Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142

doctrine
Le « phishing » ou hameçonnage est
une technique très souvent utilisée
dont l'objectif est de compromettre un
système ou de collecter frauduleusement des données personnelles sur
l'Internet, par une usurpation d'identité adaptée au support numérique.
La victime est invitée à cliquer sur un
lien frauduleux ou une pièce jointe, en
laissant supposer une origine digne de
confiance : établissement ou personne,
par un argumentaire incitant à réagir
(ex. courriel alarmiste ou prétexte à un
remboursement en faveur du destinataire), pour délivrer un code malveillant
(ex. cheval de Troie), afin de permettre
par après des cyberattaques plus
avancées (ex. extorsion, espionnage),
sinon pour inciter à saisir des informations confidentielles, très souvent financières, au vu d'un faux formulaire (ex.
n° de carte bancaire et datagramme)
pour un usage frauduleux et commettre
diverses escroqueries.
Alors que le « phishing » traditionnel se
fonde sur l'envoi d'un message générique à un grand nombre de destinataires, le « spear phishing », vise au
contraire un nombre limité et ciblé de
destinataires au travers d'un message
personnalisé
susceptible
d'être
encore plus convaincant. Celui-ci sera
construit après collecte d'un maximum d'informations, via les réseaux
sociaux et diverses sources publiques
ou privées préalablement compromises
par des cyberattaques. Par ailleurs,
le « in-session phishing » est une autre
variante qui consiste à obtenir des
informations confidentielles durant
l'utilisation d'un site de confiance sécurisé, au travers d'une fenêtre pop-up
secondaire non sollicitée par l'internaute, le plus souvent en l'invitant à se
réinscrire en fournissant son identifiant
et son mot de passe.
Cette technique est une forme de manipulation instinctive.

De la manipulation mentale à
l'ingénierie sociale
La manipulation mentale est une
méthode de conditionnement vue
comme une violence masquée destinée à rompre une résistance par
contrainte psychique ou à réduire

142

la liberté du manipulé sans dévoiler le
but, au contraire de l'argumentation,
et en dépassant la force de la simple
suggestion. Selon Ph. Breton (2000), elle
consiste à entrer dans l'esprit d'une
personne par effraction pour provoquer un comportement attendu à l'insu
de cette dernière8. Les méthodes utilisées faussent la perception de la réalité
de l'interlocuteur victime en usant d'un
rapport de séduction, de persuasion,
de soumission, etc. Pour M.-L. Cuzacq
(2011), la manipulation se joue des
rapports sociaux, des sentiments, des
émotions, etc., qui font de nous des êtres
humains.
La manipulation tire profit des comportements dans les rapports sociaux et
l'engagement, qui poussent le manipulateur à orienter les choix et les actions
de la personne manipulée tout en lui
laissant l'illusion de libre arbitre, en
lui laissant penser que faute de quoi,
elle risque de se retrouver en situation
périlleuse. Il s'agit évidemment d'une
soumission librement consentie et l'infraction sera caractérisée par la réalité
du préjudice subi par la victime9.
Au premier niveau, elle consiste en une
supercherie ou une mise en scène, très
souvent associée à l'ingénierie sociale.
Il est fait appel à des leviers psychologiques10, pour contraindre ou intimider
la victime en situation de faiblesse, ou
au contraire, flatter son ego en jouant
sur son orgueil, en comprenant ses
doléances, ou encore, miser sur son
avidité ou son ambition.
L'ingénierie sociale, pour social
engineering, ou ingénierie psycho-relationnelle, est un processus de manipulation cherchant à soutirer des
renseignements à une personne ou un
groupe à son insu et de façon déloyale,
le plus souvent dans le but d'utiliser
cette information sensible à des fins
malveillantes11. C'est une pratique
perfide qui consiste à exploiter les failles
humaines. Pour cela, l'attaquant abuse
de la confiance, de l'ignorance ou de la
crédulité des personnes ciblées. C'est
dans le but précis de compromettre la
sécurité des systèmes d'information
que K. D. Mitnick (2002) a développé
l'art de la supercherie fondée sur les
failles humaines comme effet de levier.

EXPERTISES AVRIL 2017

L'ingénierie sociale inverse, pour
reverse social engineering, constitue une variante unique d'ingénierie
sociale où la victime va inconsciemment
livrer les informations alors qu'elle est
en situation de dépendance et a besoin
d'aide, notamment pour résoudre un
problème réel, ou supposé comme tel,
lequel a pu lui-même être provoqué,
voire suggéré par l'attaquant.

Les systèmes de pensée et
leur contrôle
Sans nier la complexité de l'intelligence
humaine, tout en s'intéressant aux
erreurs et à ce qui guide les décisions,
D. Kahneman (2012)12, a développé une
théorie selon laquelle nous obéissons à
deux modes distincts de pensée dénommés « système 1 » et « système 2 », attachés à des propriétés antinomiques. Le
système 1 est rapide, intuitif et émotionnel, tandis qu'au contraire, le système 2
est lent, réfléchi et logique.

Fonctionnement comparé
Le système 1 fonctionne automatiquement et s'avère peu fiable au raisonnement. Il se réfère à des associations
d'idées pour produire un aperçu
rapide d'un problème ou d'une situation. Il reconnaît instantanément des
modèles de situation permettant de
produire automatiquement des solutions dans l'urgence, mais conduit
aussi à des pratiques répétitives qui
peuvent être inappropriées, perturbées par des stéréotypes. Sans inhibition, il est susceptible de provoquer
des erreurs intuitives. Le système 2
fonctionne à la demande. Il est utilisé pour les activités mentalement
contraignantes en se basant sur le
raisonnement. Il monopolise l'attention
et exige de façon constante un effort
de concentration : quand l'effort s'arrête, le raisonnement est interrompu.
Bien que ce dernier apparaisse plus
rationnel, c'est pourtant le système 1
qui régit les décisions quand trop
d'événements sont à analyser simultanément (voir schéma 1). D. Kahneman
introduit également deux modalités particulières au système 1, l'une
dite « experte » et l'autre « heuristique ».
L'intuition experte est vue comme une
capacité innée, automatiquement bâtie



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com