';
side-area-logo

Dark Cyber : neuropsychologie cognitive de la cybercriminalité

Dark Cyber : neuropsychologie cognitive de la cybercriminalité

Comment Les hackers utilisent l’ingénierie cognitive pour exploiter les vulnérabilités humaines.

Résumé du livre Dark Cyber

Les cyberattaques élaborées par certains hackers visent à présent les humains et les failles du fonctionnement de leurs cerveaux biologiques. L’erreur humaine est ainsi impliquée dans 90% des incidents de cybersécurité.

Les conséquences sont sérieuses : perte de données critiques ou de sommes importantes pour les entreprises et le particulier.

Dans cet ouvrage, vous découvrirez l’ingénierie cognitive qui est le résultat d’un changement de paradigme en cybercriminalité : les hackers exploitent à présent les vulnérabilités neuropsychologiques de l’esprit humain comme les biais cognitifs, les émotions et les types de personnalités.

A partir de nombreuses références scientifiques citées et de l’expérience des auteurs, ce livre présente plusieurs aspects :
– Les neurosciences cognitives.
– Les fonctions de votre cerveau.
– Les apports des neurosciences en cybercriminalité.
– Les cyberattaques par ingénierie cognitive.
– Comment s’en protéger et s’en prémunir.
– Les personnalités et profils neuropsychologiques vulnérables.

Ce livre abordera également le nouveau modèle des réflecteurs neurocognitifs.

A propos des auteurs Bruno Teboul et Eric Malbos

Le docteur Bruno Teboul est spécialisé en sciences cognitives et président-fondateur de la start-up Neurocyber. Il est conférencier et consultant digital, IA et cybersécurité.
 
Le docteur Eric Malbos est médecin psychiatre, enseignant et chercheur spécialisé en réalité virtuelle au CHU Sainte Marguerite (Marseille) et à l’Institut Fresnel. Il est directeur scientifique de la start-up.

Table des matières Dark Cyber:

Introduction

Chapitre 1 – Les neurosciences cognitives

Chapitre 2 – Les grandes fonctions du cerveau humain

Chapitre 3 – L’approche neurocognitive des cyberattaques

Chapitre 4 – Les cyberattaques par ingénierie cognitive

Chapitre 5 – Les personnalités visées par les cyberattaques

Conclusion
Bibliographie
Biographie des auteurs
Remerciements

Mon avis sur l’ouvrage Dark Cyber :

Les ouvrages qui vulgarisent les neurosciences ne sont pas légion. Et ceux qui en plus les appliquent dans le contexte de la cybersécurité sont encore plus rares. L’ouvrage de Bruno Teboul et Eric Malbos fourmille de références, notions et concepts qui permettent de mieux comprendre comment nos vulnérabilités neuropsychologiques liées à nos limites cognitives peuvent constituer un risque face aux attaques cyber.

Ce sujet m’est particulièrement cher car il aborde la thématique clé de mon mémoire, l’ingénierie cognitive appliquée à la cybersécurité. C’est donc avec enthousiasme et une curiosité certaine que je me suis plongé dans l’ouvrage de Bruno Teboul et Eric Malbos.

Les auteurs maitrisent leur sujet. Et ce n’est pas une surprise à la vue de leur parcours. On y apprend comment nos fonctions cognitives participent au traitement de l’information et comment elles peuvent être détournées par des acteurs malveillants.

Les auteurs passent en revue les (très) nombreux types de cyber-attaques utilisant l’ingénierie cognitive et nos biais cognitifs pour permettre la compromission de systèmes informatiques via nos fragilités humaines. Nos émotions positives et négatives sont également analysées et utilisées par les hackers pour offrir des fenêtres d’opportunité permettant de maximiser les chances de succès d’une attaque.

Enfin, Bruno Teboul et Eric Malbos tentent la difficile tâche d’identifier si des personnalités sont plus ou moins susceptibles d’être victimes de cyber-attaques. Cela pourra intéresser les services RH des entreprises et autres recruteurs dans les SOC et CERT, dont les employés sont soumis à des pressions fortes. Cependant, j’aurais aimé que les auteurs développent plus en détail le concept de modèle des réflecteurs neurocognitifs. En effet, ce modèle ambitionne d’étudier comment les cybercriminels utilisent à leur avantage les connaissances en sciences neurocognitives.

Sur la forme, l’ouvrage auto-édité ne respecte malheureusement pas les standards de l’édition (marges fantaisistes, problème de ponctuation et de titrage, fautes d’orthographe et de syntaxe). Il aurait été également plus intéressant selon moi de remplacer les nombreuses illustrations générées par l’IA qui n’apportent malheureusement rien au propos des auteurs par des schémas, graphismes…ou ne rien mettre. C’est regrettable pour un livre vendu 15€. Cependant, le contenu reste très pertinent pour toute personne qui s’intéresse à ce contenu de niche.

Extraits et concepts de l’ouvrage Dark Cyber

Vulnérabilités neuropsychologiques

Vos vulnérabilités neuropsychologiques sont le fruit d’une association indissociable de limites cognitives (attention, charge mentale, multitâche etc.) d’états psychologiques (stress, anxiété), d’émotions (positives ou négatives), de traits de personnalité (niveau de conscienciosité, d’ouverture) et mêmes parfois de certains traits « sombres » de la personnalité (narcissisme, machiavélisme, sadisme voire psychopathie).

Propagation de l’information d’un neurone à l’autre

Les axones sont recouverts d’une membrane particulière : la gaine de myéline. Cette gaine est formée par un autre type de cellule appelée oligodendrocyte et sa richesse en lipide permet une bonne conduction électrique. Avec elle, le message nerveux se déplace à 400 km/h, sans elle, la transmission des messages nerveux est beaucoup plus lente, soit à peu près 2km /h.

Les milléniaux auraient un cerveau différent

Le cerveau est globalement le même d’un humain à un autre et une évolution physiologique du cerveau ne peut pas se produire naturellement d’une génération à l’autre, il faut des millions d’années pour cela […]. Il a fallu 3,5 milliards d’années pour aboutir à l’existence de votre cerveau à partir de l’apparition de la première cellule sur votre planète. (p.35)

Les fonctions cognitives

Les fonctions cognitives sont les processus mentaux qui vous permettent de traiter l’information y compris celles de vos mails, de résoudre les problèmes comme ceux soulevés par un appel téléphonique, de prendre des décisions et de vous adapter à votre environnement réel ou numérique. Les principales fonctions cognitives comprennent :

La perception : faire l’expérience subjective de l’environnement à partir des sensations (organes sensoriels)L’attention : capacité à se concentrer sur une tâche spécifique ou sur des informations importantes, en ignorant les distractionsLa mémoire : capacité de retenir et de rappeler des informations (court terme ou long terme)Le raisonnement : capacité de réfléchir de comprendre les relations entre les idées, de tirer des conclusions logiques et de résoudre des problèmesLe langage : capacité à utiliser des mots et des symboles pour communiquer, comprendre et exprimer des idéesLes fonctions exécutives : ensemble de compétences mentales de haut niveau vous permettant de planifier, d’organiser, de prendre des décisions, de réguler vos émotions et de contrôler vos actions comme celle d’éviter de cliquer rapidement sur le lien d’un mail.

Les fonctions neurocognitives impliquées durant les cyberattaques

Nous utilisons le terme « cognition » au sens le plus large possible, comme terme descriptif pour rendre compte de la faculté humaine de traiter de l’information à des fins de connaissance […]. La cognition peut également inclure le traitement de l’information qui résulte de la perception, des sensations, des émotions, des sentiments, des expériences passées, de l’exposition culturelle, des interactions sociales ainsi que la grande majorité du traitement de l’information neuronale qui ne se reflète pas dans votre conscience […]. On distingue quatre grandes fonctions cognitives de bases : la perception, la mémoire de travail, la prise de décision et l’action. (p.68). Sur la prise de décision, voir les travaux de Daniel Kahneman.

Les facteurs à court terme de vulnérabilités face à une cyberattaque

Un ensemble de vulnérabilités à court terme va jouer sur les capacités humaines lors d’une cyberattaque : le stress, la charge mentale et un niveau bas de vigilance.

Le stress, facteur de vulnérabilité face à une cyberattaque

Le stress est un terme de psychologie et de biologie qui représente l’ensemble des réactions d’un organismes humain ou animal, en réponse à des pressions ou des contraintes de environnement comme des menaces physiques ou émotionnelles et ceci qu’elles soient réelles ou imaginaires. Un facteur de stress est considéré comme un stimulus qui menace l’homéostasie, c’est-à-dire l’équilibre dynamique de fonctionnement de votre organisme qui dépend des systèmes physiologiques (e.g. taux de glucose, tension artérielle). L’anxiété quant à elle est une vigilance douloureuses concernant l’appréhension d’un danger réel ou imaginaire, réaliste ou irréaliste. L’anxiété est considérée comme une réaction normale en réponse au stress.

La charge cognitive, facteur de vulnérabilité face à une cyberattaque

La charge mentale ou charge cognitive fait référence à la quantité d’information que votre mémoire de travail peut traiter à un moment donné ainsi que la quantité de distracteurs (e.g. le bruit de fond) qui peuvent l’alourdir et l’affecter. Ce type de mémoire est géré principalement par le cortex préfrontal, qui maintient les informations transitoirement, le temps de les traiter. C’est un peu la RAM de votre ordinateur. Si elle est surchargée, cela va ralentir votre système de traitement des informations […].

La mémoire de travail a donc deux fonctions : retenir les informations le temps de leur traitement et manipuler ces informations (Baddeley, 1974, 2000)[…]. Une étude de 2020 du Pr. Jalali de l’Université de Harvard a examiné le comportement d’hameçonnage réel en envoyant aux employés un courriel d’hameçonnage inoffensif. Les résultats de l’étude ont révélé que plus la charge mentale perçue était élevée, plus elle était associée à la probabilité de cliquer sur le lien d’hameçonnage par erreur […]. Les personnes qui gèrent régulièrement de gros volumes de courriels font preuve d’une grande inattention lors de l’évaluation des courriels, ce qui les rend plus vulnérables aux attaques de type phishing (Vishwanath et al, 2011).

Un niveau bas de vigilance, facteur de vulnérabilité face à une cyberattaque

Un niveau bas de vigilance : de nombreux travaux ont montré que les performances dans un large éventail de tâches diminuent considérablement au cours de ces périodes relativement courtes, appelées « diminution de la vigilance » […]. La probabilité de télécharger des logiciels malveillants peut augmenter à mesure que vous consultez votre boite de réception, en particulier si vous disposez de peu de temps. (p.83)

Les cyberattaques par ingénierie cognitive

L’utilisation généralisée du courrier électronique à des fins professionnelles a créé une vaste surface d’attaque et la facilité avec laquelle ces attaques peuvent être réalisées a abaissé la barrière des compétences techniques pour les attaquants. (p.92). […] Les cyberattaques d’ingénierie cognitive sont un type d’attaque psychologique qui exploite les limites et biais de vos fonctions cognitives humaines pour vous persuader de vous conformer à la demande d’un cyber-attaquant (Anderson, 2008). En effet, ces attaques sont centrées sur un message d’ngénierie cognitive élaboré par un hacker malveillant dans le but de vous persuader d’agir comme il le souhaite […]. Les cyberattaques par ingénierie cognitive sont à opposer aux cyberattaques « techniques » qui vise un système et non une personne. (p.96)

Types de cyberattaques courantes par ingénierie cognitive

Le phishing ou hameçonnage : courriels, sites web ou textos (i.e. smishing) ou appel téléphonique (i.e. vishing) qui sont trompeurs et servent à vous dérober vos informations.Le spearphishing ou harponnage exige de l’attaquant qu’il recueille des informations sur les victimes ciblées. Le harponnage cible un petit groupe de personnes voir un seul individu et son taux de réussite est plus élevé que lorsqu’il attaque un groupe cible. On parlera de whaling pour les attaques ciblant les personnalités.Appâtage ; attaque en ligne qui promet à la victime une récompense ou un cadeau. Le hacker appâte sa victime en lui promettant un produit ou une récompenses alléchante.Rançongiciel ou ransomware : logiciel malveillant installé sur l’ordinateur de la victimeFaux-semblant : les attaquants utilisent une fausse identité pour tromper les victimes et soutirer de l’informationPretexting: usurper l’identité d’une personne d’autorité au sein d’une direction informatique ou d’une direction financière de l’entreprise.Catfishing : utiliser une fausse identité pour démarrer une relation professionnelle ou romantique en ligne trompeuses.Le dumpster diving : pratique visant à fouiller dans les déchets physiques ou les données de personnes ou d’entreprises afin de trouver des articles mis au rebut contenant des informations sensibles.L’ingénierie cognitive inversée : décrit une attaque qui impliquent généralement l’établissement d’une relation de confiance entre l’attaquant et la victime.Le water holing : les attaquants accèdent à un site web susceptible d’intéresser la victime.Attaque persistante avancée : attaques d’espionnage à longue portée qui ont souvent lieu sur Internet et qui sont menées par un attaquant ayant les capacités et l’intention de configurer continuellement un système.Baiting : un support de stockage est infecté par un logiciel malveillant et laissé dans un endroit que les futures victimes ciblées trouveront probablement.

Biais cognitifs et ingénierie cognitive

Près de 180 biais cognitifs ont été identifiés par les psychologues chez les êtres humains depuis les années 1970s et 1980s. Ils sont représentés parfois sous forme de Codex. Distinguons ces biais en trois catégories :

Les biais agissant sur la prise d’informationbiais de contamination ou encore effet de halo ou de notoriété (i.e. avoir une bonne opinion d’une personne parce qu’elle appartient à un groupe dont vous avez une bonne image)Le biais d’ancrage (si la première impression d’un mail vous semble correcte, vous ne verrez pas les indices de malversation comme une adresse électronique suspecte)Le biais de confirmation (si le message contenu dans un mail s’appuie sur vos croyances ou vos opinions, vous serez moins sceptiquesLe biais de représentativité (erreur d’évaluation de probabilité)Les biais agissant sur la prise de décisionle biais d’actualisation hyperbolique (préférer les récompenses immédiates aux récompenses futures – voir la gratification différée)le bias blind spot (reconnaître l’impact qu’ont les biais sur le jugement d’autrui en omettant l’effet de ces mêmes biais sur son propre jugement)Le biais de pensée désidérative ou wishful thinkingLe biais d’optimismeLes biais liés à l’aspect socialle comportement grégaire (tendance à mimer les actions d’un groupe)Le biais d’autorité (et la fameuse fraude au président)Le biais d’affinitéLe biais de désirabilité sociale (renvoyer une image conforme aux attentes sociales)Le biais de réciprocitéLe biais de complaisanceLe biais de familiarité

Rôle des émotions dans les cyberattaques par ingénierie cognitive

Les émotions désignent des sensations intenses et brèves qui sont déclenchées par un événement ou un stimulus spécifique et qui se manifestent rapidement […]. Selon les sciences cognitives, les émotions sont un ensemble de réactions cognitives, physiologiques et comportementales.

Les émotions négatives conduisent à des comportements différents. La peur et l’anxiété conduisent à une aversion au risque alors que la colère et la tristesse tendent à augmenter les risques (Lerner et Keltner, 2000, 2001). […] Les hackers ont intérêt à déclencher de la colère s’ils veulent faire prendre des risques à l’utilisateur.

Les émotions positives semblent aussi agir négativement sur la prise de décision.

Identifier les comportements à risque des individus avec le modèle des Big Give

Une étude fondamentale (CERT Insider Threat Team, Carnegie Mellon Univ. 2013) a défini les menaces internes produites par ce que l’on nomme désormais les insiders ou les inities. Ces salariés, prestataires ou partenaires ont ou ont eu accès au réseau de l’organisation, à son SI ou aux données et qui par leur action ou leur inaction causent des dommages au augmentent considérablement la probabilité de dommages futurs en matière de confidentialité, intégrité ou de disponibilité des données et des SI. Ces initiés involontaires ne parviennent pas à comprendre et à appliquer les pratiques de sécurité informatique courantes, même après avoir reçu une formation à la cybersécurité (Eftimie, Moinescu et Racuciu, 2020).

Le modèle Big Five permet d’examiner leur personnalité :

Ouverture (implique un esprit curieux, créatif et original)Conscienciosité (une conscience plus développée semble être un atout pour se préserver des attaques cyber)ExtraversionAgréabilitéNeuroticisme (tendance à éprouver des émotions négatives récurrentes et puissantes)

Le profil hautement vulnérable qui en résulte de ces modèles de la personnalité aurait une faible ouverture d’esprit, une faible conscienciosité, une forte extraversion, une forte agréabilité et un neuroticisme important.

Outils issus de la neuropsychologie pour se protéger contre les cyberattaques par ingénierie cognitive

Développez votre regard analytique et votre esprit critiquePrendre le temps d’évaluer les options et leurs conséquencesDiminuer le stress et la charge mentale (avoir une bonne hygiène de vie…)Mieux gérer son temps (matrice Eisenhower, méthode GTD, méthode ABCDE, méthode Pomodoro), éliminer les distraction, changer l’espace de travail, échanger, être flexible ou souple avec les heures de travail, réduire la charge de travail, développement de compétences…) (p.151)Augmenter la vigilanceLa relaxation et la méditation (relaxation vagale, relaxation musculaire progressive de Jacobson, training autogène de Schultz)Gérer ses émotions (conscience émotionnelle…). Voir comment l’intelligence émotionnelle peut aider à être plus résilient face aux cybercriminels.

Les personnalités visées par les cyberattaques

Certains aspects de la personnalité peuvent représenter une vulnérabilité à long terme face aux cyberattaques orchestrés par des hackers malveillants […]. Il est possible d’établir un référentiel de psychotypes représentant des risques de vulnérabilités majeurs face aux cyberattaques par ingénierie cognitive :

Personnalité avide, guidée par l’appât du gainPersonnalité curieuse et indiscrétion exacerbéePersonnalité stressée, tunneling attentionelPersonnalité empathique, altruiste et naïve

Caractéristique de l’ouvrage Dark Cyber

Titre : Dark Cyber, neurospychologie cognitive de la cybercriminalité
Auteur : Bruno Teboul et Eric Malbos
Éditeur : Auto-édité
Pages : 192
Année : 2023
ISBN : 9798871554333

 

L’article Dark Cyber : neuropsychologie cognitive de la cybercriminalité est apparu en premier sur Clement Donzel.