Quand on parle de cybersécurité, il s'avère que la réalité peut vraiment s'éloigner des clichés. Et c'est justement en les comprenant que nous pouvons mieux nous protéger au quotidien.
Écouter l'épisode
Guillaume : Bonjour à toutes et à tous ! Bienvenue dans ce nouvel épisode de Micro-ondes Cérébrales, le podcast qui réchauffe vos méninges. Moi c'est Guillaume et je suis avec Melissa.
Salut Melissa !
Melissa : Salut !
Guillaume : Dans cet épisode, nous allons vous parler des enjeux de la cybersécurité. Et oui, ça y est, on aborde ce sujet et comment ces enjeux peuvent s'appliquer à notre quotidien.
Parce que malgré les idées qu'on peut se faire quand on parle de cybersécurité, il s'avère que la réalité peut vraiment s'éloigner des clichés qu'on en a. Et c'est justement en comprenant mieux ces clichés que nous pourrons mieux nous protéger au quotidien. Paradoxal ? Peut être ! Mais on y reviendra dans cette émission.
Et si on parle de clichés, déjà, moi quand j'entends cybersécurité, j'entends "hacker". Je pense à la série Mr Robor par exemple, je pense à Lisbeth Salander de Millenium, à tous ces “pirates de la tech” qui vont vouloir s'attaquer à de gros groupes ou à de grosses institutions.
Melissa : Oui, effectivement, il y a une part de réalité derrière tout ça. On voit régulièrement des gros groupes, de grosses institutions se faire pirater pour qu'on puisse leur voler leurs données qui appartiennent parfois à de nombreux, nombreux clients. Par exemple, il y a quelques mois, en région parisienne, il y a eu un gros piratage qui a partiellement paralysé l'hôpital francilien de Corbeil-Essonnes.
Guillaume : Oui, on s'en souvient et c'était pas très glorieux. Mais c'est vrai qu'il y a un petit côté "David contre Goliath" dans ces schémas et que les cyberattaques semblent souvent surtout être de petites prouesses informatiques.
On voit ça un peu de loin, et on a tendance à penser que ça n’arrivera qu'aux autres. Mais du coup, là, en le disant, tu vois, moi même je me rends compte que j'ai peut être coché toutes les cases de la caricature d'une cyberattaque un peu romantisée.
Melissa : Oui, je crois que beaucoup peuvent penser à ta description lorsqu'on évoque le sujet des cyberattaques. Mais en fait, la réalité en est quand même assez loin. Il y a au moins trois points très importants à prendre en compte. Donc la première chose, c'est que chaque personne ou même chaque entreprise qui a des informations plus ou moins sensibles, c'est à dire des informations qui peuvent amener de la valeur, soit parce qu'on peut accéder à l'argent, soit parce qu'elle peut être vendue à d'autres, peut se faire attaquer.
Quand on parle de cybersécurité, la réalité est assez loin des personnages romantisés de hacker de nos œuvres de fiction.
Ensuite, même si on entend parler du fait que ce soient de gros groupes ou de grosses institutions qui se font attaquer, ce sont quand même les gens comme toi et moi, et même les plus petites entreprises, plus que les grosses, qui sont les plus vulnérables. Et pourquoi ? Parce qu'en fait, en général, il s'agit des personnes qui vont être moins informées, qui vont avoir moins de moyens pour s'équiper, et qui donc, seront beaucoup moins bien protégées.
98% des cyberattaques ne sont pas le fruit d’une prouesse technique mais de l’exploitation d’une faille humaine.
Et puis ensuite, le troisième point, c'est que contrairement à ce qu'on peut penser, ce n'est pas la prouesse technologique, toute seule, qui va créer une brèche en cyberattaques. Dans 98 % des cas, les cyberattaques peuvent se faufiler dans les systèmes par des techniques de manipulation des gens en fait, qui ouvrent la porte au reste.
Guillaume : 98 %, ça, ça paraît énorme. Mais au final, j'ai l'impression qu'il s'agit presque plus d'anticiper le comportement des gens en ligne pour les piéger, que d'être forcément doué dans la tech.
Donc je me demande, les hackers ne seraient-ils pas plus finalement de fins psychologues ?
Melissa : Ce qui est sûr, c'est qu'ils savent anticiper nos comportements, car les biais cognitifs qui sont au cœur des techniques de manipulation, sont répandus de manière assez universelle, c'est-à-dire qu'on les a tous.
Les hackers font ce qu’on appelle du social engineering pour utiliser nos biais contre nous.
Ça devient assez facile quand on en connaît quelques-uns et donc ça permet à ces techniques de manipulation de sévir. C'est ce qu'on appelle le "social engineering", c'est à dire la mécanique "sociale", autrement dit la mécanique "humaine" des comportements.
Guillaume : C'est ma partie préférée du podcast ! Vas-y, je veux tout savoir de mon cerveau quand il est en mode "gros pigeon" ! C'est parti ! (rires)
Melissa : (rires) Par exemple, on a un biais cognitif qui est celui de l'aversion de la perte, et qui est très utilisé en cyberattaques. C'est vraiment un biais qui nous pousse à agir de manière trop rapide, sans réfléchir, parce qu'on a peur de perdre quelque chose.
Donc il y a quelques années de cela, on avait pas mal de fenêtres qui s'ouvrait sur nos ordis avec un cadre rouge: " Attention ! Nous avons détecté 5 virus ! Appelez-nous ! ", parfois avec des sonneries, un numéro à appeler, et puis derrière, évidemment une arnaque avec des appels payants, voire du malware (c'est à dire des logiciels qui allaient pouvoir s'approprier nos données et en tout cas faire du mal à nos appareils).
Un des premier biais utilisé par les hackers est celui de l’aversion de la perte, qui crée un sentiment de peur et d’urgence auprès des usagers.
Mais cela a évolué, en fait ! Il y a encore aujourd'hui des messages par SMS ou mail qui circulent et qui demandent aux utilisateurs par exemple, de confirmer des informations personnelles pour recevoir le colis en livraison. Donc évidemment, on n'a rien commandé, ou alors on confond avec une livraison qu'on attend.
Mais le simple fait d'avoir peur de perdre un colis va nous faire d'autant plus négliger les signaux d'un mail qui a une faute d'orthographe dans l'adresse, etc. Et donc, même si on a rien commandé, on a tellement cette aversion de perdre le colis, qu'on va quand même tomber dans le piège.
Guillaume : C'est vrai que ça peut parfois engager des grosses sommes dans ce genre de cas de figure. Ça me fait penser un peu à l'épisode sur les fake news, parfois on peut vraiment prendre les messages qu'on reçoit pour argent comptant parce qu'ils sont vraiment très, très bien faits.
Et on peut comprendre que certains et certaines tombent dans ce genre de pièges parce qu'ils se disent : "et si c'était vrai ?", quoi.
Melissa : C'est ça, oui. Et cela arrive même avec des pertes qui ne sont pas du tout grosses. On n'a pas forcément besoin d'avoir l'impression qu'on va risquer son ordinateur ou un colis de valeur.
L’aversion de la perte est un biais qui peut même entrer en jeu pour de petites sommes comme un abonnement à Netflix par exemple.
Par exemple, l'année dernière, il y a eu une cyberattaque qui a fait vraiment fureur, et qui consistait à envoyer un mail en se faisant passer pour Netflix en demandant aux utilisateurs de reconfirmer leurs informations de paiement, pour ne pas avoir l'abonnement suspendu.
Donc là, l'aversion de la perte, ça peut être aussi le fait de ne pas prendre le temps de réfléchir juste pour simplement ne pas louper un épisode de série quand même !
Guillaume : C'est assez fou effectivement. Et si on réfléchit moins a priori, donc quand on a peur de perdre, j'imagine que c'est pas beaucoup mieux quand on croit qu'on peut gagner gros.
Melissa : Non, tu as raison. Et on avait déjà évoqué ce biais d'optimisme dans l'épisode sur le dating dans la partie deux. Effectivement, il s'agissait de ne pas être capable de vraiment se méfier dans l'optique de trouver l'amour, donc "gagner gros". Et ça peut être l'objet de mails d'arnaque. Exemple : "Bravo, vous avez gagné le dernier iPhone, s'il vous plaît cliquez sur le lien...".
Le biais d’optimisme est aussi très présent quand il s’agit de répondre à des propositions trop belles pour être vraies.
Et aujourd'hui, on a des mails qui pleuvent sur les réseaux sociaux de faux comptes, qui vont aussi nous envoyer des messages pour nous inciter à cliquer sur des liens en se faisant passer potentiellement pour des nouveaux clients, quand on monte une entreprise ; ou bien des recruteurs sur des plateformes de réseaux professionnels, par exemple.
Et là encore, le biais optimiste peut créer une grosse brèche pour une cyberattaque. Et aujourd'hui, les cyberattaques, c'est dans 90 % des cas pour du vol de données qui donne accès donc à de l'argent ou à des données qui peuvent être revendues. Et dans trois quarts des cas, c'est via les réseaux sociaux en fait, qu'on se fait avoir aujourd'hui.
Aujourd’hui, le vol de données donnant accès à de l’argent représente 90% des cyberattaques.
Guillaume : Avec des chiffres pareils, on doit être nombreux à être concernés et on est assez loin de l'image d'Épinal du surdoué en sweat à capuche noir, qui programme tranquillement ses cyberattaques dans son "basement".
Au final, comme souvent, on est notre propre ennemi, j'ai l'impression, et ce sont nos biais qui nous rendent vulnérables à tout ça. Et c'est d'autant plus vrai dans un monde en perpétuelle numérisation comme le nôtre.
Donc comment on fait pour apprendre à se prémunir des futures cyberattaques ?
Melissa : Pour se protéger, les antivirus restent utiles. C'est juste que comme on vient de voir, ce sont surtout dans nos comportements, au-delà de la technologie, qu'on a le plus de progrès à faire pour se protéger. Et ça, c'est gratuit. Il s'agit de pouvoir, voilà, adopter de bons réflexes.
Donc tout d'abord, ne pas cliquer sur un lien qu'on n'a pas demandé d'une personne dont on n'a pas vérifié le compte. Puis vérifier compte, ça peut être regarder "est ce que les contacts de cette personne ont du sens par rapport à son domaine ?" etc. Donc, il faut faire attention aussi aux relations qu'on a et qui sont uniquement "en ligne". Donc bien vérifier les comptes, essayer de voir si les contacts ont du sens, si c'est cohérent, les posts etc.
Au-delà d’un anti-virus classique, il faut maintenant bien vérifier l’origine des e-mails et des comptes qui nous contactent.
Pour savoir si les messages vont être fiables. Il ne faut pas non plus hésiter à utiliser les options d'authentification multi-facteurs. Alors évidemment, pour la plupart d'entre nous, c'est pas forcément des choses qui nous arrange parce qu'on nous propose de les changer au moment où on a déjà prévu de faire autre chose sur une application ou sur un site. Mais en fait, c'est quand même important. Le mot de passe à mémoriser, c'est parfois pas la meilleure des choses. Pour ouvrir une session, on peut aussi utiliser l'empreinte du téléphone, etc. Et ça nous protège beaucoup plus.
Il ne faut pas hésiter à utiliser des outils de génération et de protection de mots de passe, une excellente manière de se protéger des contrefaçons.
Et puis ensuite, on peut utiliser des gestionnaires de mots de passe, ça nous permet d'avoir des mots de passe dits "forts", donc à priori très dur à mémoriser. Mais du coup grâce à des gestionnaires de mots de passe comme Last Password, on a un endroit aussi où on peut garder toutes ces protections, sur tous les endroits où on ouvre des sessions.
Ensuite, un truc qui semble bête, est de ne pas utiliser des clés USB trouvées dans un espace de coworking ou autre par exemple, parce qu'on ne sait pas ce qu'il y a dedans. Et il peut y avoir des virus. C'est-à-dire lâcher une clé USB dans un espace de co-working ou même dans un espace de travail, ça peut être aussi une brèche en fait sur du malware ou sur des données. Et puis vraiment, en règle générale, quand on reçoit des messages, bon bah si c'est trop beau pour être vrai, il faut vérifier.
Au final, la meilleure protection reste d’être prudent et de connaître ses réactions face à des propositions ambiguës.
Donc pour résumer, les cyberattaques se basent presque toutes sur une technique de social engineering, ces manipulations des comportements. Donc en connaissant un petit peu mieux nos biais et en suivant l'évolution de nouveaux modes de cyberattaques, on peut bien mieux se protéger et de manière très simple.
Guillaume : Oui, c'est vraiment une branche qui a beaucoup pris d'importance ces dernières années dans notre usage quotidien d'Internet.
Tu l'as rappelé, il y a maintenant des logiciels pour nous aider à mieux protéger nos accès à nos services quotidiens, comme les mails, ou peut être les sites pour acheter les choses dont on a envie en ligne. Certains, les navigateurs maintenant proposent aussi cette dimension de protection du mot de passe, donc il ne faut pas hésiter à l'utiliser et à se renseigner sur les outils qui y sont souvent pas très compliqués à utiliser, mais qui peuvent justement permettre d'améliorer grandement cette protection face à des accès toujours plus quotidiens et toujours plus récurrents à tout un tas de services en ligne, que ce soit sur nos ordinateurs ou notre téléphone.
Il ne faut pas hésiter à utiliser les outils qui sont aujourd’hui à notre disposition pour rendre notre exploration numérique plus sereine.
En tout cas, merci Melissa, C'est la fin de cet épisode de Micro-ondes Cérébrales sur les enjeux de la cybersécurité. C'est un vaste sujet, Je pense qu'on y reviendra dans d'autres épisodes. En tout cas, on espère que cette première entrée en matière vous aura plu.
N'hésitez pas à partager, et bien ce podcast sur vos réseaux sociaux. Nous on est présent sur Twitter et Instagram.
N'hésitez pas non plus à nous mettre cinq petites étoiles et un petit commentaire si cet épisode vous a plu ou si le podcast vous plaît de manière générale, notamment sur Apple Podcast et Spotify, parce que ça permet vraiment d'aider le podcast à se faire connaître. Grâce, vous les connaissez, aux algorithmes de recommandation divers et variés.
Et n'oubliez pas que vous pouvez toujours nous laisser vos messages sur le sujet et sur toutes nos autres thématiques avec notre répondeur dont l'adresse est disponible en description de cet épisode et sur notre site internet. C'est très facile à utiliser. En deux clics, vous nous envoyez un petit fichier audio et nous ensuite on sera ravis de rebondir dessus.
En tout cas, pour l'instant, on se retrouve toujours dans deux semaines pour un nouvel épisode. Merci Mélissa, bye !