Les nouvelles technologies changent clairement le monde, mais pas le psychisme humain. Par conséquent, les malfaiteurs imaginent de nouvelles innovations technologiques pour cibler les vulnérabilités du cerveau humain. Un des exemples les plus frappants explique comment des arnaqueurs ont imité la voix d’un PDG international pour inciter le directeur général d’une filiale à faire un virement vers des comptes suspects.
Que s’est-il passé ?
Les détails de cette attaque demeurent inconnus. Toutefois, le Wall Street Journal, qui cite la compagnie d’assurance Euler Hermes Group SA, décrit l’incident de la façon suivante :
- En répondant à un appel, le PDG d’un groupe énergétique basé au Royaume-Uni pensait parler avec son supérieur, le directeur général de la société mère qui se trouve en Allemagne. Il lui a dit qu’il avait une heure pour transférer 220 000 € (qui se sont avérés fictifs) à un fournisseur hongrois.
- Le directeur anglais a viré la somme demandée.
- Les cybercriminels ont de nouveau appelé l’entreprise anglaise pour l’avertir que la société mère l’avait remboursée.
- Ils ont rappelé plus tard dans la même journée, toujours en se faisant passer pour le PDG, pour lui demander d’effectuer un second virement.
- Comme le virement correspondant au remboursement n’avait pas encore été réalisé et que le troisième appel provenait d’un numéro autrichien, et non pas allemand, le directeur a commencé à émettre des doutes. Il n’a pas effectué le second virement.
Comment s’y sont-ils pris ?
Les assureurs envisagent deux possibilités. Soit les cybercriminels ont sélectionné un grand nombre d’enregistrements vocaux du PDG pour ensuite les assembler manuellement, soit, plus vraisemblablement, ils ont eu recours à un algorithme d’apprentissage automatique pour mémoriser les enregistrements. La première méthode est longue et peu fiable. Il est extrêmement difficile de constituer une phrase cohérente à partir de mots prononcés séparément sans éveiller de soupçons. De plus, d’après la victime anglaise, le discours paraissait absolument normal, avec un timbre de voix reconnaissable et un léger accent allemand. L’IA est donc le principal suspect. Cependant, le succès de cette attaque n’était pas vraiment dû à l’usage de nouvelles technologies mais plutôt à une distorsion cognitive, en l’occurrence il s’agissait de la soumission à l’autorité.
Autopsie psychologique
Les psychologues sociaux ont mené plusieurs expériences démontrant que même les personnes intelligentes et expérimentées ont tendance à obéir à leurs supérieurs sans se poser de questions, même si cela va à l’encontre de leurs convictions personnelles, de leur bon sens et de leurs considérations en matière de sécurité.
Dans son livre The Lucifer Effect: Understanding How Good People Turn Evil, Philip Zimbardo décrit ce type d’expérience : un docteur appelle des infirmières et leur demande d’injecter une dose de médicament deux fois supérieure à la quantité maximale autorisée. Sur 22 infirmières, 21 ont suivi les ordres. En fait, presque la moitié des infirmières interrogées suivraient les instructions d’un docteur même si, selon elles, elles pourraient nuire au patient. Les infirmières obéissantes pensent qu’elles ont moins de responsabilités en ce qui concerne la prise de décision qu’un docteur possédant une autorité légale pour prescrire un traitement à un patient.
De même, le psychologue Stanley Milgram s’appuie sur la théorie de la subjectivité pour expliquer ce concept d’obéissance aveugle à l’autorité. Selon ce principe, si une personne se perçoit comme un moyen permettant d’accomplir la volonté de quelqu’un d’autre, elle n’est pas responsable de ses actions.
Que faire ?
Vous ne pouvez pas savoir avec exactitude à qui vous vous adressez lorsque vous êtes au téléphone, surtout s’il s’agit d’un personnage public et que des enregistrements de sa voix (interviews, discours) sont disponibles. Il s’agit d’un cas rare pour le moment, mais de tels incidents pourraient devenir plus fréquents avec l’avancée des technologies.
En suivant des instructions sans vous poser de questions, vous pourriez être aux ordres des cybercriminels. Bien sûr, il est normal d’obéir à son supérieur, mais il convient également de se poser des questions face à des décisions de gestion étranges ou illogiques.
Nous ne pouvons que vous recommander d’encourager vos employés à ne pas suivre d’instructions aveuglément. Tentez de ne pas donner d’ordres sans raison. Ainsi, il y a plus de chance qu’un employé se pose des questions s’il reçoit un ordre sans raison apparente.
D’un point de vue technique, nous vous recommandons de :
- Établir une procédure claire concernant les transferts de fonds afin que même un employé haut placé ne puisse pas virer l’argent de l’entreprise sans contrôle. Les transferts de sommes importantes doivent être autorisées par plusieurs responsables.
- Former vos employés aux principes fondamentaux de la cybersécurité et de leur apprendre à suivre les ordres avec un brin de scepticisme. Nos programmes de sensibilisation aux menaces vous aideront.