En mai 2024, plusieurs assistants parlementaires européens ont été ciblés par une campagne d’ingénierie sociale particulièrement sophistiquée. Des cyberdélinquants ont utilisé de faux profils LinkedIn très bien construits pour entrer en relation avec ces collaborateurs, leur proposer des opportunités professionnelles valorisantes, et in fine les inciter à ouvrir des documents piégés ou à divulguer des informations sensibles. Un cas d’école avec un mode opératoire 100 % cognitif, une finalité entre enjeux politiques et économiques et une exploitation directe de l ’empreinte numérique des cibles. La menace ne pénètre plus par une faille technique. Elle infiltre les esprits, les émotions, les habitudes quotidiennes.
Le facteur humain est devenu le champ de bataille central. Et dans cette guerre silencieuse, la donnée personnelle est à la fois la munition et le butin. La racine « cyber » provient du mot cybernétique qui a été formé en français en 1834 pour désigner la « science du gouvernement », à partir du grec kubernêtiké, signifiant « diriger, gouverner ». Le terme est repris en 1948, aux États-Unis, par le mathématicien Norman Wiener à l’origine de la cybernétique, science constituée par l’ensemble des théories relatives au contrôle, à la régulation et à la communication entre l’être vivant et la machine. Avant même la naissance de ce que l’on appelle depuis 1984 l’espace cyber, le facteur humain, dans toute son acception, y occupe de manière consubstantielle une place centrale. Alors que 80 % des attaques cyber réussies le sont aujourd’hui par le biais humain, la menace s’est structurée dans un continuum cyber – numérique – informationnel – cognitif, qu’elle soit d ’origine institutionnelle à des fins de déstabilisation, qu’elle soit criminelle, ou bien même la combinaison des deux par proxy agissant pour le compte d’États. Bénéficiant d’un écosystème favorable à ce continuum, elle y adopte principalement le mode d’action de l’ingénierie sociale, reposant sur la captation d’informations et la capacité à influencer les comportements, qu’ils soient individuels, sous forme de pression par exemple, ou collectifs comme la manipulation de masse. Les données personnelles se sont alors transformées en matières premières. Dans ce contexte, le changement de paradigme réside dans le fait que le facteur humain est devenu le vecteur de la menace. Se pose alors la question de savoir si la défense cyber en France et au sein des organisations qui la composent, probablement aujourd ’hui encore trop segmentée et éparpillée, doit, elle aussi, s’inscrire dans ce continuum afin de nous protéger efficacement. En outre, pour les individus comme pour les organisations, l’enjeu semble être désormais la maîtrise de leur empreinte numérique afin de se prémunir de cette menace. Un état des lieux sur les attaques par ingénierie sociale permet dans un premier temps de comprendre le poids du facteur humain et les notions de stratégies directe et indirecte. Dans un souci d’approche globale, il est nécessaire de compléter le constat par une analyse psychologique et comportementale de la menace. Par ailleurs, dans un champ d’affrontement devenu asymétrique, notamment pour des raisons juridiques, la donnée personnelle présente des singularités, une grande sensibilité, mais surtout elle est devenue l’unité de valeur. Fort de ces constats, il est possible d’esquisser les voies à explorer afin de structurer la défense cyber dans un continuum où la menace s ’est, elle, déjà inscrite.
L’ATTAQUE PAR INGÉNIERIE SOCIALE EST DEVENUE LE MODE D’ACTION PRIVILÉGIÉ
En tout premier lieu, il convient d’analyser la cyber kill chain, chaîne de valeur de la menace cyber qui bénéficie de l’écosystème très favorable de l ’hybridité particulièrement prononcée entre vies numériques personnelle et professionnelle. Des nombreux travaux de recherche et de l’expérience de la société ANOZR WAY, il ressort qu ’elle se décompose en plusieurs étapes. En tout premier lieu, une organisation est ciblée pour l’intérêt qu’elle présente (espionnage, proxy, levier de déstabilisation…). La seconde étape consiste à identifier les personnes à haute valeur ajoutée : dirigeants, postes sensibles et toute personne présentant une surexposition cyber, comprenant l’exposition cyber comme la combinaison entre les vulnérabilités et la surface d’attaque résultant de son empreinte numérique. Une fois ces personnes identifiées, débute la collecte de données les concernant à partir du clear, du deep et du dark web. Les cercles familial, amical et professionnel de ces individus sont aussi concernés, généralement à partir de technologies de scrapping comme les avatars sur les réseaux sociaux combinés à des robots qui pivotent sur chaque donnée afin d’en agréger de nouvelles, ceci jusqu’à épuisement des données indexables. Une fois la donnée rassemblée, il est possible d’établir l’empreinte numérique d’une personne ; cette dernière est analysée afin d’en dégager les vulnérabilités et la surface d ’attaque définissant l’exposition cyber. La dernière étape consiste en une exploitation de cette surface d’attaque en élaborant des scénarios adaptés aux vulnérabilités de la personne (usurpation de compte, smsishing, spearfishing, MFA bypassing…). Une forme de « weaponisation ».
L’étape clé est la collecte des données qui occupe une place centrale de cette chaîne de valeur. Plusieurs cas viennent alors caractériser la menace et ses conséquences, permettant de comprendre le poids du facteur humain. Été 2024, des milliers de familles ukrainiennes ont fait l’objet d’attaques par ingénierie sociale, de déstabilisation et de fraudes bancaires à partir des noms et prénoms de soldats ukrainiens identifiés sur le front oriental. Deux ans plus tôt, en février – mars 2022, les troupes russes ont été géolocalisées à partir de l ’utilisation d’applications de rencontre comme Tinder. À l ’automne 2023, l’un des géants de la base industrielle et technologique de défense (BITD) a fait l ’objet, durant cinq mois, de fuites de données à partir de ransomware. Si pourtant les grands groupes de la BITD se donnent les moyens de se prémunir contre le risque cyber, le réseau de 4 000 sous-traitants ne dispose pas des mêmes moyens et se trouve être la cible d ’attaques cyber selon une logique d’approche indirecte. À titre d ’exemple, une PME dans le secteur de l’aéronautique découvre, en janvier 2024, des ordinateurs professionnels infectés d’infostealers. Il est alors bon de réaliser qu ’un infostealer permet la récupération à distance de l’intégralité d’un disque dur, de l ’historique de navigation internet/intranet et des données du trousseau. Après sensibilisation, plusieurs employés ont découvert que leurs PC personnels étaient également infectés.
Un ordinateur personnel permettait à lui seul de retrouver 200 identifiants et mots de passe, dont certains à vocation professionnelle. Début 2025, à partir de l’application Strava, les déplacements du président de la République française parviennent à être anticipés avec précision. Deux mois plus tard, toujours par Strava, les contours comme les accès de la très secrète base militaire de l’Île-Longue, abritant les sous-marins nucléaires lanceurs d’engins, sont dévoilés ; alors que la sensibilité du sujet est pourtant déjà soulevée lors de son utilisation par des unités militaires en Irak (2010), en Afghanistan (2011) et au Mali (2018), dévoilant les contours de bases opérationnelles avancées sur ces théâtres d’opérations. En juillet 2024, un test au sein d’un ministère régalien français permet de mettre en évidence, sur l’échantillon des vingt plus hauts fonctionnaires de ce ministère, un niveau d’exposition cyber critique. La compromission, en 2024, de l’adresse électronique elysee.fr d’Emmanuel Moulin, actuel Secrétaire général de la présidence de la République française, suffit elle aussi à confirmer que le sujet atteint le sommet de l’État. Ces deux exemples démontrent le fait contre-intuitif que les dirigeants sont les plus exposés en termes de vulnérabilité cyber. Ce phénomène est confirmé à l ’aune de ce dernier exemple, celui d’une femme, membre du comité exécutif d’une entreprise du CAC 40. Engagée dans une négociation en Asie du Sud Est, elle reçoit une heure avant la réunion décisive un appel sur son téléphone mobile personnel : « Êtes-vous bien la mère de Julien et Marie qui sont dans le lycée … dans le 15e à Paris ? Nous sommes à côté », et cela raccroche. Après avoir alerté le lycée et son mari, elle conduit sa négociation qui sera un échec.
LE BIAIS COGNITIF ET COMPORTEMENTAL EST UNE CLÉ DE COMPRÉHENSION INDISPENSABLE
L’attaque commence par une photo Instagram, une liste de contacts sur LinkedIn, un footing posté sur Strava. Chaque clic, chaque partage, chaque naïveté est exploité, recyclé, amplifié. C’est une stratégie d’étouffement invisible : on est scrappé, indexé, profilé puis retourné contre soi-même. « Ce que la cybersécurité peine encore à comprendre, les attaquants l’ont déjà intégré : ils ne ciblent pas un système, mais des décisions, des vulnérabilités cognitives, des réflexes humains. Il ne s’agit plus seulement de défendre un système d’information. Il s’agit de reprendre le contrôle de nos propres récits, de notre exposition, de notre souveraineté mentale. Et pendant que les entreprises dressent des murailles autour de leurs serveurs, c’est un simple téléphone personnel qui ouvre la brèche ; une voix d’enfant, une question d’école, un silence». C’est ainsi que Nathalie Granier, psychologue experte dans le champ de la cybersécurité, illustre la dimension comportementale et cognitive.
L’analyse comportementale est une discipline qui examine le comportement des utilisateurs ou des attaquants et dont l’objectif principal est d’anticiper des menaces potentielles et de renforcer les mesures de sécurité en conséquence. Cela revient à une forme de profilage. Cette approche s ’avère essentielle dans la caractérisation de la menace et sur l’identification des moyens de s ’en prémunir. Dans ce nouveau champ de bataille, la pensée devient un vecteur d’intrusion. Selon Nathalie Granier, « l’analyse comportementale va permettre de répondre à 3 grands sujets. Tout d’abord l’analyse du lieu du crime. En cyber, cela va consister à collecter des preuves physiques documentant la scène, car elles existent aussi dans cet espace : les identifiants de connexion, les journaux, les horaires de connexions, etc. L’analyste va ensuite corréler ces informations les unes avec les autres.
La deuxième étape consistera à récupérer les documents. Enfin, pour réaliser le profilage, il est essentiel d’analyser minutieusement le comportement et les caractéristiques des cybercriminels afin de créer des profils qui peuvent aider à les identifier. Cette démarche vise à récupérer des informations sur les traits personnels, les caractéristiques sociales, les facteurs motivants qui vont aider ensuite les équipes techniques qui chercheront à répondre aux questions suivantes : qu’a pu faire l’adversaire ? Quels sont leurs objectifs ? Qui sont-ils ? Que vont-ils faire ensuite ? In fine, elle permet de détecter les menaces, et de répondre aux incidents, d’identifier des comportements anormaux, améliorer la défense. » Outre la psychologie, d’autres disciplines telles que la géopolitique, la linguistique et la sociologie peuvent également jouer un rôle crucial dans cette analyse. Nathalie Granier souligne cependant que l’analyse comportementale présente des limites, de confidentialité, de biais cognitifs, de faux positifs, de manque de données et de méthodes.
L’INSÉCURITÉ JURIDIQUE AUTOUR DU DROIT DE LA DONNÉE FRAGILISE LE CONTINUUM DE LA DÉFENSE
L’espace numérique est aujourd ’hui un champ de conflictualité. On y mène une guerre ouverte entre États et les réseaux criminels s’y immiscent. Aux attaques de systèmes et à la captation massive de données, s ’ajoutent les actions de manipulation. Les stratégies sont à l’image de la doctrine élaborée par le général Guerassimov en 2020. Il y décrit les logiques de guerre informationnelle totale, de combat numérique, d’approche indirecte, de champs immatériels et de combats par proxy où l’innovation et la créativité doivent être stimulées à tous les échelons afin de déstabiliser l’adversaire dans tous les espaces et l’amener à agir systématiquement dans un contexte dégradé. Dans ce contexte, les États de droit et démocratiques se retrouvent dans un combat asymétrique. Il s’agit de mener une guerre avec les règles du droit commun ; équation insoluble. En effet, il existe aujourd’hui des vides juridiques autour du droit de la donnée, notamment personnelle, dans le darkweb en particulier.
On peut alors se poser la question de « pourquoi » et « comment » sécuriser juridiquement la donnée et son exploitation dans toutes les couches de l’Internet afin de protéger les personnes et les organisations ayant fait l’objet de vol de données et exposées à des attaques ciblées. En dépit de l’absence de texte sur le sujet, le principe de précaution s’impose souvent aujourd ’hui et conduit à une forme d’auto-blocage, en France en particulier. L’exploitation de la donnée du darkweb pourrait selon certains s’apparenter à une forme de recel ; mais dès lors qu’il s’agit de protéger les personnes et les biens, d’informer des personnes déjà attaquées ou menacées, est-ce vraiment contraire à l’esprit de la loi ? N ’est-on pas dans une légitimité de l ’action par sa finalité ? La question est posée par des experts qui se sont emparés du sujet dans le cadre d’un groupe de travail soutenu par la Chaire Cyber et souveraineté numérique de l’IHEDN ainsi que l ’Alliance pour la Confiance numérique. Ce groupe est co-dirigé par le Pr. Michel Séjean et le Dr Emilie Musso, et travaille à l’adoption d’une loi sur le sujet.
Selon la Dr Émilie Musso, cette nouvelle règle « ne chercherait pas à contraindre davantage, mais au contraire à libérer et sécuriser tant les praticiens de l’Open Source Intelligence (OSINT) que ceux qui en sont l ’objet, en écartant le risque lié au vide juridique qui aujourd’hui bien souvent paralyse l’action, qu’elle soit publique ou privée, face à une menace débridée et désinhibée. De manière contre-intuitive, la Commission nationale de l’informatique et des libertés (CNIL) elle-même encourage la démarche alors qu’elle met en évidence dans un récent rapport l’ampleur que prend le vol de données en France et la nécessité de muscler tous les champs de la protection cyber. Aussi, les récents textes européens en matière de cybersécurité impliquent, pour les respecter, de traiter des données issues de fuites de données. C’est le cas par exemple, d ’un des règlements délégués complétant le règlement DORA, qui impose aux entités financières de détecter les fuites de données ; le règlement DORA prescrit de traiter les données en sources ouvertes nécessaires aux impératifs de cybersécurité, d’obtenir des renseignements sur les cyberattaques, dont les vols de données, et de surveiller ces événements, ce qui implique de traiter des données issues de fuites de données. Quant à la directive NIS 2, elle impose notamment de mettre en place « des outils de cybersécurité pour détecter les cyberattaques ». Puisque les vols de données sont une forme de cyberattaque, il convient au titre de cette directive de traiter les données issues de fuites de données, afin de détecter ces événements.
VERS UNE NÉCESSAIRE STRUCTURATION DE LA RÉPONSE DANS UN CONTINUUM DE LA SÛRETÉ
Penser le cyberespace comme un objet « sociotechnique » invite à débusquer derrière l’ensemble des dispositifs technologiques qui le compose une dimension sociale et politique, et à le considérer comme un produit humain. On aurait tort d’imaginer que les solutions techniques permettront de faire face aux différentes échelles de menaces auxquelles les organisations, entreprises ou États doivent répondre dans un nouvel environnement. Le comportement des utilisateurs y est essentiel et doit être pris en compte, notamment leur empreinte et leur vulnérabilité numériques. L’analyse des questions de cybersécurité demanderait donc d’articuler de manière systématique les approches sociales, humaines et techniques.
La cybersécurité revêtant un aspect stratégique, elle devrait être appréhendée au plus haut de la direction d ’une organisation. Visions managériales, opérationnelles et technologiques devraient effectivement converger. En observant la plupart des entreprises du CAC 40, les états-majors des armées occidentales, ou même les États, il n’existe pas vraiment d’approche globale, alors que le risque cyber est aujourd ’hui la combinaison du risque numérique et du risque informationnel, contexte où le facteur humain est devenu le vecteur de la menace. Ainsi, les pistes à explorer dans la structuration de la réponse pourraient être une implication et un appui forts des cadres dirigeants publics et privés, la transversalité de la cybersécurité, le partage de l’information, le chaînage des champs numérique, informationnel et communicationnel, la prise en compte des facteurs humains dans toute leur acception et des capacités duales, afin de se protéger et agir dans ce continuum cyber – numérique – informationnel – cognitif, porteur d’un continuum de la sûreté. Le facteur humain, central, est in fine le problème, mais aussi la solution. Source : IRIS
Par Bastian Dufilhol / Officier général en 2e section de l’armée de Terre, professeur à l’ESCP
