Déjouer le piratage psychologique
En cybersécurité, le terme « piratage psychologique » fait référence à un ensemble de techniques utilisées par les auteur·es de menaces pour accéder aux systèmes en ciblant les personnes qui y ont accès plutôt qu'en s'attaquant aux systèmes eux-mêmes. Selon le Centre canadien pour la cybersécurité, le piratage psychologique est la pratique qui consiste à obtenir des renseignements confidentiels en manipulant les utilisateurs et utilisatrices légitimes. Il s'agit d'un important vecteur de menaces que l'on ne peut ignorer.
Le piratage psychologique est utilisé pour manipuler les gens afin de les pousser à divulguer des renseignements délicats ou à agir d'une manière qui peut compromettre leur sécurité. Ce qui le rend unique, c'est la manière dont il tire profit des émotions, de la vulnérabilité et du comportement humains pour s'en prendre aux victimes. Il exploite la faillibilité humaine et pousse les utilisateurs et utilisatrices à exposer des données privées, à donner accès à leurs systèmes et comptes restreints ou à les modifier, ou encore à propager des logiciels malveillants dans leur ordinateur.
Définition et exemples de piratage psychologique
Les attaques de piratage psychologique peuvent être perpétrées en ligne (courriels, réseaux sociaux), par téléphone (appels, messages texte) ou en personne. Parmi les exemples les plus communs, on retrouve des appels de personnes qui offrent des services, des messages textes qui demandent au destinataire de cliquer sur un lien pour accepter de l'argent de la part d'une personne ou d'une organisation et des courriels provenant d'organisations qui incitent le ou la destinataire à mettre à jour les renseignements sur sa carte de crédit à la suite d'un paiement échoué. Ces exemples vous semblent-ils familiers?
Pour le gouvernement du Canada (GC), des attaques de piratage psychologiques réussies pourraient signifier l'accès à des quantités massives d'informations personnelles et des dommages physiques aux infrastructures critiques dont dépend la population, notamment l'eau, l'énergie, les soins de santé, les chaînes d'approvisionnement alimentaire, les systèmes de transport et les réseaux financiers. Selon le rapport publié par le Centre canadien pour la cybersécurité , entre le 1er janvier et 16 novembre 2021, le Centre avait eu connaissance de 235 incidents rancongiciels contre des victimes canadiennes.
Plus de la moitié de ces victimes étaient des fournisseurs d'infrastructures essentielles. En fait, en 2022, 82 % des intrusions découlaient d'erreurs humaines (Verizon Data Breach report, en anglais seulement). Le piratage psychologique implique qu'en cas de cyberattaque, les personnes sont à la fois le maillon le plus faible et le rempart le plus solide. Les fonctionnaires doivent être conscients et conscientes de ces vulnérabilités et se préparer à prendre les mesures qui s'imposent.
Soyez le bouclier, pas la porte d'entrée
Conseils pour éviter de tomber dans le panneau des attaques de piratage psychologique :
Faites preuve de prudence avec les messages : Les employé·es du GC sont souvent ciblé·es. Faites preuve de prudence si vous recevez un message d'un expéditeur inconnu. Ces messages peuvent parfois sembler provenir de l'adresse courriel personnelle d'une personne que vous connaissez, comme un·e collègue, un·e supérieur·e, un·e ami·e ou un membre de votre famille. Des adresses URL suspectes, des demandes de renseignements personnels inattendues et des erreurs d'orthographe et de grammaire dans le message ou dans l'adresse courriel peuvent être de signes d'une attaque de piratage psychologique. Prenez toujours le temps de vérifier l'identité de l'auteur·e d'un courriel ou d'une demande de renseignements personnels ou protégés.
Méfiez-vous des appels inattendus : Les pirates psychologiques ont souvent recours à des appels téléphoniques pour obtenir les renseignements dont ils ont besoin. Si vous recevez un appel inattendu de la part d'une personne qui prétend faire partie d'une organisation ou d'une entreprise, demandez-lui son nom complet et ses coordonnées. Dites-lui que vous êtes occupé·e pour le moment et que vous la rappellerez plus tard. Si vous croyez qu'il peut s'agir d'un véritable appel, cherchez le numéro sur le site Web de l'organisation ou communiquez avec celle-ci à l'aide de l'un des autres moyens indiqués sur le site.
Préservez la confidentialité de vos renseignements personnels : Ne diffusez pas vos renseignements personnels sur les réseaux sociaux (avec des paramètres publics) ou sur d'autres plateformes en ligne. Les pirates psychologiques peuvent se servir de ces renseignements pour se faire passer pour vous, pour avoir accès à vos comptes et pour trouver des moyens de vous pousser à fournir les renseignements dont ils ont besoin pour planifier une cyberattaque contre vous ou contre des personnes que vous connaissez.
Méfiez-vous de vos émotions : Avec le piratage psychologique, les auteur·es d'attaques peuvent utiliser des techniques de manipulation émotionnelle tout au long de leurs interactions avec vous. Leurs tactiques ont pour but de susciter un sentiment d'urgence, de curiosité, de peur, de culpabilité, de colère, de surprise, d'appât du gain, d'excitation ou de tristesse. Si vous recevez un appel ou un message dans lequel on vous demande de cliquer sur un lien ou de fournir des renseignements délicats, restez calme, analysez la situation, soyez à l'affût de tout signe d'activité suspecte et vérifiez toujours la source. Vous éviterez ainsi d'agir sous le coup de l'émotion et de prendre des risques.
L'erreur de Morgan
Transcription
Comme Morgan, tout le monde peut être victime de piratage psychologique. Restez donc vigilant et souvenez-vous de ces signes pour vous protéger, ainsi que votre organisation, contre les attaques. Vous pouvez commencer par apprendre de Morgan et de ses pairs en suivant le cours Découvrez la cybersécurité (DDN235).
Cours
Ressources
