Un laboratoire du CNRS et Signal Spam s’allient pour mieux combattre le phishing
Face à ce fléau en ligne, source de nombreuses arnaques, le Laboratoire d’analyse et d’architecture des systèmes de Toulouse collabore avec une association spécialisée dans la lutte anti-spam. L’objectif ? Caractériser les techniques psychosociales employées par les escrocs pour mieux les contrer.
Quelles sont les techniques psychosociales employées dans les nombreux spams que l’on reçoit tous les jours ? Parmi les milliards de pourriels envoyés quotidiennement, nombreuses sont les variantes sophistiquées destinées à tromper les utilisateurs. Au-delà des cyberattaques classiques, les particuliers et les entreprises ne sont pas à l’abri d’une simple erreur humaine. « On s’est rendu compte que les attaques par e-mails sont majoritairement menées via notre système cognitif », détaille Antony Dalmiere, qui consacre sa thèse au sujet, dirigé par Vincent Nicomette et Guillaume Auriol, enseignant-chercheurs INSA, au sein du LAAS-CNRS (Laboratoire d'analyse et d'architecture des systèmes) de Toulouse.
Cette thèse ne se base pas sur les données technologiques des e-mails (expéditeurs, destinataires, hébergeurs, etc.), mais uniquement sur le contenu des messages. « Nous n’utilisons pas les entêtes des e-mails qui contiennent des données personnelles et qui n’ont aucune valeur ajoutée pour nous dans ce cas », ajoute Guillaume Auriol.
« Antony officie dans notre département RISC qui étudie plus particulièrement les réseaux, l’informatique et les systèmes de confiance. Il a un double diplôme en cybersécurité et en psychologie, ce qui est très pertinent pour l’objet de ses travaux. » explique Vincent Nicomette. Il est également accompagné de Pascal Marchand du LERASS1 (Laboratoire d'études et de recherches appliquées en sciences sociales) pour la partie psychosociale.
Une collaboration qui coule de source
Pour obtenir le corpus de messages nécessaires à ces travaux, le LAAS-CNRS a fait appel à Signal Spam, une association à but non-lucratif qui lutte depuis 2005 contre le phénomène du spam. « Nous permettons à nos 150 000 utilisateurs qui ont installé une extension sur leur navigateur ou leur logiciel d’e-mails d’identifier si nécessaire les messages qu’ils reçoivent comme des spams, indique Carmen Piciorus, présidente de l’association. Cela permet à nos membres (opérateurs, hébergeurs, routeurs, institutions, entreprises) de connaître et de filtrer les adresses et les URL utilisées par ces procédés. »
Mais à cause de ressources limitées, Signal Spam n’avait jusqu’à présent pas les moyens d’analyser le contenu de ces courriels. « Nous avons donc transmis à date 10 400 signalements de phishing au LAAS, détaille Minh-Ha Nguyen, secrétaire générale de Signal Spam. Ce sont par exemple des hameçonnages à la déclaration d’impôt, aux aides gouvernementales ou bancaires. On voit qu’ils deviennent de plus en plus sophistiqués, qu’il s’agisse de leur maquette ou du parcours de la victime une fois qu’il a cliqué sur le lien, qui simule au mieux les services authentiques. »
Vers une pédagogie pour les utilisateurs vulnérables
Ce contenu est une vraie mine d’or pour Antony Dalmiere qui a commencé à le traiter : « Pascal Marchand m’aide à analyser manuellement les e-mails de manière non supervisée. Cela nous permet d’identifier les techniques de manipulation. Ces données annotées permettent ainsi d’entraîner des modèles d’IA pour automatiser la détection des techniques. Nous récupérons comme cela la sémantique de ces messages, qui sans l’aide du travail de Signal Spam passeraient complètement sous les radars ». Certaines manipulations apparaissent ainsi clairement, comme celle du « pied dans la porte » qui consiste à demander une petite faveur à la victime, puis enchaîner avec une plus importante une fois qu’il a accepté la première. Le « baiting2
» est aussi souvent employé en utilisant un appât financier ou sexuel. « Face à une information, notre cerveau effectue un double traitement. Le premier est heuristique et reste en surface, le second est systématique et nous permet de réfléchir plus en profondeur. Toutes ces techniques visent à ne faire fonctionner que les facultés heuristiques de la victime », décrit le chercheur.
En caractérisant ainsi de manière qualitative les tentatives de phishing, Antony Dalmiere espère qu’il sera par exemple possible de faire de la pédagogie auprès des utilisateurs vulnérables. « Certaines personnes ne sont pas du tout à l’aise avec les outils technologiques, il est important pour nous de les sensibiliser à des techniques d’escroquerie en ligne. Nous devons parler à tout le monde et pas seulement aux utilisateurs les plus aguerris », soutient Carmen Piciorus. La thèse pourrait ainsi déboucher sur un brevet ou une mise en open source de son contenu pour inciter industriels ou éditeurs à s’emparer de ce phénomène de plus en plus présent dans notre quotidien.