sdecoret - stock.adobe.com

Cybersécurité : les biais (cognitifs) dans tous leurs états (5/5)

La plupart de nos décisions sont prises sous l’influence de nombreux biais cognitifs. Le domaine de la sécurité informatique n’y échappe pas. Cela vaut pour ceux qui sont chargés de défendre le SI, mais aussi pour les attaquants…

Dans notre métier, nous connaissons tous le postulat de départ : nous devons identifier les capacités des attaquants afin d’améliorer nos capacités défensives. Ça paraît être une évidence, mais il ne suffit pas de le dire. Il faut le mettre en œuvre. Mais comment ?

Les attaquants, comme les joueurs d’échecs, doivent reconnaître des modèles de données, les informations et les séquences. Ils doivent analyser le contexte et le traduire en action. Un attaquant doit deviner, déduire et tenter d’obtenir des informations sur un système avant de pouvoir le compromettre.

Les grands acteurs de la menace, comme les groupes sponsorisés par les états, ont des méthodes parfaitement rodées pour mener à bien leurs attaques. Je ne parle évidemment pas des attaques brutales par ransomware par exemple, mais plutôt des attaques de type cyberespionnage, très lentes et silencieuses, qui font appel à des techniques de manipulation très poussées, à l’utilisation des émotions pour capter et retenir les victimes…

Je ne vais pas revenir sur ce sujet que j’ai traité dans un précédent article : « Penser en “biais”… pour comprendre les attaques par ingénierie sociale » (du 16/09/2019). Ce qui m’intéresse cette fois, c’est comment utiliser les biais contre nos adversaires. Comment prendre ces biais cognitifs à notre compte pour découvrir, comprendre, suivre nos adversaires, et pour déjouer leurs attaques ?

Le sujet est gigantesque tant il y a de points à aborder. Il mériterait un dossier à lui seul. Cependant, il y a un « petit » sujet qui attise ma curiosité depuis quelque temps. Certes, la technique n’est pas nouvelle, mais mon intérêt pour ce point l’est. Il s’agit de la technique du « pot de miel », ou honeypot.

Certaines équipes vont créer des honeypots intelligents, capables de réagir à une attaque, de se défendre, puis de céder.

Le honeypot, c’est le moyen technique mis en place pour attirer un attaquant vers un leurre. À la base, c’était fait pour concentrer les attaques en un point précis, et ainsi préserver autant que possible la véritable infrastructure. Autant dire qu’aujourd’hui, plus personne n’est dupe. Désormais, pour certains patrons de CERT, l’objectif n’est plus le même. En effet, certaines équipes vont créer des honeypots intelligents, capables de réagir à une attaque, de se défendre, puis de céder.

L’intérêt est immense pour ces équipes de Threat Hunting et de Threat Intel : analyser les comportements, découvrir de nouveaux outils, de nouvelles signatures, établir des cartographies, etc. Et pour ce faire, il faut savoir piéger l’attaquant en reproduisant des comportements qu’ils ont l’habitude de voir, en leur résistant, ou simplement en les ignorant.

Le biais cognitif devient donc une arme de défense qu’il faut savoir maîtriser pour retenir le plus longtemps possible un attaquant dans ses filets, et le laisser partir sans qu’il se doute qu’une partie de ce qu’il est et de ce qu’il a utilisé a été analysée.

Quelques références pour aller plus loin :

  • Bilaliü M, McLeod P., Gobet F. (2010) « The mechanism of the Einstellung (Set) effect: a pervasive source of cognitive bias ».
  • Arkes Hal, Blumer Catherine (1985). « The Psychology of Sunk Cost ». Organizational Behavior and Human Decision Processes 35.
  • Tversky A & Kahneman D. (1974). Judgments and Uncertainty: Heuristics and Biases.
  • Tversky A. & Kahneman D. (1973). « Availability: A Heuristic for Judging Frequency and Probability ». Cognitive Psychology.
  • Cohen F. (2011) Use of Deception Techniques : Honeypots and Decoys University of New Haven.
  • Information Security, Volume III « Threats, Vulnerabilities, Prevention, Detection and Management ».
  • CEIS I 2015 I « Renseignement, facteur humain et biais cognitifs. »
  • Duncker K. (1945). « Sur la résolution de problèmes. » Monographies psychologiques, (5, entier n° 270).
  • Nickerson, RS (1998). « Biais de confirmation : un phénomène omniprésent sous de nombreuses formes. » Revue de psychologie générale.
  • https://amadium.com/biais-cognitifs/
  • http://www.chabris.com/Woolley2010a.pdf
  • https://cryptosec.org/docs/FIC2019/FIC2019_Masterclass_BiaisCognitifs.pdf
  • Cheswick, B. « An evening with Berferd in which a Cracker is Lured, Endured, and Studied ».
  • Daniel Krawczyk, James Bartlett, Murat Kantarcioglu, Kevin Hamlen, Bhavani Thuraisingham « Measuring Expertise and Bias in Cyber Security Using Cognitive and Neuroscience Approaches ».
  • Luchins Abraham S. (1942). « Mechanization in problem solving ». Psychological Monographs.

Retrouvez ici le premier article de cette série, ainsi que le second, le troisième, et le quatrième.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)