Your phishing awareness campaign may do more harm than good

Phishing and spear phishing campaigns become more and more elaborate, hence more difficult to identify and consequently more successful. Crelan’s 70 million € loss, early 2016 is a good example of the potential impact of such a successful social engineering attack.

As automated security systems are unlikely to detect and block the most elaborate and targeted attacks (as they need a significant number of similar emails to trigger their alerts), security officers are left with security awareness campaign focusing on developing skills to detect (spear) fishing attacks to try to mitigate this risk. It’s logical, it’s what security standards advise you to do but watch out you may be doing more harm than good!

One of the first mistakes in this approach is to consider awareness (or communication) as a goal. Any communication is aimed at instilling a change in its recipient(s). The aim of an awareness campaign is likely to change people’s behaviour and attitude so they pay more attention to the source of their emails, their contents and the rightfulness of what is asked to them. So basically, we should first have a measure of the current situation and aimed at a certain improvement in our “smart” metrics. The most obvious and significant one being: How many people will fall for a (spear) phishing email.

How do we usually do that? Often by a combination of training, online training, posters and “homemade” phishing campaigns to measure the exposure of the company and tickles our employees. In such case, we appeal on fear. Fear to contribute to a security incident, to a fraud, to a loss of money, fear to get fired.

Fear appeal is used to leverage behavioural changes as one believe the emotional reaction caused by fear will increase the likelihood of the occurrence of the appropriate, secure, behaviour. You better think twice as, like it is often the case, devil is in the details.

Fear appeal effectiveness is still a debatable question (that’s the principle of science) but mainly because it might works under some conditions. In their “Appealing to Fear: A Meta-Analysis of Fear Appeal Effectiveness and Theories” article, Tannenbaum et al. (2015) have analysed 217 articles on the subject and found few conditions making fear appeal ineffective while effects seem most apparent in women and for one-time behaviours.

However, in a review of 60 years of studies on fear appeal, Ruiter et al. (2014) concluded that coping information aimed at increasing perceptions of response effectiveness and especially self-efficacy is more important in promoting protective action than presenting threatening health information aimed at increasing risk perceptions and fear arousal”. A 2014 study of Kessels et al. using event-related brain and reaction times found that health information arousing fear causes more avoidance responses among those for whom the health threat is relevant for them.

Still, it seems there is some consensus regarding some specific conditions to be met by such communication: the communication must provide, just after the fear arousal, a solution to allow the audience to reduce this fear with a sense of self-efficacy, or, to say it simply, we must provide a simple way for our audience to fix the issue, being an easy to follow behaviour (one that doesn’t require too much psychological and physical energy). If our solution is so complex that it will (or the thought of using it) generate more stress than the feared event, our brain will likely avoid this behaviour and deny the reality of the risk (and the fear).

Latest researches in neurosciences (and more specifically in the field of neuroergonomy) provide some guidance to shape our message and solution in order to allow our audience to easily grab our communication and adopt the desired behaviour.

Like for most communication, we must avoid to saturate the working memory. What does it means? If we receive too many information at once, our brain is not able to process it at once. It is like for a lift. If there is more people trying to enter than the lift capacity, the lift is not going to move and will be stuck. It is the same for our brain. If we saturate the place where the information is stored in order to be processed (what we call the working memory).

The average span of the human’s working memory is 5 objects or, if we use Husserl’s terminology, noema. For most people, this span is between 3 and 7 objects.

But, what is an object (or noema) in that context? If I give you a phone number digit per digit (let say: 1,5,5,5,1,2,3,4,4,6,9), it will be hard for you to memorize the 11 digits of this number, each digit being an object. But, if we combine some digits together in small numbers (1, 555, 123, 44, 69), it will be easier to remember. The reason behind it being that these small numbers are also objects (noema) for our working memory and in that case, we don’t saturate it as there is only 5 objects (so, within the average memory span).

Why are the small numbers an object and not the large one? Simply because we are used to them. If you are bone in 1980, this number can become an object (as you are quite well acquainted with it) while 1256 could require 2 noema (12 and 56).

The same is true with words. Well known words (and their associated concepts) are easier to process. It is why I put multiple time the word “noema” (likely to be a new name for most readers) with the word “object” (a quite common word and clear concept) so it can be used as an “handle” to better “grasp” the new concept of “noema”. Similarly, using the metaphor of the “handle” to “grasp” a concept ease the understanding (the grasp) of the concept.

To summarize, our solutions, our expected new behaviours, must be as close as possible to something we already know in order to make it easier to grasp.

As a concrete example, if you want your user to check the validity of an email sender’s domain name (just that concept is not that easy to understand for a lot of people, so what’s on the right of the @ in an email address), you should provide a tool available in the first level of the menu or a link in the favourites website. The best thing would be to have the information integrated in the email or at a click from it.

E-commerce websites have already well integrated such concepts. They understood long ago that if you want to have a client ordering something, he must find it and be able to order it with 3 clicks or less. You maybe know the saying: “the best place to hide a body is on the second page of a Google search”. Meaning? Most people don’t go to the second page, it is a click too far.

kittenUsing pictures, drawings (simple one, keep the 3 to 7 objects rules in mind), stories, jokes help memorizing. Anything that might be relevant to the concept or totally outstanding might help too. Emotions help to memorize. If you scare people first, making them laugh or smile with your “solution” might allow memorizing it. Go kittens! (see

Also, do not forget a basic principle of behaviourism… the sooner the better. If you want to foster an action, the reward must come very soon, ideally immediately, after the action. So, if you have people clicking on a link in a “test” phishing email, you may scare them by pointing their mistake but you should also immediately provide a way to avoid this experience the next time by providing a few quick tips on what they did wrong and how they should do it the next time.

Here is a nice example of a video playing just a bit on the fear and providing advices in a non-threatening, aesthetic (it matters too) and very simple way (by

So, you know (a bit more) what to do now!

How to detect fake or stolen IDs?

Identification is one of the big challenges faced by security managers. It is a challenge when it comes to IT systems but even before that, to identify people. Even with the rise of national electronic identity cards (like eID in Belgium), fake or stolen IDs are still possible.

Even better, you might just make a Google Image search using a picture of an eID (like the one below) and find some other pictures of legitimate ID available on the web (not to say it is a breach of the European Data Privacy regulation).


Sometimes, you might just receive a photograph of an eID or even just an ID card number or National Register number in a registration form or in a job application form. Shall it be for recruitment, background check or customer identification (like de KYC, Know your Customer, process for financial institutions), you might need to check, as much as possible, if the credential you have received are legit or not.

In Belgium, luckily for us, the ministry of interior provides a partial access to its database to validate an ID card number or an national register number. This application, Checkdoc, will just tell you if the number is still valid (No Hit) or if it is outdated or stolen (Hit).

You need to register first before being able to use Checkdoc ( .Also, notice you have to inform your customer or contacts that you will run their information through the database before doing it.

Additionally, you’ll find also pictures of every type of ID card being used at the moment and an explanation of the various security features you can use to spot a fake.

(Updated on 13/08/2016)

At the international level, Interpol provides the same kind of services to airlines operators through its Stolen and Lost Travel Documents (SLTD) database. Although there is plance to extend the access to this service to other industries, it is not the case yet.


Good hunting!

Un employé sur 5 vendrait son mot de passe!

Selon l’édition 2016 du Global Market Pulse Survey de l’éditeur de logiciel Sailpoint, 27% des employés américains sondés seraient prêt à vendre leur codes d’accès à leur réseau d’entreprise contre « seulement » 16% des répondants Français et Anglais et 12% des Hollandais. En moyenne 1 employé sur 5, parmi le millier interrogé dans de grandes entreprises (minimum 1000 personnes), serait donc prêt à monnayer son mot de passe.

Encore plus inquiétant est le prix demandé par ces employés peux scrupuleux: 1.822$ pour les Français, 3.874$ pour les Anglais et 50.770$ pour les américains. Notez que  les Hollandais qui semblent être les plus loyaux dans cette étude sont aussi ceux qui seraient le plus gourmand pour vendre leur secret: 466.667$ pour utiliser leurs accès. Ils connaissent la valeur, et probablement aussi l’impact, de leur traîtrise.

Notez aussi que parmi les employés indélicats prêt à torpiller la sécurité de leur entreprise pour quelques billets, 56% des Anglais (soit 8,96% des répondant) ne vous demanderaient pas plus de 1000$, pour 50% des Français (8% des répondants) et 40% des Américains (10,8% des répondants).

Pour corroborer le résultat de la démonstration d’ingénierie sociale que nous avions réalisé en 2015 avec la RTBF, indique que 65% des employés interrogés utilisent le même mot de passe pour toutes les applications de l’entreprise. C’est plus élevé que les 33% que nous avions trouvé mais cela peut être expliqué par la différence de taille de l’échantillon, les différence culturelles (73% chez les Français contre 53% chez les Allemands par exemple dans l’étude Sailpoint) et le fait que la question n’est pas totalement identique (Le même mot de passe partout vs. le même mot de passe sur toutes les applications de l’entreprise).
La gouvernance sécurité des grandes entreprises ne sort pas épargnée de cette étude qui indique qu’en moyenne 42% des personnes interrogées avaient encore accès au systèmes de leur entreprise précédente après l’avoir quittée. Le processus Joiner-Movers-Leavers reste une des grandes difficultés des entreprises semble t’il. Et comme d’habitude, l’être humain reste une des vulnérabilité les plus facile et les moins chère à exploiter.

Allo, pourriez-vous m’aider? La phrase qui va ruiner votre sécurité?

Allo, pourriez-vous m’aider? Cette phrase, n’importe quel employé d’une entreprise est susceptible de l’entendre chaque jour. Que ce soit un collègue, un client, un fournisseur qui appelle la comptabilité, le service clientèle, le support IT ou la gestion de l’immeuble, la plupart des collaborateurs d’une entreprise ont pour vocation d’aider d’autres personnes. C’est d’ailleurs de plus en plus souvent une valeur forte des entreprises. Vous avez déjà probablement lu cette phrase : « le service clientèle n’est pas un département, c’est une attitude ». Les entreprises 2.0 mettent leurs clients au centre de leur processus. Aider ses client n’est même plus qu’une tendance naturelle, c’est un objectif d’entreprise, une culture et une obligation. Même si en Europe nous avons parfois encore à apprendre sur ce sujet, de plus en plus d’entreprise améliorent l’attitude de leur personnel envers leur clients, internes ou externes, et les incitent à être plus collaboratif, empathique et aidant. Et c’est tant mieux! C’est finalement l’un des objectif principal d’une organisation: servir ses clients (et générer des bénéfices la plupart du temps)

Malheureusement, ce progrès vient avec un coup important en termes de sécurité. En effet, pour atteindre cet objectif, les employés ont souvent de plus en plus accès aux différentes informations relatives à leurs client afin de pouvoir mieux les servir et de plus, dans la mouvance 2.0, chaque collaborateur est responsabilisé et « empowered » afin de pouvoir atteindre ses objectifs. Et là aussi, l’entreprise y trouve énormément d’avantages en termes de bien-être et d’efficience. Mais là encore, la surface de risque augmente. Chaque employé à potentiellement plus de pouvoirs qu’auparavant, exposant donc à lui tout seul encore plus l’entreprise aux risques que sont les « human hackers »

Dans la petite vidéo ci-dessous, l’émission Real Future à demandé à nos très respectés collègues de, d’effectuer une attaque par vishing (hameçonnage téléphonique en français). Comme vous pourrez le voir, il ne faudra que quelques minutes à Jessica Clarck pour obtenir l’adresse email de Kevin Roose et pour se faire créer un nouveau compte à son nom à elle, lui permettant ainsi d’accéder au compte de Kevin. Facile n’est-ce pas! Ne négligeons pas cependant les petits détails qui font la différence entre l’échec et le succès dans ce genre d’exercice.

Commençons par les plus facile et les plus évident: D’abord, Jessica est une femme. Comme je l’ai déjà écrit dans ce blog, la séduction est une arme souvent fatale mais dans ce cas-ci c’est la vulnérabilité associée aux femmes et la tendance chevaleresque des hommes qui est exploitée. Les cris de bébés dans le fond ajoutent au climat de détresse et permettront aussi probablement à amener le correspondant, homme ou femme, à vouloir encore plus aider notre « Visher ». Les êtres humains ont une réaction quasi instinctive de désir d’aider à l’écoute de cris de bébés. Autres caractéristique, Jessica est charmante, s’excuse de prime abord et met son interlocuteur sous pression en lui expliquant qu’un tiers non-présent, son mari, lui demande de faire quelque chose aujourd’hui même. Elle joue donc sur la réciprocité, la dissolution de responsabilité et sur la pression du temps, d’autres facteurs importants dans les techniques d’influence.

Un autre facteur plus complexe, très important et pourtant peu mis en avant dans cet exercice est le « spoffing » (l’usurpation) du numéro de téléphone. Les opérateurs téléphoniques utilisent fréquemment des systèmes qui affichent automatiquement les informations de leurs clients lorsqu’ils appellent avec le numéro de téléphone que ce même opérateur leur a attribué. Cela met d’office l’opérateur en confiance vu que son système lui dit que la personne qui l’appelle est bien qui elle prétend être. Ce n’est pas une petit élément et il n’est pas facile à obtenir même si ce n’est pas des plus compliqués. En effet, l’usurpation de numéro est une fonction qui existe chez tous les opérateurs et qui permet, par exemple, d’avoir votre propre numéro de GSM qui s’affiche quand vous appelez avec un opérateur VoIP comme Skype.

Notez aussi comment Jessica contourne la proposition de l’opérateur d’envoyer un PIN par SMS. Elle ne peux pas le recevoir en même temps. Avec les cris du bébé, l’opérateur ne va pas lui proposer une alternative et va l’aider directement. Dans la mise en place de contrôle d’identité, comme pour tout contrôle de sécurité en général, la convivialité, la simplicité doivent être pris en compte. L’opérateur aurait du pouvoir poser quelques questions simple à la personne (adresse de résidence, second prénom de son mari, date de naissance) afin d’identifier la personne. Simple mais efficace. Ce n’est pas le contrôle que l’on définirais par défaut mais il ne ferait pas de tort d’avoir la possibilité de le faire si d’autres contrôles s’avère impossible. un autre contrôle aurait pu être de proposer de rappeler la personne afin de s’assurer qu’il n’y a pas eu de spoofing (mais il faut déjà accepter la possibilité que ce soit possible pour penser à mettre de tels contrôles en place).

Bien sûr, comme souvent, la clé reste dans la préparation et dans la formation. Ce genre de vidéos, tout comme celle que nous avons réalisé dans le cadre de l’émission de la RTBF « On n’est pas des pigeons » font partie des moyens didactiques qui permettent d’augmenter la conscientisation et la capacité à identifier les techniques utilisées par les hackers.

Bien sûr des tests « in vivo », annoncés ou non, permettent aussi d’augmenter la vigilance, la reconnaissance et de mesurer l’efficacité des mesures de prévention et des contrôles mis en place. Qu’importe les moyens que vous avez décidé ou que vous déciderez de mettre en oeuvre pour prévenir ce genre d’attaque, qui peuvent coûter des millions d’Euro comme nous l’a malheureusement encore rappelé l’attaque réussie contre Crélan, il est important que ce soit un effort soutenu et régulier. Quand il s’agit d’éducation, la répétition est le maître mot.

Crélan victime d’une fraude de 70 millions EUR par ingénierie sociale?

Le 19 janvier 2016 la presse belge a révélé que la banque belge Crélan aurait été victime d’une fraude à hauteur de 70 millions d’Euro. Bien que le journal l’Echo ne donne pas énormément de detail sur le sujet, De Morgen cite des sources qui mentionnent une fraude utilisant de l’ingéniérie sociale via des emails. Il semblerait que les fraudeurs auraient envoyés des emails qui proviendraient prétendument du CEO de la banque, demandant à certains employés d’effectuer des virements aux montants importants vers des comptes externes à la banque.

Ce genre d’attaque est relativement simple et peu coûteuse à mettre en oeuvre et ne peut réussir que si une série de conditions sont rencontrées:

  • Au niveau de la gouvernance et des processus, une faille dans les processus de contrôle interne qui permet à une seule personne d’effectuer des virements sans avoir une validation formelle préalable;
  • Au niveau technique, un système qui permet de recevoir de l’extérieur des emails qui peuvent sembler provenir de l’intérieur de l’entreprise, et encore plus de son CEO;
  • Au niveau humain, un manqué de sensibilisation et de formation aux techniques d’ingéniérie sociale qui permet d’abuser de la bonne volonté et de la crédulité du personnel de la banque.

Comme d’habiture, on retrouve la trilogie Personnes-Processus-Technologie dans les risques identifies. Cela nous rappelle une fois de plus la nécessité d’une approche « holistique » de la sécurité tenant compte de tous les facteurs de risques et surtout de la partie trop souvent négligée qui est le facteur humain. N’oublions jamais que les processus ne sont efficaces que si les personnes qui les opèrent les suivent correctement. De même pour la technologie qui est toujours configurée et gérée par des êtres humains qui peuvent être facilement manipulés, voire même menacés.

Trop souvent la sécurité de l’information est vue comme une problématique technique alors qu’il s’agit réellement d’une problématique profondément intriquée dans les processus de l’entreprise et dans ses forces vives.

5 personnes sur 15 utilisent le même mot de passe partout #SocialEngineering

Dans la lancée du reportage montrant les techniques de hacking qui permettent de s’introduire sur le réseau d’un particulier, nous avons mis sur pieds avec Emmanuel Morimont et les équipes de la RTBF Namur pour « on n’est pas des pigeons » une petite expérience d’ingénierie sociale pour voir si des citoyens lambda utilisent le même mot de passe pour tous les sites et ensuite pour voir si on peux les amener à taper ce mot de passe sur n’importe quel ordinateur ou n’importe quel site. Tout cela bien sûr avec un investissement de temps et d’argent minimal.

Vu qu’il s’agissait aussi d’interviewer les personnes et d’avoir un consentement pour la diffusion, nous devions  intégrer une équipe de télévision dans le scénario d’une façon ou d’une autre. Nous avons donc imaginé de demander aux personnes de participer à un sondage très bref sur les attitudes de voyages suite aux événements terroristes. A l’issue de ce sondage, nous offrons à nos participants, pour les remercier, de participer à un concours pour gagner un séjour de 2 nuits dans un hôtel 5 étoiles en Allemagne. Pour ce faire, il leur faut juste s’inscrire sur la nouvelle plateforme de jeu de la RTBF. Et bingo, ils nous donnent leur adresse email, leur mot de passe et leur numéro de téléphone. Théoriquement, avec ces informations, nous pouvons nous connecter sur le compte de messagerie de ces personnes si le mot de passe utilisé est le même. Dans le cas de Gmail, nous pouvons même contourner le contrôle d’identification d’un nouveau navigateur en fournissant le numéro de téléphone. Et de là, vous pouvez imaginer la suite.

Le but était donc de créer rapidement une situation qui amène nos sujets à nous fournir ces informations. Les techniques misent en place furent volontairement classiques et simple:

  • Faire appel à bonté naturelle des personnes,
  • Supprimer le stress lié au temps,
  • La technique du pieds dans la porte,
  • Créer un climat de confiance,
  • La réciprocité,
  • Evocation de la liberté,
  • Un peu de flatterie,
  • et de l’amorçage.

Plus concrètement, nous nous sommes placés dans un centre commercial un mercredi après-midi (les gens ont normalement le temps de flâner). Nous avons placé un ordinateur sur un mange-debout et nous allions vers les chalands en leur demandant « Puis-je vous demander 30 secondes de votre temps pour répondre à un sondage de la RTBF sur les voyages ». 30 secondes et 3 questions, ce n’est rien en termes de temps. La RTBF, ça fait sérieux et nous avions une équipe de tournage derrière nous, encore mieux. Les voyages, tout le monde à quelque chose à dire sur les voyages. « Puis-je vous demander » fait appel à leur envie d’aider l’autre.

Les trois questions sont encodées sur l’ordinateur pour l’intégrer dans le scénario. Le site, créé en une demi-heure, reprend les couleurs et le logo de la RTBF. En sus, pour faire appel à leur gentillesse et augmenter la confiance, nous avons repris une publicité pour une action caritative de la RTBF sur les différentes pages). Les questions évoquent les voyages et l’insécurité liée aux actes terroristes. La majorité des personnes répondent d’ailleurs que les événement n’ont pas changé leurs destination ni leur moyen de transport. Est-ce que cela à eu un effet? C’est possible.

Une fois qu’ils ont répondu, la page proposant de participer au concours, avec quelques photographies de l’hôtel apparaît. Nous les remercions de nous avoir gentiment aider en participant au sondage et nous leur proposons, s’ils le désirent, de participer au concours (Réciprocité – Liberté – flatterie).

Nous expliquons que pour ne pas perdre de temps, ils suffit de s’inscrire en 30 secondes (encore le temps) sur le nouveau site concours de la RTBF. Nous leur demandons sur la page d’inscription leur numéro de téléphone pour être notifié de leur gain éventuel (amorçage positif) et pour réinitialiser leur mot de passe si nécessaire (sentiment de sécurité), ce qui justifie la demande, peu justifiable en soi autrement, du numéro de téléphone.

Sur 2h30 de tournage, nous avons convaincu 15 personnes de nous aider (sur une trentaine de demandes) et de participer au concours. Sur les 15, 5 ont reconnues utiliser le même mot de passe que celui de leur boite de messagerie. 33% sur cet échantillon non-représentatif mais malgré tout, 5 mots de passe en 3H30 de travail au total avec peu de moyens. Bien sûr on ne peut extrapoler ces chiffres a une population entière ou à une entreprise mais on peut raisonnablement penser que sur une entreprise de 1000 personnes il ne serait pas trop compliqué d’obtenir avec un subterfuge un rien plus évolué le mot de passe de quelques employés.

Vous trouverez la vidéo du reportage réalisé avec la RTBF sur

Le site utilisé pour l’occasion est visible sur

Ne vous inquiétez pas, le formulaire ne garde aucune information.

En conclusion, il reste évident que l’ingénierie sociale à un très bon rendement pour les personnes qui visent vos informations: le coût de mise en oeuvre est relativement faible et le retour plutôt important. Notre seule barrière de défense reste la sensibilisation et surtout l’éducation des employés à ces problématiques.

Et puis n’oubliez pas, utilisez quelques mots de passe, plutôt longs de préférences, que vous pouvez utiliser en fonction du niveau de confiance que vous accordez aux sites sur lesquels vous les utilisez (Banque, email, professionnel, site de vente, média sociaux, etc.) ou utilisez des logiciels de gestion de mot de passe.


La séduction comme outil de hacking

Quel est le point commun entre James Bond et le premier hacker venu?

On peut en trouver quelques-uns mais le plus évident, c’est leur objectif commun: collecter de l’information! Car, bien qu’on semble parfois l’oublier, l’objectif premier d’un espion n’est pas de séduire toute la gente féminine et de tuer tous les mâles alpha armés qu’il rencontre mais bien de faire du renseignement. Et si les espions utilisent de plus en plus les services des hackers pour arriver à leurs fins, les hackers utilisent de plus en plus les techniques les plus anciennes des espions: la manipulation, l’ingénierie sociale, le chantage.

Kevin Mitnick, un ancien Hacker « repenti » après avoir fait quelques années de prison pour délit informatique, a d’ailleurs consacré quelques livres à la plus grande faiblesse des systèmes informatiques: l’humain. Il en a d’ailleurs fait son fond de commerce.

Ces techniques utilisées par les espions tout comme les terroristes (Le Manuel d’AL Quaeda trouvé à Manchester, dont vous pouvez trouver une traduction sur le site du US Department of Justice, mentionne aussi des techniques d’espionnage utilisant les êtres humains (HUMINT – Human Intelligence).

En soit, rien de nouveau sur le soleil. Bien que ces techniques soient utilisés depuis la nuit des temps, la plupart des responsables sécurité sous-évaluent constamment le risque. On peut imaginer que cela est dû au profil parfois plus technologiques de certains RSSI (ou CISO) ou à l’impression qu’ils ne peuvent pas y faire grand chose, à part coller des posters, faire des petites séances d’information et compartimenter l’information. Trop souvent on confond sécurité informatique et sécurité de l’information. N’oublions pas que l’information est ce que l’on cherche à protéger, ou du moins, celle qui a de la valeur. Les systèmes informatiques, bien que de plus en plus présents dans nos vies, n’ont pas l’apanage de l’information. Que ce soit sur papier, dans nos conversations ou dans nos têtes, l’information est insaisissable et donc, de facto, difficile à contenir et à protéger. De plus, l’information est généralement destinée, in fine, à être utilisée par un ou plusieurs êtres humains. L’élément humain est donc indissociable de la protection de l’information.

Mais je m’éloigne de mon sujet: La séduction comme outil de hacking. D’abord, pourquoi est-ce que je viens avec ce sujet particulièrement? Hier je lisais un Tweet parlant de SexyCyborg, une jeune « hackeuse » (ou du moins, elle prétend s’y intéresser) chinoise qui a imprimé des chaussures 3D lui permettant de cacher son matériel de hacking. Sur sa page Imgur, elle dit ceci: « So I got to thinking- if I had to do penetration testing on a corporate facility, how would I do it? Social engineering for one- I’m a natural honeypot » (Ma traduction: Je me suis mise à penser: si je dois faire des tests de pénétration dans une entreprise, comment vais-je faire? De l’ingénierie sociale pour commencer – je suis un pot-de-miel [Honeypot] naturel).

Pour bien comprendre, je reprend une photo de cette jeune personne qui n’hésite pas à mettre son physique en avant:


Elle ajoute ceci juste après: « I think there’s a reasonable chance that a guy might invite me back to their office after a few drinks in the neighborhood? » (Ma traduction: Je pense qu’il y a une probabilité raisonnable qu’un type m’invite à son bureau après avoir bu quelques verre [avec lui] dans les environs).

Sans juger de l’attirance de son physique ni de ses tenues, la psychologie sociale a plutôt tendance à lui donner raison. Si voulez manipuler quelqu’un, il est préférable d’être séduisant. Et si ce quelqu’un est un homme hétérosexuel (ce qui est souvent le cas dans l’IT), être une jolie femme aide grandement (qui s’en serait douté?). Avoir une poitrine opulente et mise en valeur, encore plus (vraiment?). Quelques minutes de discussions dans une atmosphère intime, un peu d’alcool et un décolleté plongeant pourraient donc bien venir à bout de vos systèmes de protection les plus coûteux.

En plus des sciences psychologiques, l’histoire de l’humanité et particulièrement de l’espionnage, nous rappelle combien la séduction est un outil fort utile et souvent fort efficace, pour obtenir des informations. Mata Hari n’a pas marqué son temps pour rien et plus récemment, l’affaire d’espionnage impliquant Anna Vasil’yevna Chapman, nous a montré que même à notre ère du tout digital, le charme féminin restait une arme de premier choix. Bien sûr, la même chose est vraie pour les hommes qui peuvent aussi utiliser leurs charmes. En hacking comme en espionnage, il n’y a pas plus de sexisme que d’inhibition: tout ce qui fonctionne est bon à prendre. Tout est une question de coût et de rentabilité.

Et si vous pensez que la tâche ne peut être si facile, demandez-vous s’il est vraiment compliqué de trouver une photos d’un des responsables de vos systèmes informatiques sur Linkedin ou n’importe quel autre réseau social. Une fois cela fait, est-il difficile de se poster près de la sortie de vos bureaux et de suivre cette personne, identifiable par sa photo (et éventuellement par son badge que la plupart des gens oublient d’enlever quand ils sortent de l’entreprise), jusqu’à un bar, son train, sa salle de sport, son domicile, ou l’endroit où il rencontre sa maîtresse. D’ailleurs, vu les statistiques dévoilées dans le récent hack du site Ashley Madisson, on ne peux que se demander si l’éventuelle présence d’un membre de votre personnel dans la liste des utilisateurs (vous pouvez vérifier sur Trustify, à vos risques et péril) ne pourrait pas aussi être utilisé comme moyen de chantage pour obtenir des faveurs. D’ailleurs, il n’est probablement même plus nécessaire de suivre vos employés depuis l’entreprise, utiliser les réseaux sociaux est plus rapide et moins dangereux pour les rencontrer et les séduire (et en apprendre plus à leur sujet).

Ce n’est pas sans raison que les personnes qui sont titulaires d’une accréditation sécurité auprès d’un gouvernement sont invités à ne pas le mentionner (histoire de ne pas se mettre une cible sur le dos) et d’éviter d’avoir des affaires extraconjugales pour diminuer son exposition à des tentatives de chantage.

Tout cela amène bien sûr plusieurs questions: La vie amoureuse des employés devient-elle potentiellement un problème de sécurité pour l’entreprise? Et de là, où le droit à la vie privée s’arrête quand cette même vie privée devient une menace claire pour la sécurité de l’entreprise? La proportionnalité de la réponse n’est jamais facile à trouver et la gestion de la sécurité sera toujours bien plus un problème humain qu’un problème technologique, ne pensez-vous pas?

Pour terminer, quelques petites suggestions de lecture (si vous ne les connaissiez pas déjà):

  • « Psychologie de la manipulation et de la soumission » de Nicolas Guéguen (2014)
  • « 100 petites expériences de psychologie de séduction : Pour mieux comprendre tous nos comportements amoureux » de Nicolas Guéguen (2007)
  • « Influence et manipulation : Comprendre et maîtriser les mécanismes et les techniques de persuasion » de Robert Cialdini (2004)