Mark T.Hofmann est un psychologue d’affaires très reconnu, un analyste de la criminalité et du renseignement et un expert en profilage comportemental et cybernétique. Conférencier, consultant et formateur recherché dans le secteur de la cybersécurité, il a aidé la police, les agences gouvernementales et les ONG du monde entier à identifier et à atténuer les cybermenaces.
Nous discutons avec lui des tendances de la cybercriminalité, des traits typiques des hackers et des dangers des deepfakes.
En quoi le profilage de la cybercriminalité diffère-t-il des autres types de profilage criminel ?
Le profilage de la cybercriminalité est une discipline complètement différente, mais il existe certaines méthodes traditionnelles de profilage criminel qui peuvent également être appliquées au cyberespace. Par exemple, le FBI dispose depuis longtemps de méthodes d’analyse des lettres de menace pour déterminer leur gravité (appelée évaluation de la menace) ou pour identifier les auteurs. Aujourd’hui, ces lettres prennent la forme d’e-mails ou d’autres messages cryptés, mais le principe sous-jacent reste le même. Des phénomènes tels que le cyber-harcèlement et le cyber-harcèlement ne sont pas non plus entièrement nouveaux, car ce sont simplement des formes modernes de harcèlement et d’intimidation.
Cependant, les pirates et autres délinquants du cyberespace sont en moyenne beaucoup plus intelligents et plus difficiles à attraper que les autres criminels. Bien qu’il existe un stéréotype selon lequel les tueurs en série sont très intelligents – à la manière du Dr Hannibal Lecter -, mon travail et mes recherches indiquent que les personnes dotées de ce type d’intellect exceptionnel se trouvent exclusivement parmi les criminels en col blanc et les cybercriminels. Ces personnes sont souvent fières de leurs capacités de piratage et les considèrent comme un ensemble de compétences précieuses.
Quels sont les traits de personnalité ou les caractéristiques psychologiques courants des cybercriminels ?
Les traits communs parmi les hackers sont une intelligence jeune, masculine, bien éduquée et supérieure à la moyenne. Ils adoptent un comportement de recherche de sensations fortes et apprécient le défi de battre le système. Je décrirais également beaucoup (mais pas tous) comme une sorte d’anarchiste numérique ou d’hacktiviste qui vise à « désobéir » au système.
Cependant, il est important de comprendre que la plupart des pirates commencent à apprendre le métier entre 11 et 15 ans. Ils peuvent initialement commettre des délits mineurs tels qu’espionner des camarades de classe, pirater le système scolaire ou commettre une fraude par carte de crédit. Ces gosses de 11 ans sont-ils des psychopathes gourmands ? Non. Au contraire, ils recherchent l’attention, l’appréciation, la confirmation – pour être significatifs, être quelqu’un, être vus. jeans de nombreuses écoles, il y a un groupe, une équipe de football et un club de débat, mais il n’y a pratiquement pas de parrainage pour les talents informatiques de 11 ans. Ce n’est pas comme s’ils pouvaient obtenir un stage ou un emploi à temps partiel à 11 ans. Personne ne le prend au sérieux. Mais quand il pirate une entreprise : Soudain, ils le prennent au sérieux. Maintenant, ils doivent écouter.
La plupart des pirates commencent à apprendre le métier entre 11 et 15 ans. Ils peuvent initialement commettre des délits mineurs tels que l’espionnage de camarades de classe, le piratage du système scolaire ou la fraude par carte de crédit. Ces gosses de 11 ans sont-ils des psychopathes gourmands ? Non. Au contraire, ils recherchent l’attention, l’appréciation, la confirmation – pour être significatifs, être quelqu’un, être vus.
La National Security Agency (NSA) propose régulièrement des énigmes et des défis cryptographiques, donnant aux jeunes talents la possibilité d’utiliser leurs compétences pour de bon. Cette approche est tout à fait juste. Sinon, les enfants apprennent le piratage sur YouTube, sur le darknetet passez rapidement du « côté obscur ».
Quel type d’informations est nécessaire pour établir un profil précis d’un pirate ?
Dans le cyber-profilage, la langue est la clé – c’est souvent la seule chose qui peut être analysée, d’un point de vue psychologique. Et il est fréquemment impliqué dans des cybercrimes, tels que e-mails d’hameçonnageles appels de vishing (pêche vocale), les négociations de rançon, les messages menaçants, les chats et les messages du forum darknet.
Alors que de nombreuses personnes connaissent les dialectes, qui sont des différences régionales dans l’utilisation de la langue, il existe également un concept appelé «idiolecte», qui est un dialecte personnel qui agit comme une empreinte linguistique. Combinez cela avec l’IA, et il est tout à fait possible de reconnaître les individus en fonction de leurs idiolectes. Cependant, en toute pratique, si vous êtes en mesure de déterminer d’où vient quelqu’un, s’il écrit dans sa langue maternelle, si vous faites affaire avec un groupe — c’est déjà utile.
Vous avez dit que l’erreur humaine représente 90 % des cyberattaques réussies. Pouvez-vous préciser ce que vous entendez par là ?
Les cyberattaques concernent des personnes qui cliquent sur des liens, des personnes qui ouvrent des pièces jointes, des personnes qui révèlent leurs mots de passe au téléphone, des personnes qui décrochent et branchent des clés USB par curiosité, des personnes qui tombent dans des pièges à miel, des personnes qui parlent fort de sujets sensibles à l’aéroport, les personnes qui se connectent à des réseaux Wi-Fi étrangers, les personnes qui laissent leur ordinateur portable déverrouillé dans les salons d’affaires ou dans le train. Du rançongiciel à l’espionnage, il est clair que les gens sont le maillon le plus faible. Bruce Schneier a dit un jour “Les amateurs piratent les systèmes, les professionnels piratent les gens”. Il a sacrément raison.
En 2019, les e-mails de phishing ont été utilisés pour voler plus de 100 millions de dollars à Google et Facebook. Si cela peut leur arriver, cela pourrait arriver à n’importe quelle entreprise.
Bruce Schneier a dit un jour “Les amateurs piratent les systèmes, les professionnels piratent les gens”. Il a sacrément raison.
Vous avez parlé du concept d’une société qui devient un « pare-feu humain » contre la cybercriminalité. Que veux-tu dire par là?
Même si une entreprise dispose d’un super pare-feu et d’une infrastructure informatique avancée, il suffit qu’un pirate appelle un employé et le manipule pour donner accès à des données ou se faire passer pour le patron et ordonner un transfert d’argent. Il n’y a rien que vous puissiez faire techniquement pour empêcher l’attaque. Il est important de comprendre que la cybersécurité est une tâche de gestion et devrait être une priorité de niveau C. La cybersécurité est une combinaison de sécurité technique et de sensibilisation humaine à la cybersécurité.
Pensez-vous que les deepfakes ont le potentiel de rendre les attaques d’ingénierie sociale plus dangereuses en utilisant des visuels ou des sons convaincants pour tromper les gens ?
Absolument. Faux faux amènera la fraude au PDG à un tout autre niveau. Les criminels peuvent “voler” le visage et/ou la voix de quelqu’un à partir de podcasts, d’interviews télévisées ou de conférences sur YouTube et utiliser cette identité pour commettre une fraude au PDG ou autre usurpation d’identité. C’est incroyable à quel point la qualité des deepfakes bien faits est convaincante aujourd’hui – vous ne reconnaîtriez même pas votre propre mère.
À Dubaï, il y a eu un cas où la technologie vocale profonde a été utilisée pour voler une banque de 35 millions de dollars. Les pirates ont “volé” la voix d’un directeur de banque pour manipuler un employé afin qu’il effectue une transaction. Le braquage de banque avec la technologie vocale profonde offre un aperçu de l’avenir.
D’après votre expérience en tant qu’analyste de la cybercriminalité, quels sont les changements ou changements les plus notables dans les tendances de la cybercriminalité que vous avez observés ces dernières années ?
Pour moi, les trois principales tendances en matière de cybercriminalité et d’ingénierie sociale sont :
- Faux faux (comme expliqué ci-dessus)
- ChatGPTcar il élargit le cercle des auteurs possibles et abaisse le “niveau d’entrée” en leur donnant les outils dont ils ont besoin pour produire du texte pour ingénierie sociale et la désinformation. Il peut même produire du code lui-même.
- Crime en tant que service les structures (c’est-à-dire le modèle commercial consistant à fournir des outils et des services cybercriminels à d’autres criminels) se professionnalisent. Ils fonctionnent comme des entreprises mais encore mieux plus efficacement que beaucoup. Ils ont construit une véritable économie dans le noir.
Quels sont les mythes courants sur la cybercriminalité qui doivent être démystifiés, et comment pouvons-nous éduquer le public pour qu’il soit plus conscient et informé sur ces problèmes ?
Le pire mythe est que les petites entreprises croient qu’elles ne seront pas affectées par les cyberattaques parce qu’elles ne sont pas assez intéressantes ou trop petites. Mais c’est faux; même les jardins d’enfants et les dentistes sont attaqués. Il existe deux types d’entreprises : celles qui ont été attaquées et celles qui seront attaquées. La seule question est de savoir si une entreprise est prête lorsque quelqu’un essaie de l’attaquer. C’est une question de sensibilisation et de préparation.
Et le mythe le plus célèbre de tous : Non, les pirates ne portent pas toujours des sweats à capuche noirs.
Pour éduquer la population en général, les discussions sur la cybercriminalité doivent être plus divertissantes, plus passionnantes. Je participe à de nombreuses cyberconférences de Berlin à Dubaï, où des experts discutent avec des experts de sujets spécialisés. C’est bien, mais au final c’est la réceptionniste qui ouvre le lien ou révèle le mot de passe. En tant que conférencier, je fais de mon mieux pour intéresser les gens au sujet alors qu’ils ne seraient autrement pas intéressés.
Il existe deux types d’entreprises : celles qui ont été attaquées et celles qui seront attaquées.
Avec l’essor de l’intelligence artificielle, comment voyez-vous l’IA jouer un rôle bénéfique dans le profilage des pirates et l’identification des tendances de la cybercriminalité ?
Dans la course entre hackers et fournisseurs de sécurité, les deux camps sont équipés d’IA, ce qui accélère la concurrence. Par exemple, il existe un outil appelé “Gender Guesser” sur Hacker Factor, un site Web de recherche médico-légale, qui peut utiliser quelques mots de conversation pour faire une déclaration de probabilité sur le sexe de la personne, basée sur des données sur la façon dont les hommes et les femmes diffèrent dans en écrivant.
Donc, si une IA peut déjà identifier mon sexe à partir de 10 mots, imaginez ce qu’elle peut faire en analysant 10 000 e-mails. Une empreinte linguistique ? Possible. Il est important de noter que l’IA peut donner un avantage aux délinquants mais aussi à la police et aux agences de renseignement.
Pensez-vous qu’une réglementation gouvernementale des deepfakes est nécessaire, et si oui, à quoi devrait ressembler cette réglementation ?
Pour l’IA en général, je dirais : les chances d’abord, la réglementation ensuite. L’Europe discute de l’interdiction de ChatGPT. Je pense que c’est terriblement stupide.
Cependant, en ce qui concerne les deepfakes, j’arrive à une conclusion différente. Les deepfakes sont exactement cela ; faux, fausses identités. De la manipulation électorale à la diffamation, de la cyberintimidation à la fraude du PDG, je ne peux essentiellement penser qu’aux mauvaises choses que vous pouvez faire avec eux. Sauf les vidéos drôles. Dans ce cas, une sorte de vérification (ou peut-être l’utilisation de NFT) pourrait être la réponse. Récemment, il y a eu une (fausse) photo virale de le pape dans une veste élégante. Désormais, même les journalistes doivent se demander lorsqu’ils voient une photo ou une vidéo : est-ce réel ? Nous avons atteint le point où nous ne pouvons plus en croire nos yeux.
Mark T. Hofmann est un expert dans le domaine du profilage comportemental et cybernétique. Il est un analyste renommé de la criminalité et du renseignement, un psychologue des affaires et un conférencier invité qui a été présenté sur diverses plateformes d’information, telles que CNN, CBS et 60 Minutes Australia. Passionné de cybersécurité, il vise à inspirer les gens du monde entier à devenir un « pare-feu humain » et à combattre la menace croissante de la cybercriminalité.
À travers ses discours liminaires, Hofmann se penche sur la psychologie de la cybercriminalité, répondant à des questions telles que ce qui motive les pirates informatiques et quelles sont leurs dernières techniques d’ingénierie sociale. Hofmann offre des ressources précieuses aux personnes qui souhaitent en savoir plus sur la cybersécurité et être mieux équipées pour se protéger contre la cybercriminalité. Visitez son site web pour plus d’informations.