L’histoire et la transformation d’un métier légendaire
À la base de son évolution, la connaissance et l’utilisation de l’ingénierie sociale
Il y a hacker et hacker. On peut également le dire ainsi : même parmi les cybercriminels, on peut trouver tant Arsène Lupin que des voleurs de poules. Nous parlons d’un « métier » qui, en effet, présente, dans sa pratique, de nombreuses différences, tant dans la méthode que dans les objectifs. Et pour ceux qui veulent se défendre contre ces professionnels compétents, il peut être utile d’avoir quelques notions supplémentaires sur leur typologie variée.
Commençons par quelques précisions étymologiques et « historiques ». Le mot « hacker » vient du verbe anglais hack, qui dans le domaine informatique signifie attaquer et accéder illégalement, et il est apparu officiellement en 1980 dans un article publié dans Psychology Today intitulé : « The Hacker Papers », dans lequel on parle de la dépendance provoquée par l’utilisation de l’ordinateur. La voie est ouverte : deux ans plus tard, le film Tron sort. Celui-ci raconte l’histoire d’un hacker, propriétaire d’une salle de jeux, dont le corps physique est transformé en une forme numérique par un logiciel pirate appelé Master Control qui le force à participer à des jeux de style gladiateur et à s’allier à un personnage issu d’un programme informatique.
Les hackers dans l’imaginaire cinématographique
L’année suivante marque la sortie de l’incontournable War Games, qui met en scène un adolescent génial qui entre dans le programme militaire secret des États-Unis et interagit avec le système d’intelligence artificielle (IA), déclenchant des actions qui pourraient provoquer une guerre nucléaire entre les États-Unis et l’Union soviétique. En 1985, c’est au tour de Prime Risk dans lequel une femme ingénieure et son ami découvrent un moyen d’escroquer les distributeurs automatiques de billets. Ce faisant, cependant, ils se rendent compte qu’ils peuvent anéantir la Réserve fédérale américaine.
Depuis lors, la liste des films traitant ce sujet s’est rallongée et contient de nombreuses références pour les amateurs du genre telles que Matrix (1999), Hackers (1995), les seigneurs de l’arnaque (1992), The Italian job (2003), Citizenfour (2015) et Silk Road, sorti en 2021, qui raconte l’histoire du marché anonyme du dark web lancé début 2011 par Ross Ulbricht, incarcéré à vie après qu’une opération du FBI ait fermé Silk Road, le site qui donne son nom au film, considéré comme l’« Amazon des drogues ».
Bref, le sujet est passionnant, intrigant et très actuel. Il est abordé dans des livres, des films et les faits divers regorgent d’histoires liées aux incursions dans les systèmes informatiques. Il suffit de penser au cas de Julian Assange, fondateur de Wikileaks, sur lequel les opinions publiques et des pays entiers se divisent encore. Car il n’y a pas que la vie d’un hacker qui est en jeu, il y a aussi des équilibres géopolitiques délicats ainsi que l’affirmation de principes importants, comme celui de la liberté d’expression et de ses limites. Sans aucun doute, un personnage comme Assange, quel que soit votre propre opinion, restera dans l’Histoire comme l’une des figures les plus légendaires de ces dernières années.
Être hacker de métier
Tout cela pour dire que celui du hacker reste toujours un métier qui fascine beaucoup de monde. Parce qu’il n’y a pas que les hackers criminels, aussi appelés crackers, ou black hat, mais aussi ceux (white hat) qui le font pour le bien ou pour protéger la sécurité d’un pays, d’une entreprise ou d’une organisation. En bref, les nuances sont nombreuses et chacun peut choisir celle qui lui ressemble le plus.
Après tout, il suffit d’être un expert en informatique et de se lancer sur le réseau, non ? Eh bien, en réalité, la question est beaucoup plus complexe que cela. Pour devenir un « voleur de poules », il ne faut pas beaucoup de temps. Il suffit de trouver le moyen de faire parvenir un logiciel malveillant sur l’ordinateur de la victime, même en la faisant chanter pour diffuser, via les réseaux sociaux ou les adresses e-mail volées, des informations douteuses sur son compte. C’est un peu démodé, mais il y aura toujours quelqu’un qui tombera dans le panneau et qui paiera la rançon. C’est une façon de gagner de l’argent rapidement et sans effort. Mais si on a davantage d’ambition et que l’on aspire à un défi plus intrigant et à des gains plus substantiels, l’ingénierie sociale entre en jeu, ce qui nécessite de bien choisir la victime et de bien la connaître.
Ingénierie sociale : une véritable manipulation psychologique
Le terme ingénierie sociale a son origine dans les sciences sociales et désigne toute tentative par les principaux acteurs du changement (par exemple les médias, les gouvernements ou les groupes privés) d’influencer ou de modéliser le comportement des personnes. Aujourd’hui, le terme est étroitement lié à la cybersécurité.
Dans le monde informatique, cela se traduit par l’utilisation de méthodes qui n’ont rien à voir avec la technique mais qui sont plus « sociales », précisément, et qui servent à prendre contact avec une victime, après l’avoir étudiée attentivement et évalué ses comportements, pour l’amener, à travers une manipulation psychologique, à partager des informations personnelles importantes.
Il peut arriver, par exemple, que la vraie victime soit le dirigeant d’une grande entreprise, mais que la personne manipulée soit son fils qui, de manière totalement inconsciente, se lie d’amitié sur le réseau avec une personne du même âge (ou se présentant comme telle) avec laquelle il échange des documents, des liens ou des pièces jointes qui ont pour véritable objectif l’ordinateur du père.
L’Arsène Lupin moderne utilise des connaissances techniques et des mécanismes psychologiques
Une attaque de social engineering se fait par étapes. Tout d’abord, l’étude : le cybercriminel analyse attentivement les comportements, les habitudes et les préférences de la victime, pour gagner sa confiance et entrer en contact avec elle. Démarre ensuite la phase des techniques réelles qui seront différentes selon le profil psychologique et social de la victime choisie. Il peut s’écouler plusieurs semaines avant d’obtenir des résultats, mais ils seront certainement beaucoup plus fructueux que ceux dérivant des infections « ordinaires » par un logiciel malveillant.
Bref, nous parlons de spécialisation élevée, de connaissances techniques mais certainement d’approche multidisciplinaire, de créativité, de génie, de connaissance de la réalité et des mécanismes psychologiques.
Se défendre contre toutes ces compétences qui peuvent être utilisées contre nous devient de plus en plus difficile. Surtout sans conseils appropriés. Chaque courriel que nous recevons peut contenir un piège et il en va de même pour tous les nouveaux contacts sur les réseaux sociaux.
Les règles pour se protéger sont peu nombreuses, mais fondamentales :
- toujours faire très attention à chaque geste accompli en ligne,
- ne pas accepter de « cadeaux » (liens, pièces jointes, vidéos, images, etc.) de la part d’inconnus,
- connaître le plus possible son adversaire en anticipant ses mouvements.
Cela ne peut se faire qu’à travers une formation ad hoc, toujours à jour sur les dernières nouveautés et présentant de véritables exercices simulant toutes les escroqueries possibles. Parce que même en connaissant la théorie, ce qui fait la différence, c’est d’expérimenter concrètement les nombreuses et possibilités d’être trompé qui peuvent être très élaborées.
En savoir plus sur les parcours de formation de Cyber Guru