Par Laurence Corroy , Université de Lorraine Si les adolescentes et adolescents se retrouvent confrontés de plus en plus précocement à de la pornographie en ligne, il leur est très difficile d’aborder le sujet avec des adultes. Retour sur une enquête de terrain alors que les éditeurs de sites sont sommés d’instaurer un contrôle d’âge pour l’accès à ces contenus sensibles. Dès que l’on parle des adolescents et de leurs relations au numérique, les débats se polarisent, sans qu’il y ait nécessairement le réflexe de recueillir leur témoignage. En recherche, il est pourtant extrêmement important de leur donner la parole, ce qui permet de mieux mesurer leur capacité d’analyse et de distance vis-à-vis des messages médiatiques. Dans le cadre de l’étude Sexteens , menée en Grand Est, nous avons rencontré plus d’une soixantaine d’adolescents pour évoquer avec eux les représentations de la sexualité et de l’amour dans les séries pour ados qu’ils regardent. Ces séries on...
Par Eric Heddeland, VP EMEA Europe du Sud & Marchés Émergents chez Barracuda Networks
Ils pourraient être installés dans une chambre obscure, enfoncés dans leurs sweats à capuche noir, en pianotant sur leur clavier à la recherche de vulnérabilités informatiques pour voler des données, faire dérailler un train ou encore diffuser un ransomware. Mais aujourd’hui, leur organisation internationale avec accès à des supports techniques dédiés, des toolkits clé en main vendus sur le net, les hackers ne sont pas forcément représentés par l’image d’Epinal classique des magazines informatique ou grand public. En effet, dans l’opinion publique, ces pirates du web nourrissent bien des fantasmes. Mais si en 2019, rien n’est inviolable tout se pirate et tout se transforme dans l’univers numérique, parfois de manière spectaculaire, du smartphone à Google Home en passant par un pacemaker, le hacking est surtout aujourd’hui une affaire d’usurpation d’identité. Elle repose de plus en plus sur une stratégie de mimétisme numérique à de fins douteuses : le social engineering. Pourquoi ? Comment ? Petit guide :
Leçon 1 : un travail de repérage minutieux
Fini les spams de masse, le social engineering ou ingénierie sociale a de quoi trouver sa source d’inspiration dans la nature. Car hacker un individu ou, une société, ressemble de près ou de loin à l’adoption de la stratégie du caméléon. Se fondre dans un environnement pour mieux se dissimuler. Ou bien ressembler à un individu pour mieux l’attaquer.
Dans ce cadre, la première étape s’appuie sur un travail de repérage minutieux de l’organisation d’une société donnée. Les hackers cherchent à comprendre quel individu est autour de la table, qui interagit avec qui et qui est hiérarchiquement positionné par rapport à un autre individu. Jamie Woodruff, un hacker éthique qui a percé les défenses des plus grandes entreprises californiennes tel Facebook, YouTube, Apple ou encore Google rapporte par exemple s’être fait embaucher comme livreur de pizza pour accéder aux serveurs d’une importante institution financière.
Leçon 2 : une analyse comportementale
La seconde étape du social engineering repose sur l’analyse comportementale de ces mêmes cibles. Il faut découvrir comment les protagonistes communiquent entre eux, comment ils se partagent l’info pour identifier une faille comportementale et installer un logiciel espion, non intrusif.
Puis vient l’action. Une fois les données sensibles recueillies (login, mot de passe), le hacker peut installer un logiciel de prise de contrôle à distance. Développer une stratégie de mime et d’usurpation d’identité. Le schéma est classique : se faire passer pour le PDG d’une société qui demanderait au service comptable de réaliser un virement sur le compte d’un nouveau client.
Leçon 3 : mafia digitale ou cyberguerre ?
Dans le hacking, l’usurpation d’identité a deux mobiles principaux. Le premier est d’ordre mafieux : escroquer, dérober, soutirer une somme d’argent à des entreprises à grands capitaux. Moins connu du public, le second mobile est d’ordre politique. Il s’invite comme une arme étatique de désinformation et de déstabilisation des régimes en place _ notamment démocratiques _ dans le cadre d’élections présidentielles.
En France, le cas le plus flagrant fut celui du MacronLeaks, lors de la campagne de La République en marche. Deux ans après l’élection, des preuves appuient l’implication d’un groupe de suprémacistes américains d’extrême droite dans la divulgation du contenu de 5 boîtes mails de membres du parti, faux documents et fake news au passage. Dans la même veine, les piratages subis par le parti démocrate d’Hillary Clinton durant la campagne présidentielle seraient, selon un rapport confidentiel de la CIA, l'œuvre de hackers russes pour favoriser la victoire de Donald Trump.
Face au hacking, l’enjeu de la cybersécurité s’impose comme un travail de décorticage. Elle consiste à justement passer au tamis l’ensemble des comportements de chaque utilisateur pour recréer des modèles comportementaux. Dès lors qu’il y a la moindre modification dans ce modèle comportemental, l’ordinateur émet une alerte et demande une validation physique complémentaire. Voilà là tout l’enjeu du Machine Learning. Tel était l’objet de la leçon n’°4.