Ingénierie sociale et menaces cybernétiques

Les sujets sur la cyber-guerre sont d’actualité. Par exemple la circulation d’un virus mystérieux « Stuxnet » fait actuellement beaucoup parler de lui. On lui attribue le pouvoir de perturber le fonctionnement des centrifugeuses iraniennes et le pilotage de processus industriels complexes comme une centrale électrique ou une chaine robotisée utilisant des codes Windows (WinCC).

Dans un communiqué de septembre 2010, Siemens concluait que Stuxnet était le produit « d’experts en informatique doués de connaissances en ingénierie des contrôles industriels ». Les commentaires sur le fait d’avoir utilisé un OS de type Windows, considéré comme une passoire par les hackers, n’auront pas manqué à l’occasion de la publication de l’affaire.

Mais cette paranoïa militariste est-elle crédible ?

On évoque volontiers la sophistication progressive des « bombes logicielles » capables de créer des dysfonctionnements majeurs dans des installations industrielles1 ou militaires. Mais ce sensationnalisme ne doit pas nous faire oublier une guerre plus insidieuse : la guerre cognitive.

Toutes ces menaces cybernétiques à traiter avec sérieux masquent en effet un autre danger, une menace tout aussi terrible, celle de « l’ingénierie sociale » par le Web.

Par exemple, le coup d’une installation de gaz qui explose, soit disant par le fait d’un hacker plutôt qu’à cause d’un mauvais entretien du réseau, n’est-elle pas plutôt à mettre sur le compte d’une manipulation de l’opinion publique ?

Le social engineering est une manipulation des populations pour obtenir quelque chose sans qu’il soit nécessaire de disposer de compétence technique mais plutôt une excellente connaissance des comportements cognitifs. De ce point de vue, on l’aura compris, Internet est devenu un formidable levier pour agir sur les comportements individuels ou collectifs.

La création d’évènements collectifs sur la base parfois de faits imaginaires n’est plus un secret pour personne. Imaginons par exemple qu’une série d’informations laissent entendre que nos centrales sont vulnérables et que des anomalies préoccupantes mobilisent les ingénieurs d’Areva. Tout cela, associé à la connaissance d’un virus dangereux pour les automates industriels, créerait une tension sociale voire économique qui pourrait s’avérer tout aussi prédatrice que des sabotages technologiques. Aussi, parler de la cyber-guerre par les technologies n’est qu’une toute petite partie du problème.

Utilisée à mauvais escient, l’ingénierie sociale est une menace qui n’est pas suffisamment étudiée, ni suffisamment connue du grand public au regard des manipulations dont il peut faire l’objet. Il s’agit pourtant d’une des armes les plus anciennes et les plus redoutables des guerres psychologiques que se font les armées de l’ombre.

Les manipulations des citoyens

en utilisant la Toile sont des guerres des contenus qui peuvent aboutir à de véritables « Pearl Harbour » intellectuels et sociaux.

L’ingénierie sociale se fonde sur une supercherie tendant à faire croire à certaines personnes la véracité d’informations fantaisistes. Ainsi, parmi les supercheries tendant à faire croire des informations fantaisistes, la plus familière aux internautes est celle de l’annonce de l’existence d’un virus imaginaire voyageant par mail. Elle incite le possesseur d’un PC à vérifier l’existence puis à éliminer, toutes affaires cessantes, un code spécifique de l’ordinateur. Malheur à celui qui se laisse impressionner sans prendre de précautions par cette fausse alerte à la bombe logicielle. Le voilà désormais possesseur d’un PC inutilisable.

Dans le même ordre d’idées l’utilisation de la générosité, de la crainte, de l’appât du gain mais aussi des paranoïas collectives est un classique du genre car la subtilité de l’ingénierie sociale consiste à faire en sorte que les cibles visées se persuadent de la véracité des informations qui leurs sont envoyés, le plus souvent de façon anonyme et informelle.

C’est là une des thèses que développe un collectif d’auteurs français* décrivant les caractéristiques des guerres du cognitif qui opposent des capacités à connaître, produire ou déjouer des connaissances, en dénonçant nos carences en matière de guerre dans le domaine du contenu. Une carence soulignée dans un récent rapport qui dénonce le déficit d’une pensée stratégique moderne qui ne devrait pas être uniquement basée sur des prouesses technologiques.

Denis Ettighoffer

* « La guerre cognitive, L’arme de la connaissance », sous la direction de Christian Harbulot et Didier Lucas.

http://blogs.lesechos.fr/intelligence-economique/ingenierie-sociale-et-menaces-cybernetiques-a4795.html