Par Thierry Berthier.
En matière de sécurité numérique, le facteur humain constitue souvent le maillon faible de l’infrastructure de défense. Cette fragilité humaine face aux systèmes est apparue à la naissance du premier virus informatique au début des années 80. Le concept de virus a été utilisé la première fois en 1981 par Leonard Adleman dans ses échanges avec Fred Cohen puis formalisé dans une définition mathématique par Fred Cohen en 1983. Dès 1982, l’ Apple II est touché par des virus circulant sur disquettes dont l’exécution bloque le système d’exploitation et dès cette époque, le facteur humain vient jouer le rôle principal dans la diffusion du virus. L’histoire d’Elk Cloner est à ce titre assez édifiante.
1- Depuis 33 ans, nous sommes le maillon faible.
En 1982, Rich Skrenta, lycéen américain âgé de quinze ans, a l’habitude de distribuer à ses camarades des copies de jeux pour Apple II piratés par ses soins. Au passage, le jeune hacker modifie le programme de la copie du  jeu de façon à ce qu’il cesse de fonctionner après un nombre limité de parties. Cette cruelle limitation ne manque pas d’exaspérer ses amis qui finissent par  lui interdire l’accès à leurs disquettes et à leurs machines. Pour se venger, Rich décide de créer un programme qui va gentiment affecter ses camarades en son absence. Il développe alors Elk Cloner, le premier virus référencé « In the Wild » qui se diffuse automatiquement par échange de disquettes. Elk Cloner se propage en infectant le système d’exploitation stocké sur les disquettes de boot de l’Apple II. Quand la machine se lance à partir de la disquette infectée, le virus se charge en mémoire puis se réplique lorsqu’une disquette non infectée est insérée. Le cycle viral s’installe comme c’est le cas aujourd’hui à partir d’une clé USB corrompue. Le virus de Rich Skrenta ne bloque pas le fonctionnement de la machine mais se contente de produire de faux écrans, d’inverser l’affichage, de déclencher des effets sonores désagréables et d’afficher un facétieux poème lors du cinquantième boot à partir d’une disquette infectée :
Elk Cloner : The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it’s Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!
Une fois son virus créé, Rich Skrenta propose de nouveaux jeux piratés à ses camarades qui acceptent sans aucune hésitation les nouvelles disquettes infectées par Elk Cloner. L’envie de profiter gratuitement des derniers jeux est beaucoup plus forte que la méfiance. C’est donc déjà le facteur humain (l’envie de profiter d’un jeu gratuit) qui assure la diffusion du virus. Même si cette diffusion reste  limitée au cercle des amis de Rich Skrenta possesseurs d’Apple II, le mécanisme viral associant les fragilités humaines à un code malveillant est déjà présent et strictement identique aux mécanisme actifs en 2015.
Il faut donc l’accepter : depuis plus de trente ans, nous sommes le maillon faible de la chaîne de sécurité numérique. En terme d’impact, les conséquences de cette faiblesse chronique sont aujourd’hui sans commune mesure avec celles enregistrées dans les années 80. Internet a changé la donne en multipliant l’effet de diffusion viral d’un logiciel malveillant. Longtemps ignoré ou délaissé, le facteur humain fait désormais l’objet de nombreux rapports souvent très alarmants. La société de cybersécurité Proofpoint vient de publier un livre blanc sur « Le facteur humain » dans lequel nos pratiques à risque sont étudiées et qui confirme statistiquement nos vulnérabilités cognitives.
2- Quand Proofpoint dévoile les vulnérabilités humaines.
L’étude publiée par Proofpoint est construite sur la base de données recueillies auprès de sa clientèle d’entreprises américaines et internationales utilisant la solution de sécurité « Proofpoint Targeted Attack Protection ». L’étude s’efforce de répondre aux questions suivantes : dans l’entreprise, quelles sont les personnes qui cliquent ? Sur quelles URL ? Quand et depuis quels endroits ? Pourquoi chaque collaborateur est potentiellement un maillon faible pour son entreprise ? Les conclusions partielles du rapport sont reproduites ci-dessous.
Quels sont les utilisateurs  qui cliquent sur les URL douteuses en entreprise ? Toutes les entreprises sont concernées, de la petite structure au grand groupe industriel. En moyenne, 10% des employés produisent tous les clics pouvant potentiellement occasionner des problèmes sérieux pour le système d’information de l’entreprise. Tous les collaborateurs font des erreurs. Si les personnes cliquant le plus souvent sur des liens dangereux sont responsables de la majorité des situations à problème, 40% des clics sont dus à des employés qui n’auront cliqué qu’une seule fois. Les employés non cadres sont ciblés deux fois plus que les cadres et 1,3 fois plus que le personnel dirigeant. Les employés non cadres sont deux fois plus enclins à cliquer sur des URL douteuses. Les attaques sont dirigées vers tous les secteurs d’activités. Les industries les plus ciblées sont le secteur pharmaceutique, le secteur hospitalier et celui des assurances. Même les secteurs représentant un intérêt faible pour les hackers sont victimes d’un nombre élevé d’attaques. Les hackers ne ciblent pas n’importe qui au sein de l’entreprise. Les utilisateurs cliquant de manière répétée sur des URL douteuses (« boulets » de l’entreprise ?) ne constituent pas nécessairement le problème principal pour les équipes informatiques et il est en général peu pertinent d’engager des mesures disciplinaires contre eux. Enfin, aucun employé n’est à l’abri. Tout le monde cliquera une fois.
Sur quoi cliquent les utilisateurs  ? Le meilleur appât reste la connectivité sociale. Les courriers électroniques associés aux réseaux sociaux attirent toujours le clic. Les courriers associés à des commandes ou à des mises en garde de sommes d’argent prétendument dues sont également très efficaces. Le réseau social LinkedIn  est identifié comme la meilleure association pour déclencher les clics sur des URL douteuses : un courrier électronique contenant une fausse invitation à se connecter ou une fausse demande d’acceptation au réseau personnel constitue le piège numérique le plus efficace pour déclencher le clic de la cible. Les taux de clics en cas de mention de LinkedIn sont deux fois plus élevés qu’avec d’autres types de contenus et quatre fois plus élevés que pour un autre réseau social. Les hackers savent que dans plus de 50% des cas, un clic aura lieu.
Quand les utilisateurs cliquent-ils ? La majorité des messages dangereux est envoyée pendant les heures de travail et plus d’un utilisateur sur 15 clique sur une URL douteuse plus d’un mois après la réception du message dans sa boîte. La menace est donc latente et continue. Les attaques sont déclenchées par les hackers à tout moment de la journée entre 8h et 16h  sans privilégier un créneau horaire particulier. 7 % des clics sur URL douteuse s’effectuent plusieurs mois après réception du courrier. Le jeudi et le vendredi sont les jours les plus touchés par les envois d’URL douteuses.
Depuis quel endroit les utilisateurs cliquent-ils ? L’étude montre que 90 % des clics sur des URL douteuses ont été exécutés depuis un ordinateur et dans 20 % des cas depuis un ordinateur non protégé par le pare-feu de l’entreprise. 80% des clics sont effectués sous Windows et 50 % dans Internet Explorer.  Seuls 10 % des clics sur URL douteuse sont effectués sur des appareils mobiles alors que 65% des courriers électroniques sont consultés d’abord sur un appareil de ce type.
Pourquoi les utilisateurs cliquent-ils ?  Le volume des courriers électroniques influence peu le taux de clics des utilisateurs. Le fait de recevoir très peu de courriers électroniques par jour est aussi dangereux que le fait d’en recevoir en très grand nombre. Une fois 100 messages dangereux reçus, la probabilité de cliquer sur des URL douteuses se stabilise à un niveau de 60%. Les employés recevant régulièrement du courrier malveillant ont besoin de temps pour en comprendre les enjeux.
3- Vers une sensibilisation de l’utilisateur au risque numérique
L’ingénierie sociale est de plus en plus souvent utilisée dans la première phase d’une cyberattaque. Les hackers cherchent à obtenir les identifiants de comptes d’ employés de l’entreprise ciblée pour disposer d’un vecteur d’entrée dans le système d’information. Tout repose sur  une tromperie initiale incitant l’utilisateur à cliquer sur un lien malveillant. L’attaquant s’appuie désormais sur des ensembles de données fictives qui doivent susciter la confiance et l’adhésion de la cible. En matière de données numériques, il est de plus en plus difficile de distinguer le vrai du faux. Les pièges numériques exploitent les fragilités humaines et les biais cognitifs ou émotionnels  associés. L’économiste et psychologue américano-israélien Daniel Kahneman, Prix Nobel d’économie en 2002 pour ses travaux en finance comportementale a étudié l’effet des biais cognitifs sur les anomalies boursières. Ceux-ci fonctionnent comme des raccourcis de la pensée qui provoquent des erreurs de perception ou de décision sans que l’individu s’en aperçoive. Le schéma de pensée est influencé par une cause inconsciente qui provoque une déviation du jugement conscient. Les chercheurs en sciences cognitives parlent parfois d’illusion d’optique mentale.  En matière de cybersécurité, le biais de la représentativité intervient chez l’utilisateur : il traduit l’inclinaison des individus à considérer que ce qui a été observé, vécu ou mémorisé est plus fréquent qu’en réalité. Il fait négliger les statistiques au profit des stéréotypes et des données reconstruites. Le biais de confirmation pousse l’individu à voir la confirmation de ce qu’il croit dans des phénomènes et à faire un tri sélectif dans les informations de manière à confirmer les hypothèses privilégiées. D’autres biais favorisent l’acceptation de la donnée fictive et le clic sur des URL douteuses.
La sensibilisation des utilisateurs pourrait évoluer vers une mise en situation d’activation des biais cognitifs provoquant le comportement à risque puis une analyse rétrospective de l’enchaînement des évènements. L’idée est de mobiliser les sciences cognitives pour maîtriser le facteur humain…
Un des problèmes de la sécurité informatique est que quand on donne une autorisation, on donne aussi systématiquement le pouvoir de déléguer cette même autorisation – ce qui est une erreur de conception et est totalement abusif.
Et le second problème est que bien peu de gens doivent comprendre cette phrase, y compris ceux qui conçoivent les systèmes de sécurité.
La biométrie répond à votre remarque et est utilisé dans certains secteurs sensibles (si mes souvenirs sont bons, c’est d’ailleurs un datacenter [telehouse 2] qui a le premier utilisé la biométrie en France).
La biométrie n’est qu’un moyen d’échapper au « mots de passe » qu’on laisse traîner un peu partout. Une identification par carte est plus simple. Mais le problème de fond est plus général et Microsoft et Apple ont fait dès le début preuve d’un grand laxisme pour fournir de la fonctionnalité au détriment de la sécurité.
Est-il normal qu’un système d’exploitation ait le droit de se modifier lui-même ? Est-il normal qu’un ordinateur gère son propre pare-feu ?
J’ai déjà reçu un email contenant l’adresse d’une personne d’une entreprise avec qui j’ai eu des contacts dans le ‘a’ avec le nom de la personne. Ceci pointant sur un lien vers un virus. Sans être inquiété par le filtre anti-spam.
Je sais que le smtp n’est aucunement sécurisé, mais si un email m’est adressé avec le nom de la personne et son véritable email, cela signifie que l’une de nos deux machine à été compromise.
Là ou je veux en venir, c’est que les stratagèmes sont parfois étonnement sophistiqué, si la machine de mon collaborateur fût compromise, combien d’autres personnes avec qui il a eu des contacts ont été infectée en pensant avoir affaire à quelqu’un d’autre?
Ensuite lorsque l’ont demande un mot de passe trop compliqué aux utilisateurs, ils l’inscrivent discrètement sur leur bureau, le fameux ce que l’on voit et ce que l’on ne voit pas.
« Je sais que le smtp n’est aucunement sécurisé, mais si un email m’est adressé avec le nom de la personne et son véritable email, cela signifie que l’une de nos deux machine à été compromise »
Pas necessairement, ca peut aussi etre un de vos contact commun, ou de l’ingenierie sociale pour deviner le nom et l’adresse email. Ensuite, il n’est pas necessaire d’avoir compromis une machine pour envoyer un email en se faisant passer pour quelqu’un d’autre (bon, il faut parfois un peu d’astuce pour dejouer quelques filtres anti-spam)