Page d'accueil // Université // Actualités // À la une // Ingénierie sociale : un mot de passe contre du chocolat

Ingénierie sociale : un mot de passe contre du chocolat

twitter linkedin facebook google+ email this page
Publié le mercredi 04 mai 2016

Pour les pirates informatiques, il est très compliqué de programmer un cheval de Troie et de l'infiltrer dans les ordinateurs de particuliers ou d'entreprises. Ils ont donc de plus en plus recours à des stratégies psychologiques pour manipuler les utilisateurs et les inciter à leur livrer de leur plein gré leurs données d'accès. Cette méthode est connue sous le nom d'« ingénierie sociale ».

Un outil de manipulation efficace...

Des psychologues de l'Université du Luxembourg ont mené pour la première fois une étude à grande échelle sur 1 208 participants, pour comprendre comment une personne pouvait être amenée à partager ses mots de passe avec une personne qui lui est totalement étrangère, en l'échange de quelques menues faveurs.

« L'ingénierie sociale cible le maillon le plus faible de la chaîne et, en l'occurrence, il s'agit de l'utilisateur », explique le Dr André Melzer, co-auteur de l'étude Trick with treat – Reciprocity increases the willingness to communicate personal data, publiée dans la dernière édition de la célèbre revue scientifique Computers in Human Behavior. « Concrètement, nous avons étudié le concept psychologique de réciprocité. Lorsque quelqu'un se comporte bien envers nous, nous nous sentons automatiquement obligés de lui rendre la pareille. Ce principe est universel et il est important pour notre vie en société. Toutefois, cette pression intérieure peut également être utilisée de manière ciblée pour atteindre des objectifs précis tels que la divulgation d'un mot de passe. »

...et un petit plus pour convaincre

L'expérience menée par les scientifiques consistait à interroger des passants choisis au hasard sur leur rapport avec la sécurité informatique et à leur demander de dévoiler leur mot de passe. Les personnes qui menaient l'entretien portaient des sacs de l'Université du Luxembourg, mais les personnes interrogées étaient de parfaits inconnus.

À une frange d'entre eux, les scientifiques ont offert du chocolat avant de leur demander leur mot de passe. Aux autres, ils ont offert du chocolat après l'entretien, de sorte que leurs réponses ne soient pas influencées. Résultat, ce cadeau en soi insignifiant augmentait toutefois significativement la probabilité que les personnes dévoilent leur mot de passe. Lorsque le chocolat était offert à l'issue de l'entretien seulement, les personnes révélaient leur mot de passe dans 29,8 pour cent des cas. Si elles se voyaient offrir du chocolat avant l'entretien, elles étaient prêtes à le livrer dans 43,5 % des cas. La propension à donner son mot de passe était encore plus importante lorsque le chocolat était offert juste avant que la question concernant le mot de passe soit posée : dans ce cas de figure, la pression intérieure ressentie semblait si élevée que 47,9 % des personnes confiaient leur mot de passe – contre 39,9 % lorsqu'elles avaient reçu le cadeau avant le début de l'entretien.

Cette étude montre avec quelle facilité de nombreuses personnes se laissent manipuler grâce à de simples incitations et au mécanisme de la réciprocité. « Cette simulation d'attaque ne constitue en aucun cas une stratégie criminelle sophistiquée. Et pourtant, alors que de telles attaques peuvent être lourdes de conséquences pour les individus ou les entreprises, nombreux sont ceux qui n'ont pas conscience du danger », conclut le Dr Melzer.

- - -
L'étude a été soutenue et financée par le Ministère de l'Économie luxembourgeois et par l'initiative Security made in Lëtzebuerg.