COVID-19 : lutter contre la psychologie de la peur et du doute
Séismes, inondations, tsunamis ; SRAS, H1N1, Ébola, Zika et maintenant COVID-19, les catastrophes naturelles et les épidémies ont énormément de points communs, à commencer par les pertes tragiques en vies humaines. Mais un lien plus sordide les unit également : l'exploitation par des acteurs malintentionnés qui en profitent pour propager des logiciels malveillants, lancer des attaques par hameçonnage et phishing et commettre des arnaques.
Se servir de la peur pour multiplier les escroqueries
Les cyberhackers ne se limitent pas aux malwares. Fin 2019, un rapport[1] sur la relation entre l’organisation cybercriminelle TrickBot et la Corée du Nord, acteur APT notoire, a démontré que l’efficacité des dispositifs employés est décuplée dès lors que le levier psychologique est utilisé dans les messages électroniques
L’université américaine Johns Hopkins et le CSSE (Center for Systems, Science, and Engineering) ont mis au point une carte interactive modélisant la propagation de l’épidémie de COVID-19 par pays, province, état et ville. Au 10 mars 2020, les principaux pays touchés étaient la Chine, l’Italie, l’Iran, la Corée du Sud, l’Espagne, la France, l’Allemagne, les États-Unis et le Japon. Concrètement, chacun de ces pays, dans le contexte actuel, devient un terrain de choix pour le phishing et les tentatives d’escroqueries par e-mail ciblant un nombre phénoménal d’utilisateurs.
Dans un e-mail appelé à véhiculer un malware, le contexte joue un rôle extrêmement important. La nature humaine est ainsi faite que l’angoisse de perdre a toujours engendré des réactions plus prévisibles que les perspectives de gagner. Par exemple, dans le contexte du COVID-19, quel intitulé en objet d’un e-mail est le plus susceptible de susciter une réaction ?
« Comment endiguer la propagation du coronavirus en 3 étapes simples. » ?« URGENT : Vous avez été en contact avec un patient atteint du coronavirus. » ?
Le premier intitulé ne génère, a priori, aucune angoisse ; il ouvre seulement la perspective d’obtenir davantage d’informations sur les moyens d’endiguer la propagation du coronavirus. Le second intitulé entre dans le vif du sujet : la peur. En pointant un comportement à risque, il accentue le sentiment de manque d’un objet de valeur. En l’occurrence, s’agissant du COVID-19, ce pourrait être la disponibilité de tests de dépistage.
« Ne laissez pas passer votre chance ! Procurez-vous la denrée rare : un test de dépistage ! »
Ce dernier intitulé de mail joue sur deux registres : l’angoisse et la pénurie. Peu importe que la population ne puisse pas acheter ces tests de dépistage, puisque seuls les États ont la mainmise. L’angoisse de la perte, le sentiment d’urgence et la couverture médiatique du COVID-19 créent des conditions qui ont raison de notre bon sens et nous obligent à agir en fonction de craintes primitives. La peur de la maladie nous pousse à jouer notre va-tout.
Exploiter les vulnérabilités humaines
Les criminels sont aujourd’hui devenus experts en manipulation des émotions humaines, pour mieux cibler leurs actions. L’ingénierie sociale part du principe qu’il est possible d’amener quelqu’un à prendre des mesures censées être dignes de confiance, mais qui sont en réalité malveillantes, en misant sur la manipulation, l’influence et la tromperie.
Les États-nations recourent depuis longtemps à l’ingénierie sociale pour atteindre leurs objectifs dans divers domaines : espionnage, compromission de systèmes, influence électorale ou manipulation des réseaux sociaux. Dans le cadre d’attaques ciblant les messageries d’entreprise (Business Email Compromise, BEC), il s’agit de convaincre le destinataire d’un e-mail que l’expéditeur est un haut responsable exigeant la réalisation d’une opération particulière, notamment financière (« la fraude au président »).
La principale tactique employée par les États et acteurs malveillants consiste à exploiter, non pas une vulnérabilité, mais la faiblesse humaine. Ainsi, la Russie a réussi à mener à bien la première attaque avec le malware baptisé Black Energy. La technique de compromission initiale ? Un hameçonnage ciblé via un e-mail prétendument envoyé par le gouvernement ukrainien. La feuille de calcul Excel en pièce jointe invitait le destinataire à activer les macros.
C’est ainsi que la charge utile a été injectée au départ. Rien de bien compliqué. Simplement un sentiment d’urgence (le gouvernement ukrainien) et le bon sens (ne jamais activer les macros d’une pièce jointe).
Personne n’est immunisé contre l’ingénierie sociale
La psychologie de la peur, de l’incertitude et du doute est une arme redoutable. C’est toujours la même raison qui amène un collaborateur à cliquer sur un lien suspect ou à ouvrir un document intégrant un malware : pour trouver la réponse à ses interrogations et apaiser cette angoisse manifestée par la peur, l’incertitude et le doute qui le tenaille.
La morale de l’histoire ? Peu importe la quantité de formations de sensibilisation à la sécurité, le nombre d’affiches sur l’hygiène cybernétique placardées dans les bureaux, ou les incalculables rappels hebdomadaires par e-mail, les comportements humains finiront toujours par avoir le dernier mot. Autrement dit, l’angoisse de la mort et l’instinct de survie (apaisement de l’inquiétude/du stress) l’emporteront sur le bon sens.
Les machines sont insensibles à la peur
Pour autant, l’horizon n’est pas totalement sombre. L’utilisation de l’intelligence artificielle et de l’apprentissage automatique a fait basculer l’équilibre du pouvoir des assaillants vers les victimes. Plutôt que de réagir aux attaques et de se relever après celles-ci, l’intelligence artificielle/l’apprentissage automatique a misé sur la vitesse et la précision de la détection et de la prévention.
Les comportements humains peuvent être corrigés par l’application mûrement réfléchie de la technologie. Plutôt que d’exiger d’un utilisateur qu’il détermine si telle ou telle opération est « sûre », il est plus facile d’agir a priori et d’empêcher une attaque par ransomware que de s’en remettre.
L’intelligence artificielle ne cède pas à la peur, ne se plaît pas à manipuler les émotions humaines et ne peut pas contracter le coronavirus. Elle est sans doute le meilleur antidote contre la peur, l’incertitude et le doute.
[1] Source : SentinelOne Labs