Phishing : pourquoi clique-t-on sur les liens malveillants ?
Retour aux sources et aux motivations des cyberattaquants lorsqu'ils lancent des campagnes d'emails malveillants. Ils privilégient des êtres humains plutôt que des organisations, puisque c'est ainsi qu'ils peuvent plus facilement jouer avec les émotions de leurs futures victimes.
Qu’est-ce qui nous pousse à cliquer ? Voilà une question qui se pose depuis l’apparition des liens malveillants. La plupart des gens ont cette image en tête du cybercriminel installé dans un sous-sol qui complote en franchissant le pare-feu et autres dispositifs technique de protection numérique des organisations alors qu’il ne s’agit en fait pas d’une menace visant une infrastructure, mais bel et bien une personne. C’est bien parce que ces technologies de protection sont aujourd’hui jugées, par les attaquants eux-mêmes suffisamment matures pour faire office de bouclier numérique qu’ils doivent emprunter une voie détournée pour mener à bien leur attaque : ils ciblent désormais en priorité les utilisateurs, jugés plus vulnérables. Une récente étude démontre que 94% des cyberattaques sont initiées via l’email, et que plus de 99% d'entre elles nécessitent une interaction humaine pour perpétuer la première étape de l'attaque.
Plutôt que de passer en revue les multiples exemples d’attaques d’hameçonnage par email visant des célébrités internationales, les fausses suspensions de comptes Netflix ainsi que les faux messages de colis retardés, il serait plus avantageux de se pencher sur les mécanismes psychologiques et émotionnels qu’utilisent ces attaques. Ainsi nous pourrions cerner pourquoi, malgré tous les investissements en faveur de campagnes de formation et de sensibilisation, ces attaques perdurent, avec succès.
Quelle est l’intention principale du cyberattaquant ?
Il est utile d’analyser dans un premier temps les différents types d’attaques à destination des victimes afin de comprendre comment les cyberattaquants arrivent à leurs fins. L’illustration ci-dessous présente les trois principaux moyens par lesquels cyberattaquants tentent d’intimider leurs futures victimes. Le plus souvent les utilisateurs sont poussés à exécuter du code informatique contrôlé par l’attaquant, encouragés à dévoiler des informations d'identification, ou tout simplement ils se retrouvent amenés à effectuer des transferts d'argent ou de données à destination de l'attaquant.
Si l’on regarde les dernières tendances, les cyberattaques sont clairement devenues plus complexes : le lien entre l’email initial et le logiciel malveillant final est de plus en plus indirect, notamment afin de détourner la détection de ce dernier. Il est important de rappeler que toutes ces attaques nécessitent une interaction humaine : c’est bien en passant par l'utilisateur que la grande majorité des cyberattaques va réussir... ou échouer !
Pourquoi clique-t-on ? Quelle emprise des cyberattaquants ?
L’objectif principal des cyberattaquants est de déstabiliser les collaborateurs et de faire en sorte qu’ils occultent tout ce qu’ils ont appris lors de leurs formations à la sensibilisation de la sécurité en entreprise. Les cyberattaquants veulent finalement inciter les cibles à prendre une mauvaise décision, ce qui leur permettra de poursuivre leurs attaques, soit en autorisant ou permettant l’exécution de code, soit en partageant des informations d'identification ou alors en payant une facture frauduleuse.
Les cyberattaquants s’appuient sur trois leviers afin de générer un scénario d'échec : l'émotion, la confiance et la fatigue.
1. L’état de fatigue
La majorité des RSSI constate qu'une grande partie des cyberattaques se produisent le vendredi après-midi. En effet, les cybercriminels fonctionnent selon la logique d’ouvrir une brèche le vendredi, afin qu’ils puissent profiter tout au long du week-end pour exploiter leur accès, période durant laquelle l'entreprise victime a moins de chance de réagir.
Il faut également reconnaitre que les utilisateurs sont plus susceptibles de faire un mauvais choix lorsqu'ils sont en état de fatigue. Et quel meilleur moment pour les cibler qu’un vendredi en fin de journée, après une longue semaine de travail ? Comment l’expliquer ? Lorsque votre cerveau est fatigué, il délègue ce qui semble être des choix simples à des fonctions cérébrales inférieures, beaucoup plus automatisées.
Après avoir lu une massive quantité d'e-mails, votre amygdale, également connue sous le nom de cerveau du lézard, peut intervenir à ce stade et diriger votre réaction, par exemple : un e-mail arrive, il contient une pièce jointe, je l'ouvre pour voir ce qu'il dit, et boum ! Le problème est que l'amygdale n’incite pas suffisamment à évaluer le contexte, alors que c’est essentiel pour identifier un email malveillant. Cet organe cérébral provoque une réaction spontanée et hâtive au lieu d’inciter à un comportement beaucoup plus analytique et raisonné.
2. La confiance
La confiance est le deuxième levier exploité par les cyberattaquants. Lorsque l’on est confronté à un éventail de choix, la plupart du temps notre cerveau opte pour les choses qui nous inspirent confiance, c’est le cas lorsque nous devons prendre des décisions rapides.
De nombreux exemples illustrent ce phénomène, c’est pourquoi on voit émerger de nombreuses campagnes d’emails frauduleux qui prétendent provenir d’enseignes réputées comme "DHL" ou "Amazon" plutôt que d’autres services de livraison ou e-commerce moins connus. Les cyberattaquants aiment exploiter la confiance que les utilisateurs accordent à certaines organisations. Leur astuce est aussi de compromettre les comptes de personnes que les collaborateurs connaissent et en qui ils ont confiance. Les cyberattaquants abusent de la compromission de ces comptes à des fins malveillantes car ils ont compris que nous avons beaucoup plus de chances de cliquer sur un lien partagé par un collègue ou une amie que par une personne externe à notre organisation, a fortiori par un inconnu.
Les cyberattaquants sont de plus en plus partisans d’utiliser l'emplacement-même du dépôt des logiciels malveillants pour profiter pleinement de la confiance de leurs cibles envers ces marques informatiques. De récentes recherches démontrent que les utilisateurs sont quatre fois plus susceptibles de cliquer sur des liens malveillants s'ils redirigent vers Microsoft SharePoint, et dix fois plus susceptibles de cliquer s'ils redirigent vers Microsoft OneDrive.
Les auteurs de campagnes malveillantes utilisent donc à leur profit la vérification faite par ces gens qui regardent sur quels sites les liens redirigent avant même de cliquer…
3. L’émotion
Enfin le dernier levier activé par les cyberattaquants et pas des moindres, est l’émotion. Nous savons tous que tout excès est à proscrire, et pourtant nous luttons constamment contre la tentation qui est devenue omniprésente en ligne.
Dans son ouvrage Thinking Fast and Slow, Daniel Kahneman décrit deux systèmes de pensée distincts : le processus émotionnel et intuitif, et le processus plus lent de la logique rationnelle.
Nos cerveaux émotionnels sont incroyablement puissants en ce qu’ils sont capables de réagir rapidement. Notre cerveau rationnel quant à lui, demande du temps et des efforts et nous amène souvent à prendre des décisions plus judicieuses et plus stratégiques.
Les cyberattaquants ont conscience de la complexité de notre cerveau, c’est typiquement pour cette raison qu’ils s'efforcent de déclencher des réactions émotionnelles. C’est le meilleur moyen de pousser leurs cibles à prendre des décisions rapides, faisant abstraction de l’usage de la raison. C’est aussi le meilleur moyen de maximiser les chances que la cible finisse par cliquer.
La majorité de ces réponses émotionnelles engendrent des réactions rapides, comme c’est indiqué dans le schéma ci-dessous. Les attaques de phishing incitent en effet à des réactions vives, indiquant par exemple que "votre colis est sur le point d'être renvoyé au dépôt", que "votre compte Netflix est sur le point d'être suspendu" ou que "vos dépenses ont été rejetées" pour déclencher cette réponse émotionnelle rapide qui ne sollicite pas le cerveau rationnel.
Voici la raison pour laquelle les gens cliquent, même si au fond ils sentent bien que ce n’est pas toujours raisonnable.
Les attaquants utilisent également des techniques d’arnaque qui requièrent un temps de réponse émotionnel plus long. Ceci dit ces techniques sont moins exploitées car elles exigent beaucoup plus de temps et d’efforts. Parmi ces types d'attaques on trouvera les arnaques à la romance et le sextorsion.
Comment préparer les collaborateurs à faire face aux cyberattaques ?
Il est important de tenir les collaborateurs informés du fait que les zones inférieures du cerveau, celles qui sont moins rationnelles, tendent à prendre le dessus lorsque l'esprit logique est fatigué ou distrait. Les collaborateurs doivent apprendre à se méfier lorsqu’ils lisent un email qui suscite une réaction émotionnelle. Plus la pression est forte, plus ils doivent être prudents et réfléchis. Et en étant fatigués ou débordés, ils devront redoubler d’efforts et rester en alerte car ils peuvent être une porte d’entrée de menaces pour l’ensemble de leur entreprise. La meilleure des solutions serait d’encourager les collaborateurs à respecter la consigne suivante simple, "Vérifiez par un autre canal avant de faire confiance" dès qu'un membre de l’entreprise possède le moindre soupçon au sujet d’une communication qu’il reçoit. Ce conseil est très important car il est également parfaitement valable pour des courriers électroniques personnels.
Conclusion
Il est important de garder à l’esprit que derrière les phénomènes de cybercriminalité, se cachent en réalité des humains qui s’en prennent à d’autres humains. On comprend alors finalement mieux que les cyberattaquants privilégient désormais les attaques centrées sur les personnes, amplifiées par la confiance aveugle accordée aux supports numériques et non plus les attaques sur la technologie. Cette compréhension est un prérequis pour développer une stratégie de cyberdéfense continue et centrée sur l’humain afin de protéger plus globalement l’organisation contre les menaces actuelles.