Stress, appât du gain, curiosité Voici les biais cognitifs les mieux exploités par les cybercriminels
L'ingénierie sociale est l'une des formes d'attaques les plus utilisées par les cybercriminels. Selon le rapport annuel data breach investigations 2025 de Verizon, ils l'utilisent dans 17% des cas recensés. Elle permet aux cyberattaquants de profiter d'une interaction sociale pour compromettre leur système d'information. Pour cela, "ils exploitent l'émotion de leurs cibles", indique Martin Kraemer, expert en cybersécurité comportementale.
"Généralement, l'attaquant demande à sa cible de réaliser une tâche. Il fait en sorte que cette tâche soit urgente à accomplir. Puis il agit de telle sorte qu'il puisse demander toujours plus de tâches à sa victime", observe celui qui est aussi ambassadeur de sensibilisation chez KnowBe4, une entreprise spécialisée dans la sensibilisation à la cybersécurité. A travers ce procédé, il manipule sa cible : celle-ci agit selon certains biais cognitifs qui lui permettent d'atteindre ses objectifs.
Pour rappel, un biais cognitif est une erreur de jugement causée par des raccourcis mentaux que notre cerveau utilise pour traiter de l'information rapidement. Ceux-ci peuvent aboutir à des décisions irrationnelles ou faussées. Les attaquants exploitent les biais cognitifs de leurs victimes principalement au moyen du phishing et du pretexting.
Selon le même rapport de Verizon, le phishing est utilisé dans 57% des cas d'attaque par ingénierie sociale. Par ce procédé, l'attaquant trompe sa victime par un message (souvent un email) pour l'amener à transmettre des informations sensibles ou télécharger un malware. Le tout en se faisant passer pour un tiers de confiance. Quant au pretexting, il est utilisé dans 30% des cas. Grâce à cette méthode, l'attaquant manipule sa victime au moyen d'un scénario crédible pour se faire passer par une personne légitime. Il obtient ainsi des informations confidentielles (codes, etc.), un accès privilégié, etc.
Durant ces attaques, la cible peut agir selon de nombreux biais cognitifs. Elle accorde par exemple une crédibilité à un attaquant qui se fait passer pour un professionnel : il s'agit du biais d'autorité. Si l'attaquant se fait passer pour un banquier, ce biais peut pousser la victime à lui transmettre, en toute confiance, le code d'accès à son compte bancaire.
Toutefois, trois biais cognitifs sont privilégiés par les attaquants. "Les récentes études démontrent que certains biais cognitifs augmentent significativement la probabilité de tomber dans les pièges de l'ingénierie sociale : le stress, l'appât du gain et la curiosité", indique Achraf Hamid, data scientist. Responsable de l'équipe data chez Mailinblack, société spécialisée dans la sensibilisation à l'ingénierie sociale, il affirme que le stress est toutefois le biais cognitif le plus efficace à exploiter pour les attaquants. Et pour cause, il provoque l'effet tunnel à cause duquel la cible accorde une importance exclusive à une tâche ou une information qu'elle perçoit comme prioritaire, en négligeant les périphériques, les alternatives ou les conséquences.
Pour parvenir à cette conclusion, ses équipes ont recueilli les résultats de 278 000 simulations réalisées auprès de plus de 57 076 utilisateurs uniques des solutions de Mailinblack. Ces simulations ont été réalisées à travers trois formes d'attaques par ingénierie sociale. La première attaque exploitait le stress des utilisateurs. Elle a été opérée au moyen de l'envoi d'un email urgent les informant de la nécessité de modifier leur mot de passe. Pour cela ils devaient cliquer sur un lien dans un délai de 72 heures pour éviter la suspension de l'accès à leur compte. La deuxième mesurait l'attractivité de l'appât du gain chez les cibles visées. Elle a consisté en l'envoi d'un email invitant celles-ci à cliquer sur un lien pour bénéficier d'un remboursement exceptionnel d'impôts. La troisième testait le biais de curiosité des utilisateurs. Ils ont été invités à se connecter à un service de partage de fichier pour découvrir les bulletins de salaires de leurs collègues.
Il ressort des résultats de ces simulations que le délai moyen avant le clic sur les liens est de 42 000 secondes lors de l'attaque exploitant le stress des utilisateurs. Il est de 110 000 secondes lors de l'attaque utilisant l'appât du gain des utilisateurs et de 121 000 secondes pendant celle fondée sur la curiosité. "Cela signifie qu'une victime en condition de stress clique plus vite sur le lien que quand l'attaquant exploite ses biais cognitifs fondés sur l'appât du gain et la curiosité", indique Achraf Hamid. "Le temps de clic d'une cible conditionnée par le stress est inférieur de 62% à celui observé dans le scénario d'appât du gain et de 65% à celui basé sur la curiosité", ajoute-t-il.
Une exposition inégale aux biais cognitifs
L'étude menée par Mailinblack révèle aussi que la sensibilité à une attaque "dépend du couplage entre le profil cognitif de la personne et le type de biais exploité", affirme Achraf Hamid. Et pour cause, 89,3% des utilisateurs testés, ayant été exposés à au moins deux types d'attaque, sont sensibles à l'un et pas à l'autre. "Ces différences entre les individus s'expliquent par le fait que leur éducation, leur expérience, leur habitus, leur sensibilité influencent leur manière d'appréhender et de traiter l'information", observe le data scientist.
En outre, la position sociale et professionnelle des individus joue aussi sur leur susceptibilité aux biais cognitifs selon Achraf Hamid : "Un nouvel employé dans une entreprise est souvent sujet à des formes d'attaques exploitant son stress. Un dirigeant avec un salaire très élevé et très occupé est moins sensible aux attaques exploitant l'appât du gain qu'une personne avec beaucoup moins de responsabilités, plus de temps et peu de moyens financiers".