En cybersécurité, le terme « piratage psychologique » fait référence à un ensemble de techniques utilisées par les auteur·es de menaces pour accéder aux systèmes en ciblant les personnes qui y ont accès plutôt qu’en s’attaquant aux systèmes eux-mêmes. Selon le Centre canadien pour la cybersécurité, le piratage psychologique est la pratique qui consiste à obtenir des renseignements confidentiels en manipulant les utilisateurs et utilisatrices légitimes. Il s’agit d’un important vecteur de menaces que l’on ne peut ignorer. Le piratage psychologique est utilisé pour manipuler les gens afin de les pousser à divulguer des renseignements délicats ou à agir d’une manière qui peut compromettre leur sécurité. Ce qui le rend unique, c’est la manière dont il tire profit des émotions, de la vulnérabilité et du comportement humains pour s’en prendre aux victimes. Il exploite la faillibilité humaine et pousse les utilisateurs et utilisatrices à exposer des données privées, à donner accès à leurs systèmes et comptes restreints ou à les modifier, ou encore à propager des logiciels malveillants dans leur ordinateur.
Définition et exemples de piratage psychologique
Les attaques de piratage psychologique peuvent être perpétrées en ligne (courriels, réseaux sociaux), par téléphone (appels, messages texte) ou en personne. Parmi les exemples les plus communs, on retrouve des appels de personnes qui offrent des services, des messages textes qui demandent au destinataire de cliquer sur un lien pour accepter de l’argent de la part d’une personne ou d’une organisation et des courriels provenant d’organisations qui incitent le ou la destinataire à mettre à jour les renseignements sur sa carte de crédit à la suite d’un paiement échoué. Ces exemples vous semblent-ils familiers?
Pour le gouvernement du Canada (GC), des attaques de piratage psychologiques réussies pourraient signifier l'accès à des quantités massives d'informations personnelles et des dommages physiques aux infrastructures critiques dont dépend la population, notamment l'eau, l'énergie, les soins de santé, les chaînes d'approvisionnement alimentaire, les systèmes de transport et les réseaux financiers. Selon le rapport publié par le Centre canadien pour la cybersécurité, entre le 1er janvier et 16 novembre 2021, le Centre avait eu connaissance de 235 incidents rancongiciels contre des victimes canadiennes. Plus de la moitié de ces victimes étaient des fournisseurs d’infrastructures essentielles. En fait, en 2022, 82 % des intrusions découlaient d’erreurs humaines (Verizon Data Breach report, en anglais seulement). Le piratage psychologique implique qu’en cas de cyberattaque, les personnes sont à la fois le maillon le plus faible et le rempart le plus solide. Les fonctionnaires doivent être conscients et conscientes de ces vulnérabilités et se préparer à prendre les mesures qui s’imposent.
Soyez le bouclier, pas la porte d’entrée
Conseils pour éviter de tomber dans le panneau des attaques de piratage psychologique:
- Faites preuve de prudence avec les messages : Les employé·es du GC sont souvent ciblé·es. Faites preuve de prudence si vous recevez un message d’un expéditeur inconnu. Ces messages peuvent parfois sembler provenir de l’adresse courriel personnelle d’une personne que vous connaissez, comme un·e collègue, un·e supérieur·e, un·e ami·e ou un membre de votre famille. Des adresses URL suspectes, des demandes de renseignements personnels inattendues et des erreurs d’orthographe et de grammaire dans le message ou dans l’adresse courriel peuvent être des signes d’une attaque de piratage psychologique. Prenez toujours le temps de vérifier l’identité de l’auteur·e d’un courriel ou d’une demande de renseignements personnels ou protégés.
- Méfiez-vous des appels inattendus : Les pirates psychologiques ont souvent recours à des appels téléphoniques pour obtenir les renseignements dont ils ont besoin. Si vous recevez un appel inattendu de la part d’une personne qui prétend faire partie d’une organisation ou d’une entreprise, demandez-lui son nom complet et ses coordonnées. Dites-lui que vous êtes occupé·e pour le moment et que vous la rappellerez plus tard. Si vous croyez qu’il peut s’agir d’un véritable appel, cherchez le numéro sur le site Web de l’organisation ou communiquez avec celle-ci à l’aide de l’un des autres moyens indiqués sur le site.
- Préservez la confidentialité de vos renseignements personnels : Ne diffusez pas vos renseignements personnels sur les réseaux sociaux (avec des paramètres publics) ou sur d’autres plateformes en ligne. Les pirates psychologiques peuvent se servir de ces renseignements pour se faire passer pour vous, pour avoir accès à vos comptes et pour trouver des moyens de vous pousser à fournir les renseignements dont ils ont besoin pour planifier une cyberattaque contre vous ou contre des personnes que vous connaissez.
- Méfiez-vous de vos émotions : Avec le piratage psychologique, les auteur·es d’attaques peuvent utiliser des techniques de manipulation émotionnelle tout au long de leurs interactions avec vous. Leurs tactiques ont pour but de susciter un sentiment d’urgence, de curiosité, de peur, de culpabilité, de colère, de surprise, d’appât du gain, d’excitation ou de tristesse. Si vous recevez un appel ou un message dans lequel on vous demande de cliquer sur un lien ou de fournir des renseignements délicats, restez calme, analysez la situation, soyez à l’affût de tout signe d’activité suspecte et vérifiez toujours la source. Vous éviterez ainsi d’agir sous le coup de l’émotion et prendre des risques.
Transcript
Transcription descriptive de la vidéo de Morgan:
[Le texte « Canadian Centre for Cyber Security | Centre canadien pour la cybersécurité » s’affiche à l’écran.]
[Le texte « Canada School of Public Service | École de la fonction publique du Canada » s’affiche à l’écran.]
L’erreur de Morgan
Le piratage psychologique est fondé sur la tromperie.
[Deux morceaux de papier sur lesquels sont écrits « VRAI » et « VRA1 » échangent leur place.]
De nombreuses techniques permettent de tromper les gens pour qu’ils croient qu’une situation est légitime.
[Un homme accompagné d’une bulle de pensée au-dessus de sa tête dans laquelle il est écrit : « Lequel est le vrai document? » APPARAISSANT EN SÉQUENCE : Ordinateur portable avec un panneau d’avertissement rouge, ordinateur portable avec une icône de téléchargement, « Date de Naissance : 05/21/2002 », un ingénieur travaillant à un système informatique.]
Le recours à ce même type de manipulation en ligne est devenu une très bonne technique pour pousser les gens à prendre des mesures qu’ils ne devraient pas prendre : cliquer sur un lien malveillant, ouvrir une pièce jointe malveillante, donner des renseignements personnels ou modifier un système qu’ils administrent. Tromper les gens comme Morgan.
[Morgan, cheveux blonds courts et chemise blanche, est assis·e devant son ordinateur.]
Voici Morgan.
[De nombreuses icônes de courriels animées volent vers l’arrière de l’ordinateur de Morgan.]
Morgan reçoit des centaines de courriels chaque jour. /p>
[Un écran d’ordinateur portable affichant un par un de nombreux titres de courriel. La plupart de ces courriels concernent des demandes de renseignement, d’autres contiennent des rapports, des plans ou des soumissions. Certains nécessitent que Morgan prenne des mesures concrètes. Un en-tête de courriel apparaît en haut de la boîte de réception et il est écrit « Nouveau! » à côté de celui-ci; un pointeur de souris apparaît en bas à droite de l’écran et se déplace pour cliquer sur le nouvel en-tête de courriel. Le courriel s’ouvre et Morgan clique sur le lien vers la pièce jointe au centre de la page.]
Morgan a reçu un courriel comportant un rapport trimestriel en pièce jointe. Selon l’aspect du courriel, iel pense qu’il provient du compte courriel personnel de son directeur. Iel pense qu’il concerne les résultats de la direction et clique donc sur la pièce jointe.
[Une icône de téléchargement de fichier apparaît; l’écran de l’ordinateur portable passe ensuite à une page affichant un code et un cadenas se déverrouillant devant lui.]
Dès que Morgan ouvre la pièce jointe, le maliciel commence à s’installer sur le réseau, cible une base de données contenant des données importantes et chiffre l’information.
[Un auteur de menace en tenue de cambrioleur apparaît du côté gauche de l’écran avec une bulle contenant de l’argent.]
L’auteur de menace demande une rançon de plus d’un million de dollars pour déchiffrer l’information et y redonner accès.
[Un cadenas sur lequel est indiqué un code apparaît à l’écran d’un ordinateur portable; l’image fait un zoom arrière et dévoile un ingénieur paniqué; le système fonctionne mal, et un client appelle, en colère, le service des ressources humaines.]
Étant donné que la base de données est inaccessible, le ministère est dans l’impossibilité d’offrir des services essentiels aux citoyennes et citoyens du Canada.
[En bas à gauche de l’écran, un homme panique; une bulle de pensée montre que tous ses fichiers sont compromis; un autre homme fait un appel sur son téléphone; en bas à droite de l’écran, un écran de téléphone montre une personne utilisant les réseaux sociaux.]
Les gens s’inquiètent au sujet de leurs renseignements personnels et des retards de service. Ils appellent le ministère et en discutent sur les médias sociaux. Le ministère reçoit donc une énorme quantité de demandes; le personnel doit donc faire de nombreuses heures supplémentaires.
[Trois journaux apparaissent à l’écran avec les titres « RÉPUTATION du gouvernement en danger! », « CYBERATTAQUE » et « Centaines de fichiers perdus! ».]
Des articles médiatiques décrivent l’attaque et les erreurs gênantes qui l’ont causée.
[Une liste de points apparaît.]
Morgan aurait pu protéger son ministère en se renseignant sur le piratage psychologique et en reconnaissant les signes d’une fraude par hameçonnage, par exemple la réception d’un courriel au travail provenant d’un compte courriel personnel avec lequel iel n’a jamais correspondu.
[Des crochets verts apparaissent sur les points. Morgan réfléchit; il y a une bulle de pensée grise au-dessus de sa tête. Le fait de devoir ouvrir une pièce jointe aurait dû mettre la puce à l’oreille de Morgan.]
Iel aurait pu confirmer la légitimité de la pièce jointe en communiquant avec son directeur.
Ne mordez pas à l’hameçon. Ne commettez pas la même erreur que Morgan.
[Cette vidéo a été créée conjointement par : Canadian Centre for Cyber Security | Centre canadien pour la cybersécurité, Canada School of Public Service | École de la fonction publique du Canada.]
[Le logo du gouvernement du Canada apparaît.]
Comme Morgan, tout le monde peut être victime de piratage psychologique. Restez donc vigilant et souvenez-vous de ces signes pour vous protéger, ainsi que votre organisation, contre les attaques. Vous pouvez commencer par apprendre de Morgan et de ses pairs en suivant le cours Découvrez la cybersécurité (DDN235).
Cours
- Cours | Découvrez la cybersécurité (DDN235)
- Cours | La cybersécurité dans le GC et la visibilité en ligne (DDN233)
- Cours | Protection des renseignements personnels au sein du gouvernement du Canada (COR504)
- Cours | Cours de base sur l’accès à l’information et la protection des renseignements personnels (COR502)
Ressources
- Page Web | Signaler un cyberincident (pour les personnes et les organisations)
- Page Web | Centre canadien pour la cybersécurité
- Page Web | Pensez cybersécurité
- Article | Ne soyez pas un personnage dans un suspense d’espionnage
- Article | Améliorez vos compétences en cybersécurité : restez à l’affût des menaces qui vous guettent!
- Article | Protéger la confidentialité dans un contexte de télétravail
- Article | Fausse nouvelle et piège à clics : repérer la désinformation et la mésinformation (csps-efpc.gc.ca)
