Citation
Les auteurs
Jeanne Le Roy
- European Business SchoolOlivier Meier
(olivier.meier@iutsf.org) - UPEC
Copyright
Déclaration d'intérêts
Financements
Aperçu
Contenu
La stratégie des pots de miel
Les honeypots/honeynets sont des méthodes couramment utilisées pour piéger les attaquants en utilisant un contenu factice qui semble superficiellement attrayant pour un cyber criminel. Ils attirent un attaquant en imitant un système réel contenant des informations sensibles authentiques. En général, les pots de miel ne contiennent pas de contenu authentique et il n’y a pas de raison légitime pour qu’un individu accède à leurs services, ainsi toute activité au sein du pot de miel peut être considérée comme malveillante. Une fois que le cyber criminel a été attiré dans le pot de miel, il est dans l’intérêt du défenseur de l’y maintenir. Plus un attaquant passe de temps à interagir avec le pot de miel, plus il gaspille de temps et de ressources en se détournant des services, données et opérations authentiques. Le pot de miel peut sembler attrayant au départ, mais s’il s’avère qu’il est inintéressant ou, pire encore, qu’il s’agit d’un piège, le cyber criminel le laissera probablement tranquille. La construction de pots de miel attrayants est donc essentielle à leur efficacité. Une fois qu’un attaquant a été attiré par un pot de miel, il est plus facile de le retenir en exploitant les connaissances sur les heuristiques de jugement et les biais cognitifs. Parmi les biais cognitifs robustes pouvant impacter les prises de décisions des attaquants, citons les suivants :
Aversion pour l’ambiguïté
L’ambiguïté est définie comme une incertitude sur une probabilité inconnue. Dans le domaine de la cybersécurité, l’aversion pour l’ambiguïté peut être particulièrement applicable aux attaquants qui cherchent à maximiser le succès opérationnel tout en restant non détectés et en conservant l’accès. Ainsi, l’aversion pour l’ambiguïté prend la forme d’un biais décisionnel lorsque l’on choisit l’option la plus sûre, tout en évitant l’option dont la probabilité est inconnue. En d’autres termes, l’ambiguïté quant au résultat positif ou favorable d’une décision conduit l’attaquant à éviter l’option ambiguë. Les intrusions dont les risques associés sont inconnus peuvent finir par « griller » les cybers criminels qui s’éternisent et finissent par déclencher les systèmes de défenses en alertant les propriétaires du système. Par conséquent, les attaquants sont plus susceptibles de limiter leurs activités à celles dont les risques et les taux de réussite sont connus. Exception faite des menaces persistantes avancées qui suivent souvent des protocoles d’intrusions bien testés pour maximiser leurs chances de succès. L’aversion pour l’ambiguïté peut être moins pertinente pour les attaquants peu sophistiqués (« script kiddies ») qui ne sont pas susceptibles de comprendre pleinement les outils adverses qu’ils utilisent ou les défenses de la cible.
Aversion aux pertes
L’aversion aux pertes, peut être décrite par l’idée que les attaquants préfèrent généralement éviter les pertes plutôt qu’acquérir des gains. Par exemple, le fait de perdre 100 euros est pire que le fait de gagner 100 euros. L’aversion pour les pertes pourrait expliquer pourquoi les attaquants sont plus réticents à déployer des exploits (élément de programme permettant à un attaquant d’exploiter une faille de sécurité informatique ) « Zero Day » dans leur chaîne d’attaque, même si l’utilisation d’un tel exploit garantit l’accès à un bien ciblé. En effet, les véritables exploits « Zero Day » de grande valeur sont rares et coûteux et peuvent ne plus être efficaces si les défenseurs sont en mesure de détecter l’attaque et de déployer des défenses efficaces. Plus un exploit de type « Zero Day » est utilisé, plus il a de chances d’être détecté et rendu obsolète. De la même manière que les antibiotiques ciblés sont réservés aux infections résistantes aux médicaments, les attaquants ont tendance à limiter l’utilisation des exploits « Zero Day » de grande valeur, quand le besoin de réussite est critique ou que les autres options disponibles ont échoué. Notons toutefois l’exception des attaquants financés par certains États-nations à « fonds souverains » et par des opérations de piratage commercial disposant alors des budgets nécessaires pour développer ou acquérir des exploits « Zero Day » coûteux et de grande valeur. L’aversion pour la perte est alors moins applicable pour ces équipes, puisque l’argent peut être dépensé librement pour remplacer les exploits utilisés. Ces groupes peuvent également être moins préoccupés par la constitution de stocks stratégiques, qui est souvent une priorité pour d’autres groupes d’attaquants. Dans une stratégie de défense, il est alors important d’identifier les profils des cybercriminels susceptibles d’attaquer et leur financement éventuel.
L’effet Peltzman
L’effet Peltzman est la tendance à prendre plus de risques lorsque la sécurité perçue augmente. Benedettini et Nicita (2012) affirment que l’augmentation de la sécurité (ou la perception de celle-ci) dans un domaine tend également à affecter le comportement dans d’autres domaines. Par exemple, la réaction d’un conducteur à l’adoption d’un nouveau code de la route qui exige que tous les passagers portent la ceinture de sécurité, peut l’inciter à prendre plus de risques (par exemple, à rouler plus vite). Cela s’explique par le fait que le conducteur a l’impression que la sécurité de tous les passagers a augmenté, ce qui atténue la conduite sécuritaire. Dans le domaine de la cybercriminalité, les attaquants utilisent souvent des proxies de réseau soit des programmes intermédiaires permettant l’accès à un autre réseau. Ces programmes servent à masquer l’emplacement réel des attaquants, fournissant ainsi une couche imparfaite mais souvent efficace d’anonymat à la source des attaques. Même les attaquants peu avertis (« script kiddies ») utilisent régulièrement des proxies pour se protéger de l’attribution et des conséquences ultérieures de leurs actions. Les décisions plus risquées des attaquants sont notamment reflétées dans le mème populaire : « Bonne chance, je suis derrière 7 proxies », faisant référence à l’utilisation de proxies comme protection contre les conséquences. Cette impression de protection supplémentaire enhardit les attaquants.
L’erreur des coûts irrécupérables / l’escalade de l’engagement
Les attaquants ont tendance à poursuivre une stratégie spécifique en raison de leurs investissements antérieurs, tels que l’argent, les efforts ou le temps. Les coûts déjà dépensés devraient être évalués comme étant » irrécupérables » et avoir moins de poids que les investissements actuels ou progressifs. Dans le cas du sophisme des coûts irrécupérables, un raisonnement biaisé peut conduire à la décision de poursuivre le travail même si cette décision peut être plus coûteuse et risquée que l’abandon de l’effort. Ce sophisme est lié à l’aversion pour la perte, selon laquelle la douleur potentielle de perdre une ressource est plus grande que le plaisir potentiel de la gagner. Ainsi, un attaquant qui passe trop de temps sur un élément, tel que le contrôleur de domaine, plutôt que de passer par une autre voie est un exemple de l’erreur des coûts irrécupérables. En particulier, lorsque des cibles de grande valeur ont déjà été identifiées, un attaquant aurait intérêt à passer à l’une des nouvelles cibles (Dykstra, Shortridge, Met, & Hough, 2022). Ce type de mauvaise prise de décision dans les activités adverses apparaît également dans les compétitions de capture du drapeau et les défis de piratage limités dans le temps, tels que la nuit du hack ou encore l’examen final de piratage pratique de la certification Offensive Security Certified Professional (OSCP). Lors de l’examen final de l’OSCP, les sujets disposent de 24 heures pour attaquer avec succès et obtenir des « drapeaux » (preuve qu’ils ont obtenu un accès root/administratif au système cible) sur plusieurs systèmes cibles virtuels distants. Une cause fréquente d’échec rapportée par ceux qui entreprennent cet examen est le fait de passer trop de temps à se concentrer sur un seul système qui s’est avéré difficile à attaquer avec succès. Ceci fait également écho au phénomène de tunnelisation de l’attention identifié. Malgré les guides qui mettent en garde contre ce comportement, les candidats à l’OSCP continuent de tomber dans ces trous de lapin virtuels, gaspillant des ressources en temps limitées et mettant en danger leur réussite.
La compréhension des biais de prise de décision chez les cyber-adversaires est une composante essentielle de l’évolution des systèmes défensifs. Ces biais opèrent au-delà de la conscience et sont difficiles à atténuer. Les objectifs des cyber-défenseurs sont d’induire et d’exacerber les biais dans la prise de décisions des cybers attaquants mais également de détecter et d’atténuer les biais cognitifs des cyber défenseurs. Les recherches à venir devront comprendre une analyse plus approfondie de ces biais et d’autres biais afin d’étudier plus avant leur impact sur les cybers attaquants.
Bibliographie
Benedettini, S., & Nicita, A. (2012). The costs of avoiding accidents: Selective compliance and the ‘Peltzman effect’in Italy. International Review of Law and Economics, 32(2), 256-270.
Dykstra, J., Shortridge, K., Met, J., & Hough, D. (2022). Opportunity Cost of Action Bias in Cybersecurity Incident Response. Conference: Human Factors and Ergonomics Society Annual Meeting.
Johnson, C. K., Gutzwiller, R. S., Gervais, J., & Ferguson-Walter, K. J. (2021, November). Decision-Making Biases and Cyber Attackers. In 2021 36th IEEE/ACM International Conference on Automated Software Engineering Workshops (ASEW) (pp. 140-144). IEEE.
Krawczyk, D., Bartlett, J., Kantarcioglu, M., Hamlen, K., & Thuraisingham, B. (2013, June). Measuring expertise and bias in cyber security using cognitive and neuroscience approaches. In 2013 IEEE International Conference on Intelligence and Security Informatics (pp. 364-367). IEEE.
Goh, Z. H., Hou, M., & Cho, H. (2022). The impact of a cause–effect elaboration procedure on information security risk perceptions: a construal fit perspective. Journal of Cybersecurity, 8(1), tyab026.
