Dernièrement j'ai répondu à quelques questions pour The Human Hack. J'en partage ici les réponses. En effet, la tendance comportementale semble être une bonne réponse aux menaces cyber. En jeu, la prise en compte des facteurs psychologiques et cognitifs humains. En effet, dans 85 % des failles de cybersécurité, c'est l"humain qui est impliqué. Décryptage.
L'humain au coeur des failles de cybersécurité
C'est un aspect que j'avais déjà développé pour la revue scientifique The Conversation, autour de la fraude au président. Je m'étais alors intéressée aux techniques de manipulation et d'influence développée par les fraudeurs. Une étude basée initialement sur un corpus à la fois écrit et audio (échanges mails et enregistrements entre fraudeurs et "victimes").
La plupart du temps, les fraudeurs jouent sur nos biais cognitifs. Bruno Teboul le rappelle :
« Plusieurs biais cognitifs principaux sont exploités par les cybercriminels. Parmi eux, le biais d’autorité, reposant sur la sensibilité des individus à la hiérarchie ; le biais d’empathie s’appuie sur la confiance accordée aux profils bienveillants, chaleureux et attentionnés ou encore le biais de rareté repose sur la sensibilité à l’urgence et est donc exploité pour faire succomber la victime à l’escroquerie au plus vite. »
Mon approche est centrée sur l'analyse des éléments linguistiques et comportementaux, à partir des mots et de la voix notamment. Il s'agit à chaque fois d'établir un portrait comportemental (ou profilage) pour faire émerger les traits de personnalité et les rouages sous-jacents au discours.
L'interview "Sémiologie comportementale et Cybersécurité"
Est-ce que vous pourriez nous donner une définition de la sémiologie ?
La sémiologie est une discipline scientifique. C’est une branche de la
linguistique qui ouvre l’analyse à tous les signes de la vie sociale. Par
exemple, les mots bien sûr, mais aussi tous les éléments de la
communication : le contexte, les symboles, les gestes, les comportements, les
dispositifs, les espaces, etc. C’est une discipline très vaste et passionnante,
avec une méthodologie rigoureuse qui lui est propre.
Les symboles visuels, tels que les cadenas, les images sombres de
hackers, de virus et d'avertissement sont couramment utilisés dans la
communication sur la cybersécurité. Comment ces symboles et images
influencent-ils la perception du public et des professionnels concernant
les menaces et les mesures de sécurité ?
Les symboles utilisés dans nos communications et dispositifs numériques se
déploient sur différents registres. Le premier est codifié et intentionnel : nous
utilisons, par exemple, le cadenas volontairement pour signifier « la sécurité ».
C’est un langage codifié et symbolique, émergeant dans une pratique
culturelle. Mais il y a un autre niveau, cette fois-ci plus inconscient et moins maîtrisé : les mots que l’on choisit, et la manière dont ils sont agencés entre
eux, par exemple, peuvent trahir des traits de personnalité du locuteur voire de
l’entreprise, des valeurs et motivations prioritaires, et une certaine vision du
monde.
On observe souvent dans les contenus de sensibilisation à la
cybersécurité l'utilisation d’expressions telles que "la cybersécurité pour les nuls ou pour Mme Michu", ou des comparaisons entre la
cybersécurité et l'hygiène (« les mots de passe, c’est comme les slips, ça se change régulièrement »). Dans quelle mesure ce choix de langage
peut-il influencer la perception du grand public sur la cybersécurité ?
Les exemples que vous soulevez sont très intéressant. En effet, il existe toute
une branche de la linguistique, dite cognitiviste, qui s’intéresse à la manière
dont les métaphores et autres images créent en nous plus que des
représentations, elles façonnent notre rapport au monde. Aussi, la notion
d’hygiène corporelle mentionnée, est traduite comme une hygiène de vie et/
ou comportemental en « dressant » un portrait de l’utilisateur idéal. Il s’agit
également d’appuyer, grâce à un registre humoristique dont le but est de faire
baisser la tension, sur le biais de conformité sociale (qui oserait se balader
dans la rue avec un slip sale ?)
Pouvez-vous nous en dire plus sur votre domaine ? Comment la linguistique s'intègre-t-elle dans cet environnement de la cybersécurité ?
Il y a également tout l’aspect, moins connu, de l’application de la linguistique
au domaine de la cybersécurité, sorte de « profiling » qui aide à l’élaboration
d’un portrait robot des criminels. En effet, il existe toute une autre branche de
la linguistique, très exploitée aux USA, qui se nomme « Forensic Linguistics ».
Cette dernière utilise l’analyse du langage pour faire émerger des indices.
L’analyse du linguiste peut ensuite être présentée au juge, comme preuve
dans un contexte judiciaire. De nombreux terroristes ont été appréhendés par les forces de police grâce au travail de décryptage des lettres de corbeau
reçues. Je prends cet exemple dans mon dernier ouvrage :
Avez-vous entendu parler de Unabomber ? Il s’agit d’un terroriste qui a rendu la vie du FBI infernale. Heureusement, ces derniers ont eu la riche idée de faire appel à un linguiste pour décortiquer les lettres anonymes envoyées par le terroriste. Et qu’a-t-il découvert ? Dans une de ses lettres, le criminel s’épanche et se plaint de sa dure condition. Voici un extrait de ce qu’il a écrit : « [...] searching the sierras for a place isolated enough to test a bomb » (traduction : « [...] cherchant dans les sierras un endroit suffisamment isolé pour tester une bombe »). Le terme « sierras » interpelle dans ce contexte, car il est rare qu’il soit employé sans majuscule, qui plus est au pluriel. Voici qui met notre linguiste sur une piste. Dans une autre lettre, Unabomber commet plusieurs fois la même faute d’orthographe. Il écrit notamment le mot « instalment » (traduction : versement) avec un seul l. De même pour les mots « fulfilment » (accomplissement) et « skilfully » (habilement). En réalité, cette manière d’écrire n’est pas vraiment incorrecte : elle est validée depuis une réforme de l’orthographe adoptée par les Américains quelques décennies auparavant. Une indication de plus sur l’âge probable du terroriste. Par ailleurs, ce dernier utilise des expressions particulières, comme « child-rearing » (« élever une famille »), là où communément on s’attendrait plutôt à des tournures du type « raising a family », ou encore « raising children ». Et cette tournure ne se retrouve pas n’importe où, uniquement au nord des États-Unis. Un autre indice, géographique cette fois, qui va aider à coincer le criminel quelque temps plus tard. Ce que les gestes et les mots disent des autres (éditions Courrier du Livre)
Dans le cadre de la cybersécurité, il peut s’avérer judicieux de passer au
peigne fin les mails de menace reçus. Notamment pour établir un profil du
hacker. On se pose ainsi certaines questions telles que les fautes
d’orthographe, les manières d’écrire, les tournures de phrase qui peuvent
trahir l’âge des individus et leur niveau d’éducation, mais aussi leur origine géographique. On regarde éventuellement les métaphores et expressions afin
de savoir, par exemple, si la menace est interne ou externe. Cela c’est du côté
de l’émetteur. Côté récepteur, il faut également savoir que nous ne sommes
pas tous sensibles de la même manière aux messages de phishing.
Comments