Articles Tagués ‘cybersecurity’

Nous sommes entrés dans une phase nouvelle de cybercriminalité sans qu’elle ne soit réellement considérée dans son potentiel difficilement quantifiable.

Pourquoi?

Par ce qu’en France en tout cas, la première n’a même pas été considérée à sa juste valeur ! Et que le retard accumulé, le fait de sous-estimer cet environnement et ses « occupants » ont autorisé  et permis aux hats à mieux se structurer, plus s’organiser et davantage anticiper. Ils sont plus diversifiés et développés intellectuellement tout en affinant leur cible et objectif.

Lorsque l’on croit qu’un vole de données par une intrusion n’est qu’un vol de données, il peut masquer un autre délit. Alors que l’on considère que l’antimalware et autres logiciels protégeront bien l’entité, des nouvelles attaques cybercriminelles n’usent pas d’intrusion malware, juste humaine encore plus fine.

Si certains évoquent ce sujet avec une désinvolture certaine, ils n’en mesurent pas la gravité du sujet face à l’intelligence Artificielle, les outils connectés et le terrorisme. Rien de ces trois éléments ne peuvent être dissociés de la cybercriminalité. Alors que l’on estime que se faciliter la vie avec un cyborg, qu’on aura des voitures sans les piloter, qu’on animera le fonctionnement de notre maison avant d’arriver, est un besoin actuel, vital et essentiel pour évoluer dans la vie, on effleure la problématique cybersécurité qui dérange !

Oui cela dérange par ce qu’il faut appréhender les choses différemment : nos failles alimentent l’espace criminel virtuel. Elles sont nombreuses nos failles ainsi que je l’ai souvent évoquées : notre fonctionnement des 30 glorieuses qui n’a plus court par exemple! Il est empli de mauvaises pratiques, de pièges pour les cybercriminels, de failles pour les hats… Pourtant, les entreprises continuent à fonctionner dans un schéma managériale et gestionnaire pyramidal, lent en prise de décision, cloné, peu créatif et novateur… Une aubaine pour les cybercriminels qui fonctionnent rapidement, en transversal, dans l’ingéniosité, en utilisant les freins du réel qu’ils vont parfois puiser sur le terrain, dans un univers sans frontière ni règle où seul le résultat compte…

Notre façon de vivre connecté n’améliore pas non plus notre cyber protection et encore moins celles des entreprises qui nous emploient ! Pourtant, tant de gens vantent qu’il faut vivre avec son smartphone qui ferment les volets et allument le chauffage avant qu’on n’arrive à la maison! Une manne pour les cybercriminels !

Quelques petits exemples qui autorisent une facilité de vie, sereine, tranquille sans imaginer, même croire que cela sert l’espace des cyber délinquants !

Pendant que nous faisons semblant de lutter contre la cybercriminalité sans tenir copte de votre collaborateur parle trop dans le bus, sans considérer que c’est un être de chair et de sang qui est derrière chaque acte cybercriminel, sans tenir compte que votre comptable s’épanche trop sur les réseaux sociaux concernant votre société, sans voir que les cybercriminels vivent dans l’espace réel et qu’on les côtoie, sans analyser leur logique, leur volonté, leur différenciation comportementale, leur addiction, leur intelligence différente de celles utilisées dans le monde réel, sans estimer qu’ils ont des coups d’avance, sans entendre ce que des gens comme moi n’ont de cesse de dire par ce que ça n’arrange pas la facilité de vos envies de vivre, les cybercriminels s’en amusent et ont développé leur potentiel, leur pouvoir, leur espace depuis quelques temps pour être encore plus performants .

Le pouvoir des cybercriminels sera la prochaine phase à mon avis sauf si on active un peu plus. Par ce que dans cybercriminel, il y a des cyberterroristes et tout le circuit qui alimente le fonctionnement des terroristes (phishing, ransonware, vente d’oeuvre d’art par exemple dans le darkweb, achat de femmes et enfants, etc).

 

Nadine TOUZEAU
Profiler, net-profiler, chercheur en comportement des cybercriminels

Publicités

Un postulat ! Quantité d’articles évoquent le sujet sur le fait qu’aucune entreprise n’est à l’abri et que les employés doivent avoir un comportement adapté afin d‘éviter toute intrusion via un fichier ou lien envoyé par mail principalement.

Même si d’après certains sondages un nombre trop important de salariés ne se sentent pas concernés par le sujet, il n’en demeure pas moins que toute personne qu’elle soit salariée, intérimaire, fournisseur, ou proche du salarié dont la famille sans oublier les dirigeants d’entreprise est une cible potentielle pour les hats !

Mais pas qu’en subissant une arnaque au président, en cliquant sur un lien intrusif, en se faisant introduire discrètement par un grey ou black hat (à parfois ne le découvrir que plusieurs années après !) !

Comment ? Personne n’en parle, par ce que l’humain est une fois de plus effleuré !

Par bouche-à-oreille, je suis très souvent contacté pour dépêtrer des situations d’intrusion par arnaque aux sentiments, vidéos ou photos compromettantes publier  même si la victime n’a jamais fait d’image ou vidéo compromettante, rumeurs lancées et animées,  inscription à son insu sur des sites en inadéquation avec la personne, etc… Tout cela est une atteinte à l’e-réputation le plus souvent. La grande majorité de ces dossiers font l’objet de colère face à l’attitude des forces de l’ordre qui ne peuvent ou n’ont tout simplement pas les moyens voire formations dédiés à la cybercriminalité.

La lenteur juridique n’aidera pas plus ce genre de dossier qui nécessite une action rapide afin d’être efficace. Il faut d’ailleurs prendre cela à sa source et non des menaces, messages négatifs plus tard !

Notre travail de net-profiler permet de stopper très vite ces menaces et rumeurs en analysant le dossier, même par téléphone, afin de trouver la ou les failles et de mettre en œuvre de suite la plupart du temps les actions correctives qui seront pérennes. Le plus amusant dans le dossier c’est quand les victimes vous disent « et c’est tout ? et c’est fini ? ». Oui sauf nouvel élément ou manque.

Toutefois, là où il faut mettre l’accent c’est de vérifier qui est la victime véritablement et beaucoup d’entre-elles ont des liens plus ou moins proches avec des entreprises ou postes plutôt intéressants pour un hat !

Je me rappelle d’un jeune ayant fait à son insu une vidéo compromettante divulguée sur le net si il ne payait pas une rançon qui a fait de suite appel à mes services. En 10 minutes c’était réglé et sans payer la rançon bien évidemment sachant que j’ai préféré attendre une heure avant de rassurer ce jeune pour garantie. Ce jeune travaille dans une entreprise de type Seveso ! Refusant de payer que lui aurait-on demandé à ce jeune à votre avis! De faire quelques choses d’illicite dans l’entreprise qui l’emploie pour payer la rançon…

Cet exemple reflète une réalité terrain bien plus importante qu’il n’y parait et … non évoquée !

Nadine TOUZEAU
Profiler, net-profilfer, chercheur en comportement des cybercriminels

Le harcèlement est enfin reconnu dans notre pays à en être intégré dans les RPS. Il reste très probablement du chemin à faire afin d’en peaufiner son encadrement et sa résolution. L’essentiel est que cette reconnaissance soit enclenchée.

Il est évident que la cybercriminalité doit faire étendre cette reconnaissance sur le e-harcèlement ou le harcèlement en utilisant internet, sous quelque forme que ce soit.

Dans mon livre, « Net-profiling : analyse comportementale des cybercriminels », j’évoque ce sujet.

N’oublions pas qu’une personne fragile pour diverses raisons est la cible idéale. Commettre des (e-)harcèlements sur un profil « bien dans sa tête » ne prendra pas aussi facilement ! Un harcèlement subit a un impact violent qu’il soit fait dans le monde réel ou dans le monde virtuel. Toutefois, il est souvent relevé à juste titre que la différence est notoire entre les deux univers. En voici quelques raisons.

Il est nécessaire tout d’abord intégrer que le e-harcelement est effectué par un être humain malveillant ou maladroit (ce qui est plus rare), soit une personne qui vit dans le monde réel. Le ressenti n’est pas évident sur une victime de e-harcelement surtout si elle ne peut l’identifier.

Dans le monde réel, être victime de harcèlement se fait sur un univers clos et visible : on connaît l’endroit et on voit les personnes tout en s’en imaginant parfois de façon exagérée l’étendue. L’identification est plus simple à faire dans notre cerveau et sur notre affectif. Le fait de savoir où cela se passe aide à évaluer du harcèlement à la douleur qu’elle procure. On mesure sa zone spatiale bien plus facilement que dans le virtuel.

Mais ce que le virtuel autorise et toutes personnes malveillantes l’ont bien compris, c’est que les coups bas sont faciles. Pour une raison trop souvent occultée, l’avatar est activé pour se venger dans un univers sans frontières, limite et transversal. Je m’explique. Si une personne souhaite se venger de vous, dans le monde réel elle devra soit vous affronter seule et si vous avez du répondant ça sera plus difficile, soit devoir appuyer sa vengeance en s’entourant d’autres personnes pensant comme elle ou lui, ce qui sera plus contraignant pour la victime de se défendre. Alors que dans le monde virtuel, il suffit juste de se lâcher et sortir tout ce qu’on n’oserait pas dans le monde réel jusqu’à parfois se cacher sous une identité quelconque.

Ne pas mesurez qui est derrière cela et pourquoi on n’ose vous faire ceci est terriblement frustrant pour la victime. Comment répondre objectivement? Qui nous prend au dépourvus? Pourquoi moi? Est-ce que je connais la personne? Est ce vrai ! …

Les mesures dont nous disposons dans le monde réel n’ont plus court d’autant que la victime a rarement les moyens de répondre face à l’avatar du contexte ! C’est même l’un des objectifs ; faire en sorte que la victime soit sonnée brutalement sur un court terme sans pouvoir se débattre, tel un K-O sans s’imaginer devoir monter sur un ring !

Il est à noter aussi que le fait de répandre les propos et actes de harcèlement sur la toile envenime la chose sur les profils publics qui seront témoins involontaires de la situation… Internet à favorisé cette option dont les auteurs en mesure rarement la portée à le regretter bien souvent. Toutefois, chaque témoin de ce e-harcelement sera rarement silencieux puisque le jeu sera mené par le harceleur de façon à impliquer d’autres personnes dans ses actes manipulateurs. Les témoins se verront dans l’obligation de s’engager afin d’aider le harceleur qui sera positionné en victime, le rôle du manipulateur!  Ce qui entraînera d’autres rebonds de violences verbales difficiles à accepter par la vraie victime venant de gens qui ne la connaissent même pas et pourtant la juge!

La violence verbale est sur les 5 toxicités « parentales » de Susan Forward, la pire de toute. Les mots ont de lourds maux qu’ils faut soigner sans en négliger les impacts à long terme.

Enfin, la presse aime à monter en épingle les victimes de ces e-harcèlements dont certaines ont mis fins à leur jour. S’est-elle elle-même posé la question si elle ne faisait pas aussi du e-harcelement en ligne en proférant des propos sans preuve sur des personnes à qui on refuse une écoute? Le propre même de l’investigation qui exige aussi d’être au plus près de la neutralité !

Nadine TOUZEAU
Profiler, Net-profiler