À mesure que les développeurs continueront d'inventer de meilleures mesures de sécurité, rendant l'exploitation de failles techniques de plus en plus difficiles, les agresseurs se tourneront davantage vers l'exploitation de l'élément humain. Percer le pare-feu humain est souvent facile, ne requiert aucun investissement (si ce n'est en appels téléphoniques) et implique un risque minimum.
Avec le temps, et quelle que soit l’excellence de notre formation, nous finissons par négliger certaines procédures. Nous oublions alors cette formation au moment critique, c’est-à-dire précisément au moment où nous en avons besoin. On pourrait penser qu’à peu près tout le monde sait (ou devrait savoir) qu’il ne faut pas donner son nom d’utilisateur et son mot de passe.
Chacun devrait être averti du modus operandi du manipulateur : il rassemble le plus d’informations possible sur la cible et les utilise pour inspirer confiance au même titre qu’un initié. Puis il attaque tous azimuts.
Si beaucoup de gens s’ingénient à chercher les meilleures affaires, les manipulateurs, eux, ne « cherchent » pas une meilleure affaire, ils « trouvent » le moyen d’en faire une. Par exemple, les entreprises lancent parfois des campagnes de marketing tellement alléchantes que l’on peut difficilement les ignorer : dans ce cas, les manipulateurs étudient l’offre et se demandent
comment ils peuvent conclure l’affaire.
Il est dans la nature humaine de croire nos semblables, en particulier lorsqu’ils formulent des demandes qui paraissent raisonnables. Les manipulateurs utilisent ce point faible pour exploiter leurs victimes et atteindre leurs buts.
En réalité, une personne malveillante peut mettre à mal la sécurité d’une entreprise simplement en se procurant certains renseignements ou documents : il s’agit généralement d’informations qui paraissent tellement anodines, tellement courantes et sans importance que la plupart des employés ne voient aucune raison de les protéger ou d’en contrôler la diffusion.
La sécurité d’une société est une question d’équilibre. Si la sécurité pèche par défaut, votre entreprise est vulnérable ; si elle pèche par excès, cela conduit plutôt à délaisser les affaires courantes, paralysant la croissance et la prospérité de l’entreprise. Le défi consiste à atteindre un équilibre entre sécurité et productivité.
Naturellement, la supercherie n’est pas le seul outil du manipulateur. Le terrorisme physique crée les événements les plus importants, et nous en sommes venus à réaliser comme jamais auparavant que le monde est dangereux. La civilisation n’est, après tout, qu’un mince vernis.
On entend souvent dire qu’un ordinateur sûr est un ordinateur éteint. Cela peut paraître judicieux, mais c’est faux : un manipulateur peut persuader quelqu’un d’entrer dans un bureau et d’allumer l’ordinateur. Un adversaire qui veut vos informations les obtiendra, généralement par différents moyens. Ce n’est qu’une question de temps, de patience, de personnalité et
d’obstination. C’est là que l’art de la supercherie entre en scène.
Une société qui achète les meilleures technologies de sécurité disponibles dans le commerce, qui forme son personnel à verrouiller tous ses secrets avant de quitter l’entreprise le soir et qui engage des vigiles auprès de la meilleure entreprise de gardiennage, n’en reste pas moins vulnérable.
On peut dire que le « métier » d’expert en persuasion comprend deux spécialités. Celui qui escroque et vole l’argent d’autrui appartient à la catégorie de l’escroc. Celui qui use de supercherie, de persuasion et de son pouvoir d’influence à l’encontre des entreprises, en visant généralement leurs informations, appartient à l’autre catégorie, celle du manipulateur.
Certains se lèvent tous les matins en appréhendant la routine de leur journée de travail. Pour ma part, j’ai toujours eu la chance d’aimer mon travail. Vous n’imaginez pas les défis, les récompenses et le plaisir que j’ai eus pendant la période où j’étais détective privé. J’ai développé mes talents dans cet art que l’on appelle le « social engineering », la
manipulation (qui consiste à obtenir des gens qu’ils fassent ce qu’ils ne feraient normalement pas pour un étranger) et ai été rémunéré pour cela.
Au lycée, l’un de mes tours favoris consistait à obtenir un accès a priori non autorisé au commutateur téléphonique et à changer la « catégorie de service » d’un camarade phreaker. Lorsqu’il tentait de passer un appel de chez lui, il entendait un message qui lui demandait d’insérer une pièce, car le commutateur de l’opérateur téléphonique avait reçu une information
indiquant qu’il appelait d’un téléphone payant.
Ma première rencontre avec un manipulateur a eu lieu pendant mes années de lycée, lorsque j’ai fait la connaissance d’un étudiant totalement accaparé par un hobby appelé phreaking (le piratage téléphonique). Il s’agit d’un type de hacking qui permet d’explorer le réseau téléphonique en exploitant les réseaux et les employés des opérateurs téléphoniques. Cet étudiant
m’a montré les astuces qu’il pouvait mettre en pratique avec un téléphone : par exemple, obtenir n’importe quel renseignement qu’un opérateur téléphonique détenait sur un client ou utiliser un numéro de test confidentiel pour passer gratuitement des appels longue distance. (En fait, ils n’étaient gratuits que pour nous. J’ai découvert beaucoup plus tard qu’il ne
s’agissait nullement d’un numéro confidentiel, et que les appels étaient en réalité facturés à une innocente entreprise.)