Cyberattaques et biais cognitifs : quels sont nos comportements ?

Une personne a récemment reçu, par e-mail, une fausse « convocation judiciaire » l’accusant de pédopornographie et lui demandant d’envoyer ses « justifications » dans un « délai de 72 heures » sous peine d’une arrestation.

Elle était la cible d’une cyberattaque fondée sur l’ingénieurie sociale où l’attaquant profite des vulnérabilités de sa victime au moyen d’une interaction sociale pour enfreindre la sécurité du cyberespace. Parmi ces vulnérabilités se trouvent les biais cognitifs.

En effet, l’attaquant essaye d’amener sa cible à développer certains comportements qu’il attend d’elle pour réussir son objectif : la victime, persuadée de réfléchir et d’agir correctement, empruntera en fait un mode de réflexion biaisé comme base de sa réponse comportementale.

Les biais cognitifs produits par une cyberattaque diffèrent en fonction de la stratégie déployée par l’attaquant. Quels sont donc ceux provoqués par une stratégie de persuasion, une stratégie profitant des exigences sociales et une stratégie d’urgence, lesquelles sont souvent choisies pour porter atteinte à beaucoup trop d’entreprises ?

Les biais cognitifs provoqués par une stratégie de persuasion

L’attaquant approche sa cible en lui faisant croire qu’il est semblable à elle, qu’il partage les mêmes goûts et idées afin d’évacuer tous conflits et faciliter la coopération. Aussi, il peut lui faire croire qu’il détient un statut social lui conférant une certaine autorité.

Cette stratégie peut provoquer un biais de similarité à cause duquel la cible accorde une certaine crédibilité à l’attaquant du fait de sa proximité démographique, sociologique ou idéologique dont il se réclame et un biais de stéréotypage par lequel, sans même connaître personnellement l’attaquant, elle lui attribue certaines caractéristiques associées au groupe auquel il dit appartenir pour se montrer proche d’elle.

Il pourrait par exemple s’agir d’une attaque par phishing pour porter préjudice à une organisation humanitaire : dans l’e-mail qu’il envoie à un salarié de l’organisation, l’attaquant se présente comme membre d’une autre structure humanitaire proche des valeurs de celle-ci et envoie une invitation à un événement caritatif. Confiant, le salarié ouvre le fichier contenant l’invitation et, sans le savoir, charge un logiciel malveillant.

Cette stratégie peut aussi provoquer un biais d’autorité au moyen duquel la cible accorde une crédibilité à l’attaquant du fait de la position sociale ou des compétences dont il se réclame. Biais pouvant être associé au biais d’expertise comme tendance à conférer à un individu, du fait de son statut social lié à des compétences intellectuelles ou techniques qu’il détient, un savoir particulier qu’il n’a pas et au biais d’objectivité comme propension à accorder un certain crédit à un individu du fait de l’objectivité dont il se réclame dans une situation donnée.

Par exemple, un nouveau salarié d’une petite startup de location de biens meubles entre particuliers gère seul, en télétravail et le week-end, le service client : l’attaquant lui envoie un e-mail dans lequel il se présente comme l’un des développeurs de l’application de la startup. Dedans, il lui demande de l’appeler à un numéro précisé pour lui donner le code de son compte d’accès au backoffice du site web de la startup car il a oublié le sien. Pour ce, il prétexte qu’il doit réaliser une opération n’entrant pas dans son supposé domaine de compétences. Le nouveau salarié l’appelle et lui donne son code car il lui attribue une autorité, une expertise et une objectivité qu’il ne détient pourtant pas.

Les biais cognitifs provoqués par une stratégie profitant des exigences sociales

La disposition de l’individu à se conformer au groupe dans lequel il se trouve afin d’être accepté des autres, sa propension à respecter un devoir moral de charité face à une demande d’aide sont autant d’exigences sociales dont se sert un attaquant pour profiter de sa cible.

A cette stratégie, il faut associer le biais de la pensée désidérative désignant la formation de décisions et croyances à partir des désirs de l’imagination plutôt que de la réalité ainsi que le biais de conformisme au moyen duquel un individu se conforme à l’attitude des autres quelle qu’elle soit.

Imaginons un attaquant envoyer un e-mail à plusieurs salariés dans lequel il remercie leur entreprise d’avoir soi-disant eu recours à ses services de dépannage informatique. Il y explique qu’il vient de démarrer son activité à 22 ans seulement (photo à l’appui avec un sourire doux et naïf) après une difficile période de chômage et qu’ils peuvent l’aider en évaluant favorablement son intervention sur un site en cliquant sur le lien précisé comme « 99% de ses clients ». Sans savoir si cette intervention a vraiment eu lieu étant donné la plus ou moins grande taille de leur entreprise mais touchés par son récit auquel ils veulent croire (biais de la pensée désidérative) et suite à une réponse, transmise à tous, de l’un d’eux ou d’un complice lui souhaitant « une bonne continuation », certains répondent favorablement à sa demande (biais de conformisme) en cliquant sur le lien, ce qui a pour conséquence de déclencher un virus.

Nous pouvons associer à cet exemple d’autres biais cognitifs. En effet, les salariés qui ont cliqué sur le lien peuvent aussi être influencés par la phrase précisant que « 99% de ses clients » répondent à sa requête : c’est le biais de cadrage au moyen duquel une information est interprétée en fonction de sa présentation positive ou négative. Aussi, le visage candide choisi pour la photo peut les mettre en confiance : c’est l’effet de halo comme tendance à être influencé positivement ou négativement dans le jugement global d’une personne ou d’un groupe seulement en fonction de la première impression qu’ils dégagent.

Les biais cognitifs provoqués par une stratégie d’urgence

Il s’agit de provoquer chez la cible de l’anxiété en conditionnant le temps de sa réponse comportementale afin que celle-ci soit guidée seulement par la peur et le stress.

L’attaquant utilise cette méthode dans le cadre d’une attaque par rançongiciel. Au moyen du chantage, l’attaquant exploite le biais d’action comme tendance à agir nécessairement lorsqu’un problème survient plutôt que de prendre le temps de la réflexion pour le résoudre. Ainsi, alors même qu’il est préférable de ne pas payer, beaucoup d’entreprises cèdent à la demande de l’attaquant.

Aussi, l’attaquant peut user de cette stratégie en demandant une aide urgente à la cible. Dans ce cas, il cherche à éviter l’effet témoin comme tendance à ne pas secourir un individu lorsque d’autres personnes se trouvent autour : il montrera à sa cible qu’elle seule peut l’aider.

Par exemple, l’attaquant envoie cet e-mail seulement au secrétaire de Monsieur B., PDG d’une entreprise : « Je suis avec Monsieur B., son téléphone n’a plus de batteries. Il me demande de vous envoyer ce formulaire, en pièce jointe, à remplir et me transmettre LE PLUS VITE POSSIBLE sinon catastrophe ! » Alors même qu’il ne connaît pas l’expéditeur du message, le secrétaire, pensant que seul lui peut aider, est pris de panique : il ouvre le fichier et télécharge un logiciel malveillant.

Pour ne pas se laisser avoir par le cyber machiavélisme de l’attaquant, la sagesse stoïcienne de Marc Aurèle apparaît comme un solide bouclier : « Dès l’aurore, dis-toi d’avance : je vais rencontrer un indiscret, un ingrat, un insolent, un fourbe, un envieux, un égoïste ».