Cybercriminalité : et si notre cerveau était piraté ?

Des tactiques qui utilisent des leviers psychologiques

Les cybercriminels sont devenus de très bons « psychologues ». Ils emploient des leviers tels que les émotions, le principe de cohérence, le sentiment d’utilité sociale, la confiance, le biais cognitif d’autorité… pour nous persuader d’agir et d’agir vite.

Bien souvent, ce sont les entreprises qui sont visées, parce que l’enjeu est plus gros.

Avant de démarrer l’arnaque, ils connaissent déjà tout de l’entreprise, son organigramme, son fonctionnement. Ils mènent une vraie enquête, notamment en utilisant les réseaux sociaux, qui sont une mine d’or : Facebook, par exemple, où l’on accepte comme « amis » des gens que l’on ne connaît pas ; LinkedIn, qui permet d’obtenir le nom des dirigeants, la fonction des salariés, ou de savoir, par exemple, si une personne vient d’être embauchée. Le hacker n’a plus qu’à choisir sa cible et son angle d’attaque.

Voici un exemple qui met en lumière les leviers psychologiques cités plus haut :

« Bonjour Christophe, j’ai absolument besoin de votre aide pour une tâche urgente. Nous avons une facture de l’un de nos nouveaux fournisseurs qui est en attente, et comme je suis absent du bureau cette semaine, j’ai besoin que vous vous en occupiez. Vous vous en doutez, je ne peux pas accéder au compte et la date limite est aujourd’hui. Est-ce que je peux compter sur vous pour traiter cette tâche en priorité ? Vous trouverez en pièce jointe de ce mail la facture en question. Je vous remercie par avance de votre professionnalisme. Cordialement. »

Signé du nom du directeur.

Décryptons les leviers utilisés dans ce mail.

La confiance, pour que la cible obtempère et n’ait aucun doute sur son identité.

Et puis, il y a aussi ce biais cognitif, « l’excès de confiance », qui nous amène à croire que nous sommes en sécurité. Après tout, nous ne sommes pas aussi naïfs pour tomber dans le piège…

Les émotions, ici, le sentiment d’urgence. Le hacker met sa victime dans un état de stress pour qu’elle soit moins attentive aux indices qui pourraient le démasquer.

Le biais d’autorité, c’est ce raccourci mental automatique qui nous conduit à donner plus de crédit à une personne qui a un certain statut. Nous avons bien souvent une tendance à nous conformer à une figure d’autorité, ici le directeur.

Le sentiment d’utilité sociale : on aime bien être serviable, surtout lorsqu’on veut faire bonne impression. Le hacker va accentuer ce côté-là en disant « j’ai besoin de votre aide ».

Le principe de cohérence : la dernière phrase est extrêmement subtile et très puissante en matière de manipulation. « Je vous remercie par avance de votre professionnalisme » déclenche chez Christophe une seule envie, prouver qu'il est professionnel. Plusieurs études en psychologie ont démontré que lorsque quelqu’un nous renvoie une image positive de nous, on a envie d’être en cohérence avec cette image : « Je suis à la hauteur de ce que l’on me demande, je peux le faire. » Christophe va pouvoir montrer à son directeur qu'il est fiable… et va donc accepter de traiter cette requête.

Nous avons pris l’exemple d’un e-mail, mais cela aurait très bien pu être un appel téléphonique émanant d’un fournisseur, de la banque, d’un prestataire… Rien n’est laissé au hasard, les cybercriminels sont des pros dans leur domaine.

Peut-être s’inspirent-ils des six principes de persuasion enseignés dans les facultés et établis par Rober Cialdini, docteur en psychologie sociale. Son livre, Influence et manipulation, est aussi devenu la bible des spécialistes de la vente et du marketing.