque (étude qui a été menée par Opinionway du 8 au 22 décembre 2015 auprès de 125 membres de cette organisation et responsables de la sécurité informatique de leur entreprise), Lien web vers le CESIN: http://www.cesin.fr/  et les publications du CES IN http://www.cesinfr/publications

<<Le jeu de la mort» a été diffusé le 17 mars 2010 sur France2. JI s'agit d'un documentaire dont la mise en scène reproduit l'expérience de Mi/gram réalisée initialement auxÉtats­ Unis dans les années 1960. Jean-Léon Beauvois a accepté la direction scientifique du documentaire Le jeu de la mort de Christophe Nick (production Yami-2) sur le pouvoir de la télévision et les dérives de la téléréalité.