Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145

à une fraude interne ou un faux ordre
de virement international (FOVI), perte
liée au cryptage des données par un
rançongiciel). Enfin, pour les opérations, les attributs sont établis suivant
une hiérarchie employée pour la dynamique. Ce sont les intentions, les objectifs, les méthodes, -et tout particulièrement la manipulation-, les techniques,
-et notamment l'exploitation des
vulnérabilités humaines : ingénierie
sociale, « phishing », etc. -, les outils19 et
les vecteurs, tels que l'entrée physique
ou l'accès logique, les sites Web, les
messageries avec les « spams », les
réseaux sociaux, les périphériques
USB, la téléphonie usuelle : fixe ou
mobile, ou sur IP.
Certaines attaques seront ciblées en
rapport avec un intérêt particulier.
D'autres non, elles seront massives
et rapportant peu à la fois. Pour les
premières, le choix définitif de la cible
dépend de conditions favorables et de
la qualité du recueil d'informations
ouvertes : registres, sites Web, médias
sur l'Internet, réseaux sociaux, etc., et
complémentaires sur le dirigeant et ses
collaborateurs.

Stratégie de manipulation
appliquée aux cyberattaques
Côté manipulateur, il s'agit d'induire
des idées sous-jacentes influencées
dans la pensée de la victime. Le
système 1, peu fiable au raisonnement,
sera privilégié pour que, en utilisant
des leviers d'influence, la victime traite
les informations qui lui sont fournies
pour conduire à la conclusion rapide
voulue par ce premier. Dans le même
temps, le système 2 pouvant constituer
une menace, les éléments de décision
qu'il produit et qui sont impropres au
succès de la manipulation devront être
écartés, tandis que les autres seront
renforcés, de façon à ce que son rôle
tende à valider les conclusions du
système 1.
L'attaquant devra être attentif à la
phase de préparation. Elle ne doit pas
être brutale pour ne pas éveiller l'attention. Il s'agit en particulier de l'étape de
renseignements pour collecter les informations utiles en utilisant des sources
publiques et privées et l'ingénierie

sociale. Pour disposer des leviers adaptés d'une part, à la personne ciblée, et
d'autre part, à la situation et à l'objectif, il procédera à plusieurs demandes
anodines sans trop d'insistance, et
cherchera à connaître la réaction et
à estimer la capacité de coopération,
évitant ainsi de générer du stress et
de la méfiance. Après obtention des
actions influencées dans la phase d'exploitation, la phase de clôture ne devra
pas non plus être trop brutale pour
dissiper l'effet de récence20 lié à la facilité à se rappeler les derniers éléments.
En tout état de cause, le manipulateur
devra chercher à minimiser l'effet du
système 2 plutôt que d'instiller trop
d'idées dans la pensée de la victime
relevant du système 1, afin d'éviter
d'activer le système 2.
Côté victime, et en guise de corollaire,
selon O. Houdé (2014), la résistance
cognitive reviendrait à passer du
système 1 au système 2. Ceci justifie
l'existence du système 3, capable d'interrompre le système 1 et de laisser la
décision finale au système 2.
En s'autorisant un clin d'œil, cette résistance devrait éviter à chacun de se
retrouver en séance chez « Les cliqueurs
anonymes21 » pour y déclarer : « Bonjour,
je m'appelle Benêt. Je savais que le clic
n'est pas automatique,... et pourtant
j'ai quand même cliqué sur la pièce
jointe sans réfléchir ! » ou encore : « Je
savais,... j'ai même hésité, mais finalement j'ai tout de même réalisé le
virement demandé ! ».
Nous verrons, au travers de deux études
de cas typiques, pourquoi ces choix
inappropriés sont possibles malgré la
sensibilisation, et comment ils pourraient être évités à l'avenir, en innovant
et en s'appuyant sur le modèle de prise
de décision précédemment exposé.

CAS CONCRETS, INNOVATION
ATTENDUE ET CONCLUSION
Etude d'un cas de « phishing »
associé à un rançongiciel
Le « phishing » ou le « spear
phishing22 » est employé pour compromettre un système en incitant à ouvrir

EXPERTISES AVRIL 2017

un lien ou une pièce jointe pour
introduire un code malveillant. Les
rançongiciels23 utilisent cette technique
pour ensuite extorquer24 une rançon en
échange d'une clé ou d'un outil, laissant
espérer à la victime la récupération des
données ou du système dans leur état
initial, mais sans aucune garantie.
Dans ce cas, la victime est une PME
d'une centaine d'employés, comme il en
existe beaucoup en France, où la sécurité n'est pas intégrée dans la gestion
globale. La sécurité des données, et
en particulier celle des sauvegardes,
est incertaine. Si ces dernières sont
bien sous contrôle de l'administrateur concernant les serveurs de façon
automatique, en revanche, elles sont
laissées à la discrétion des utilisateurs
concernant les postes de travail, les
microordinateurs portables et autres
outils mobiles, alors qu'ils contiennent
des données sensibles et vitales. De
plus, les copies sont réalisées sur des
périphériques USB qui restent très
souvent connectés. Elles sont ainsi
rendues incomplètes et incertaines,
hors d'un plan ad hoc. Au contraire,
elles devraient être planifiées et répertoriées, leur intégrité formellement
vérifiée et la sécurité maintenue en
tout temps dans un lieu suffisamment
distant, pour prétendre à une restitution
complète des données en cas de nécessité, notamment après un sinistre.
De retour des vacances d'été de 2016,
le service de la comptabilité de l'entreprise constate des anomalies et des
pertes de données. Ce constat est associé à l'ouverture d'un fichier supposé
correspondre à une facture envoyée en
pièce jointe dans un courriel émis par
un soi-disant fournisseur. Il est confirmé qu'elle est victime du rançongiciel
CryptoWall 4.0 associée à une demande
pressante de rançon de 700 dollars
payable en Bitcoins25, pour obtenir la
clé de décryptage en espérant retrouver les informations initiales. N'ayant
aucune possibilité de récupérer d'une
façon ou d'une autre des données
importantes résidant en particulier hors
des serveurs, elle est face au dilemme
suivant : payer la somme exigée dans
les délais en espérant les restituer
sous forme non cryptée, mais sans
certitude, et de surcroît, en participant

145



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com