À mesure que les développeurs continueront d'inventer de meilleures mesures de sécurité, rendant l'exploitation de failles techniques de plus en plus difficiles, les agresseurs se tourneront davantage vers l'exploitation de l'élément humain. Percer le pare-feu humain est souvent facile, ne requiert aucun investissement (si ce n'est en appels téléphoniques) et implique un risque minimum.
Ma première rencontre avec un manipulateur a eu lieu pendant mes années de lycée, lorsque j’ai fait la connaissance d’un étudiant totalement accaparé par un hobby appelé phreaking (le piratage téléphonique). Il s’agit d’un type de hacking qui permet d’explorer le réseau téléphonique en exploitant les réseaux et les employés des opérateurs téléphoniques. Cet étudiant m’a montré les astuces qu’il pouvait mettre en pratique avec un téléphone : par exemple, obtenir n’importe quel renseignement qu’un opérateur téléphonique détenait sur un client ou utiliser un numéro de test confidentiel pour passer gratuitement des appels longue distance. (En fait, ils n’étaient gratuits que pour nous. J’ai découvert beaucoup plus tard qu’il ne s’agissait nullement d’un numéro confidentiel, et que les appels étaient en réalité facturés à une innocente entreprise.)
Certains se lèvent tous les matins en appréhendant la routine de leur journée de travail. Pour ma part, j’ai toujours eu la chance d’aimer mon travail. Vous n’imaginez pas les défis, les récompenses et le plaisir que j’ai eus pendant la période où j’étais détective privé. J’ai développé mes talents dans cet art que l’on appelle le « social engineering », la manipulation (qui consiste à obtenir des gens qu’ils fassent ce qu’ils ne feraient normalement pas pour un étranger) et ai été rémunéré pour cela.
On entend souvent dire qu’un ordinateur sûr est un ordinateur éteint. Cela peut paraître judicieux, mais c’est faux : un manipulateur peut persuader quelqu’un d’entrer dans un bureau et d’allumer l’ordinateur. Un adversaire qui veut vos informations les obtiendra, généralement par différents moyens. Ce n’est qu’une question de temps, de patience, de personnalité et d’obstination. C’est là que l’art de la supercherie entre en scène.
Si beaucoup de gens s’ingénient à chercher les meilleures affaires, les manipulateurs, eux, ne « cherchent » pas une meilleure affaire, ils « trouvent » le moyen d’en faire une. Par exemple, les entreprises lancent parfois des campagnes de marketing tellement alléchantes que l’on peut difficilement les ignorer : dans ce cas, les manipulateurs étudient l’offre et se demandent comment ils peuvent conclure l’affaire.
Au lycée, l’un de mes tours favoris consistait à obtenir un accès a priori non autorisé au commutateur téléphonique et à changer la « catégorie de service » d’un camarade phreaker. Lorsqu’il tentait de passer un appel de chez lui, il entendait un message qui lui demandait d’insérer une pièce, car le commutateur de l’opérateur téléphonique avait reçu une information indiquant qu’il appelait d’un téléphone payant.
Avec le temps, et quelle que soit l’excellence de notre formation, nous finissons par négliger certaines procédures. Nous oublions alors cette formation au moment critique, c’est-à-dire précisément au moment où nous en avons besoin. On pourrait penser qu’à peu près tout le monde sait (ou devrait savoir) qu’il ne faut pas donner son nom d’utilisateur et son mot de passe.
On peut dire que le « métier » d’expert en persuasion comprend deux spécialités. Celui qui escroque et vole l’argent d’autrui appartient à la catégorie de l’escroc. Celui qui use de supercherie, de persuasion et de son pouvoir d’influence à l’encontre des entreprises, en visant généralement leurs informations, appartient à l’autre catégorie, celle du manipulateur.
En réalité, une personne malveillante peut mettre à mal la sécurité d’une entreprise simplement en se procurant certains renseignements ou documents : il s’agit généralement d’informations qui paraissent tellement anodines, tellement courantes et sans importance que la plupart des employés ne voient aucune raison de les protéger ou d’en contrôler la diffusion.
La sécurité d’une société est une question d’équilibre. Si la sécurité pèche par défaut, votre entreprise est vulnérable ; si elle pèche par excès, cela conduit plutôt à délaisser les affaires courantes, paralysant la croissance et la prospérité de l’entreprise. Le défi consiste à atteindre un équilibre entre sécurité et productivité.