 Merci d'accueillir. Bon matin Linus. Oui, je suis content que vous soyez aussi nombreux et que j'ai pu vous hacker avec ce titre. J'aimerais bien parler avec vous des facteurs humains de la sécurité informatique. Donc quand on parle de hackers, souvent il s'agit que... On pense que c'est vraiment des mecs incroyables, on sait pas ce qu'ils font mais c'est hacker qui rentre dans mon appareil, je sais pas ce qu'ils veulent de moi et comment ils ont fait. La réalité c'est qu'en fait c'est vraiment différent que ce que les gens pensent. Moi je dis toujours que quasiment tous les problèmes de la sécurité informatique ils nous manquent pas de connaissances. Comment est-ce qu'il faudrait résoudre les problèmes? Mais on n'arrive pas à le faire en pratique. En pratique ça reste un désastre. Et c'est sans doute parce qu'on construit des mécanismes sophistiqués et on les teste. Donc là on voit un poto et il retient un animal. Et si on regarde ça en pratique c'est plutôt ça. Là c'était une petite menace et là on pense qu'avec les grandes menaces ce serait vraiment différent. Partout on entend parler des motets, les hackers qui hack les ordinateurs, demandent des rançons et Heize a beaucoup parlé. Et maintenant ça les a atteints même eux. Même ceux qui devraient savoir de quoi ils parlent, ils sont pas protégés, ils sont passants et saufs. Et ils se regardent ce qui se passe dans la recherche même ici pendant cette conférence. Donc il faut que cette recherche soit vraiment avant-garde. Il faut des applaudissements et du vaudou. Tant disc en réalité. Donc la réalité de cyber c'est plutôt... Ah tiens je suis déjà dedans. Finalement nous en tant que geek et nerd on est dans ce monde là, le monde académique. Tant disc ce qui se passe là dehors c'est plutôt des jeux truqués. Et ce jeu truqué on l'attaque pas, on le résout pas. Et je pense que c'est vraiment une mauvaise idée qu'on s'occupe des domaines, qu'on s'occupe pas des problèmes qui sont prévalents partout et on fait pas vraiment de progrès depuis plusieurs années. Donc je veux parler d'arnaque normal, de problèmes de mot de passe et de virus. Une arnaque qui arrive souvent c'est le chaos, le groupe Hacking Chaos. On reçoit un mail qui te dit j'ai un filtré ton système avec un cheval de 3 et nous connaissons vos secrets intimes sur internet, nous savons que vous aimez bien les sites web destinés aux adultes et essayez de demander une rançon sous forme de bitcoin. Et c'est intéressant qu'il y a des gens qui se font des grandes soucis et ceux qui connaissent bien les rançons, ceux qui connaissent bien les extorsions savent sans preuve, je ne paye pas. Et quand on tape ça sur Google, si on Google le groupe Chaos CC sur certains groupes on apprend que c'est un cheval de 3 et qu'il faut installer un programme qui est pour réparer le dommage, mais c'est un nouveau virus. Donc mec je sais que tu aimes bien te faire arnaquer et tu as encore une autre arnaque pour toi. Donc le monde pour nos utilisateurs peut expérimenter des gens dangereux. Regardons donc comment les gens expérimentent le fond, la mailing list de Linux. Un mail est arrivé fin octobre. Là il y avait même le mot de passe qui était mentionné, c'est le prochain niveau, ou un mot de passe qui a été compromis et là ils ont demandé des Bitcoins, des développeurs de Linux. Bitcoin c'est cool parce qu'on peut voir combien est-ce que les gens ont payé. Il y a 2,9 Bitcoins dans ce wallet, donc c'est 19 000 euros quand même. Il faut arrêter de dire qu'on peut pas gagner d'argent avec Linux. L'email continue bien entendu. Mais je me demande pourquoi est-ce que nous on s'évertue à faire ce qu'on est en train de faire si on peut faire de l'argent aussi facilement que ça. Autre classique, l'arnaque du CEO on reçoit un email et on dit voilà la facture pour telle ou telle service. Il faut absolument la payer. L'escalade continue. On dit que l'accord avec les Chinois progresse et il faut vite payer 2 millions d'euros sur tel compte en banque et les gens le font. On essaie de faire pression avec des arguments d'autorité. On essaie de faire peur aux gens et d'être un peu menaçant. Ça peut faire rire mais quand on parle aux gens à qui s'est arrivé ils sont très embêtés parce qu'ils savent vraiment que c'était pas très intelligent de payer et là c'est beaucoup moins rigolo. L'authentification La plupart des gens ont un mot de passe et ne le changent pas en fonction des services. Ces mots de passe se retrouvent sur des listes comme celles-ci et on peut aller voir les mots de passe des gens comme par exemple funk it site 9 ce qui est bien dans ces listes c'est que même nous qui sont censés connaître ce genre de choses on s'y retrouve aussi. Par exemple moi je m'y trouve. Je vais plus tard vous expliquer comment je pense que ça s'est passé. Il y a des gens dans le monde informatique qui n'ont jamais vraiment réfléchi à ce problème. Il a trois règles qui le respectent. Ça doit être difficile à deviner mais personne ne le fait. Dans la fois je suis allé chez le dentiste et c'est comme le dentiste qui vous dit tu dois utiliser du fil dentaire et il vous demande si vous le faites et vous lui dites non c'est exactement la même chose. Un jour j'ai commencé à faire ce qu'on me disait de faire. J'ai commencé à utiliser un gestionnaire de mot de passe et ça fait longtemps que je parcours le monde et j'explique aux gens qu'ils doivent utiliser un gestionnaire de mot de passe mais je n'ai jamais réussi à chaque fois il me demande lequel et je leur dis qu'il n'y a aucun utilisant un et c'est tout. Mais comment est-ce qu'on arrive à établir de telles listes de mot de passe? En général ils pirate soit des serveurs où les mot de passe sont stockés sans chiffrement ou alors ils envoient des mails comme ça et moi je me suis déjà fait avoir des palmes ou un mail important et me dit qu'un système non autorisé a eu accès à mon compte et si on clique sur ce bouton et bien on peut changer le mot de passe mais il y a un seul bouton et rien que ça ça devrait déjà vous mettre la puce à l'oreille. Autre chose qui devrait vous mettre la puce à l'oreille c'est qu'il n'y a pas paypal dans l'URL et alors là mon gestionnaire de mot de passe ne pouvait même pas me trouver un mot de passe pour rentrer les non visateurs à mot de passe. Là aussi j'aurais dû avoir la puce à l'oreille Alors ici c'est OnePassward mais la dernière fois il y a eu une mise à jour et ce gestionnaire de mot de passe quand il a vu qu'il ne pouvait pas me proposer un mot de passe il m'a proposé de mettre celui de ma carte Visa Imaginez bien que c'est pas non plus une excellente solution c'était ce Gmail Webmail login qui est remarquablement bien fait ce qu'ils ont fait c'est qu'ils ont pris le domaine de l'adresse email dans leur code source ils ont fait une recherche Google du logo Google qui s'est retrouvé dans le code la probabilité que ces campagnes d'envoi d'email massif réussissent et très très très faibles mais dans notre côté quand on envoie un million d'emails il y a toujours un certain nombre d'individus qui va payer regardez juste dans votre boîte de spam sur votre client email et vous verrez le nombre de six mail que vous recevez si on fait cela de manière un peu plus intelligente et qu'on vise des certaines personnes on envoie pas des millions d'emails mais un seul et on l'envoie à la personne et là on va lui raconter l'histoire qui marche cela existe souvent notamment dans les grandes entreprises par exemple vous savez très bien que dans certaines entreprises on vous demande tous les trois mots de changer votre mot de passe la plupart vont simplement ajouter un chiffre de plus l'email que les entreprises envoient il n'y a même pas besoin de le falsifier de manière approfondie donc c'est assez facile là la probabilité est déjà un peu plus élevée si je le fais avec trois personnes j'ai déjà de grandes chances que ça marche ça marche en général très bien on en reparlera plus tard ensuite il y a les logiciels malveillants là il ne suffit pas pas seulement avoir de grandes failles aller chercher du côté des 0d etc voilà le problème résumé en 140 caractères parfois on s'imagine que les informaticiens sont comme un troupeau de moutons sauf que les moutons sont ivres et ils brûlent et ils cliquent sur tout les moutons ceux qui ont vu la conférence de torse ont bien vu ce que nous avons réussi à faire avec un torrent là j'ai trouvé sur un exploit qui a essayé de me faire installer un plugin mais les gens le font et ils me disent j'ai un virus et ils me répondent ils installent quelque chose ils se rendent compte que c'était pas très intelligent et ils se retrouvent avec 86 virus sur leur ordinateur c'est exactement comme cela il y en a un qui a été installé chez les membres de l'opposition turque et c'est quelque chose qui a déjà été présenté ce matin par torsen un applaudissement pour torsen du coup on est au coeur du sujet et du problème qui existe depuis 2016 à plus ou moins on reçoit un email il y a une pièce de jointe ça vient de 2016 une facture et si j'ouvre ce document je reçois le magnifique programme microsoft word et microsoft word a 2 informations pour moi on les voit en rouge et en jaune l'information rouge dit que ce n'est pas une version distancée de word du coup soit vous l'avez ou alors vous l'avez pas et vous êtes déjà habitué à l'avoir l'information jaune c'est celle qui vous protège de vraiment vous nuire à vous même très grèvement et c'est très facile à comprendre faites attention les données de l'internet peuvent contenir des virus si vous n'avez pas besoin d'éditer ce fichier c'est plus sûr de rester dans la version protégée et c'est très consistant mais c'est marqué à côté activer le mode édition tout le monde comprend les dangers sont très concrets et compréhensibles et encore une fois on a le gros bouton et en haut à droite en tout petit ça se retire de votre attention un tout petit x gris ça serait le chemin vers la sécurité mais vous êtes en trainé à cliquer ce bouton parce que des macros sont quasiment dans tous les documents qui sont employés dans votre entreprise mais c'est pas grave parce qu'on continue Microsoft a encore un autre avertissement pour vous attention les macros ont été désactivés activer les contenus et du coup là on est dans cet exemple de Loki à une fiche vide tout ce qu'on veut c'est les contenus donc on appuie sur activer les contenus et du coup là sur le desktop, sur la gmi quelques données qui sont là et si j'appuie sur activer bah mes données sont disparues, ont disparu le macro qui est dans télécharge un fichier X, l'exécute et Loki traverse mon disque dur avec mes données et quand il a fini il dit salut tes données sont cryptées et quand les gens entendent les gens pensent est-ce que tu peux décrypter et c'est marqué non tu peux pas décrypter ce serait débile qu'on vous encrypte des données du coup nous on l'a fait correctement du coup il y a un joli site web et il y a été expliqué combien de bitcoins il faut envoyer Loki était encore relativement sympa ils ont fait la restitution de données pour 500€ à l'époque Loki c'était la première grande bague de Ransongistiel à l'époque on avertissait les gens à ne pas payer de factures il y avait beaucoup de succès avec encore plus d'emails attention l'office fédéral du crime nous avons fourni un guide de sécurité à cause des infections de Loki et vous trouvez ce guide en pièce jointe tout ce caroussel a recommencé du début Loki c'était en 2016 récemment nous avons regardé ça ressemble à Ghentcrap c'est un groupe qui est parti en retraite depuis peu ils ont dit en partant que clairement c'est possible de gagner beaucoup de sous et on part en retraite du coup on est en retraite salut avec eux on arrivait sur ce genre de site web ils travaillent avec beaucoup de trucs psychologiques c'était marqué si tu payes pas pendant une semaine le prix va doubler donc ça ils l'ont copié chez booking.com c'est aussi marqué sécurité et ils avaient un service décritage gratuit pour inficher et ils te le décryptent et te le renvoient pour prouver qu'ils sont capables de le faire donc ce sont des commerçants plus ou moins honnêtes et ils avaient aussi un chat donc voilà un service à préventes on était là avec notre machine virtuelle virus qu'on venait de casser du coup on a commencé à chatter on a dit on va faire les bébettes on a demandé de l'aide on leur a demandé si on peut pas leur faire environnement c'est pas et quand on avait plus d'idées comme leur faire du travail j'ai demandé à mon avis vladimir, demande-leur si il parle russe en effet il parle russe et ils nous ont tout de suite répondu en syrilique on peut l'écrire avec clavier allemand et eux ils ont répondu avec des signes syriliques ils nous ont dit tiens t'es russe comment ça se fait que tu t'es fait infecté c'est marqué que t'es en Allemagne du coup t'es en Allemagne ils ont répondu oui en fait je travaille pour gasprom ils devenaient de plus en plus sympa ils ont écrit cette phrase que je lui ai mis sur google pour vous fais une photo de ton passeport on peut recouvrir les infos sensibles j'ai juste besoin de l'info que tu es citoyen russe et du coup on te file les données gratuitement parfois la sécurité informatique c'est simplement le fait d'avoir le bon passeport il y a des routines qui font en sorte que le système sont dans le fuseau rares russe ou qu'ils ont un système en russe parce que le système IT russe fonctionne à peu près comme ça chère hacker voilà ce que vous pouvez faire on peut pirater tout ce que vous voulez mais dès que vous piratez en Russie vous terminez dans une prison russe donc ça explique la réaction qu'ils ont eue quand on leur a dit que nous étions russe des vrais patriotes ensuite ce groupe s'est fait démasquer il a écrit un super article c'était quelques semaines après qu'on ait fait cette découverte amusante vous connaissez tous notre devise pas de backup pas de pitié et donc protègez vos données en fait de backup comme ça vous ne devrez pas payer mais ce que je trouve rigolo c'est que ces attaques par documents warned existent depuis melisa en 1999 avec internet-verbreté et on n'a pas progressé d'un yota c'est rigolo parce que en général notre communauté est qu'il y a un problème c'est une solution et là rien pourquoi ces attaques fonctionnent-elles de raison que je vais vous présenter d'abord la psychologie individuelle et l'autre c'est la psychologie organisationnelle daniel kahneman je crois obtenir un prix Nobel d'ailleurs pour ça il a réfléchi à la manière dont les gens et non best seller évidemment il a découvert ça il y a deux systèmes dans notre cerveau le premier travail rapidement et de manière intuitive et automatique il ne faut pas réfléchir quand vous sortez de chez vous et que vous fermez la porte à clé c'est simplement comme ça votre cerveau y est habitué c'est un petit peu la même manière de différencier votre gauche de votre droite système 1 il est principalement actif quand vous avez peur donc quand vous devez agir rapidement ou alors quand il doit faire appel quand vous faites appel à votre routine donc vous ne devez pas réfléchir comme quand vous cliquez sur ce petit bouton là avec les macros deuxième système il est lent, analytique et il est dominé par la raison les attaquants utilisent bien entendu des situations dans lesquelles vous allez faire appel au premier système le problème c'est que quand nous essayons de dire aux gens comment se protéger contre ces attaques fais attention, réfléchis etc dans ces cas là on leur demande de faire appel au système 2 comme moi quand je sais très bien que je ne dois pas cliquer sur des arnaques paypal mais quand je m'ennuie devant mon ordinateur et que je vois un mail de paypal et bien qui me dit que je dois changer mon mot passe et bien je clique la psychologie de l'organisation vient de plus importante parce que là on se demande mais pourquoi est-ce que personne ne s'occupe de ce problème nous avons notre réseau IT on fait un firewall etc on le protège normalement une attaque technique est relativement difficile notre protection est très efficace on peut mesurer quand on fait tel ou tel check etc et puis derrière leur ordinateur sont ainsi des administrateurs et des employés et eux on les protège pas du tout et on se rend compte quand on fait des tests de pénétration que l'ingénierie sociale est une attaque très facile ça marche un peu comme ça la perception du risque est très grande on analyse le risque et puis après on ignore le risque et ça fait longtemps que ça dure c'est un peu comme à l'université Göttingen je crois mais Göttingen viendra aussi vous inquiéter pas la gestion ça veut dire porter la responsabilité et surtout ne rien faire pour ne pas être responsable d'une erreur et alors qu'est ce qu'on peut faire quand le utilisateur clique sur le mauvais bouton c'est pour ça que j'ai essayé de réfléchir à des solutions quelles contre-mesures sont utiles et à quel point et quelles facteurs d'interface sont moins rendent un système moins vulnérable d'abord la résistance ne clique pas et il faut communiquer avec l'équipe des administrateurs maintenant je vais vous parler de deux études qui ont été faites dans ce domaine je les ai anonymisées donc vous ne pourrez pas savoir qui est en cause d'abord en Asie sur 30 000 personnes en anglais il y a une vidéo dans laquelle on explique et puis on a essayé de voir ce qui se passait quand les informaticiens disent qu'il y a eu une attaque et à quel degré les gens cliquent sur le virus qu'on leur envoie et alors ce qu'on a fait c'est qu'on a essayé de voir que pour les mettre en garde on peut essayer d'envoyer des emails on leur envoyait des emails, on leur a fait faire des cuisses d'abord avec un texte, une vidéo et puis après, puisqu'on a eu assez de gens on a fait des permutations on a mesuré les effets de tout ça puis alors on les a affichés une fois à me sonner et ensuite on leur a expliqué ça c'était pas terrible, il y avait aussi une vidéo dans laquelle on expliquait aussi pourquoi ils ont mal agi etc et maintenant je vais vous montrer les choses qui ont réellement eu tout ce qu'on avait expliqué aux gens, tout ce qu'ils faisaient appel à leur système 2 n'a eu absolument aucun effet, vous pouvez leur faire des cuisses vous pouvez leur faire des campagnes de sensibilisation etc ça n'a aucun effet, ce qui a eu un effet c'était si ils ont été amsonnés ou pas et après c'était un peu mieux si ils avaient vu une vidéo sur la campagne de amsonnage réellement était amsonné c'était encore plus efficace si tout d'un coup il y avait une fenêtre qui clignotait en rouge et qui leur disait attention tu t'es fait avoir 55% des gens ont ignoré nos emails d'abord 10% ont simplement fermé la fenêtre j'imagine qu'ils ont eu un moment de lucidité et chez 35% des gens ça marchait on s'est demandé ensuite combien de gens ont réellement lu l'email qu'on leur avait envoyé et alors là ceux qui ont lu l'email étaient beaucoup plus nombreux 55% des gens ont lu notre email on l'a écrit un autre test qu'on a fait c'est leur envoyer un email et on leur a dit nous sommes l'équipe IT et là il y a différentes réactions il y a des gens qui nous ont dit ensuite qui se sont pleins parce qu'ils voulaient changer leur mode passe mais il y avait cette feature vidéo qui les gênait il y avait des gens qui des mois plus tard ont eu cette drôle d'habitude où ils répondent des semaines plus tard et là ils changent leur mode passe donc le résultat c'est que toutes nos mesures de prévention n'ont eu aucun effet pratique malheureusement l'apprentissage est très spécifique donc si tu leur dis si tu leur dis change le mode passe de ton adresse email ils vont jamais le faire par contre si tu leur dis en moi ton numéro de carte d'usage là ils vont le faire directement et alors il n'y a pas de transfert d'apprentissage donc les gens savent relativement bien maintenant qu'il ne faut pas brancher une clé aux yeux qu'on a trouvé sur un parking il tombe toujours dans le panneau lors des autres campagnes de phishing en plus c'est pas très persilier donc il n'y a pas de transfert d'apprentissage et en plus c'est pas très persistant donc un an après il s'en rappelle plus c'est ce que je pensais en tout cas et du coup j'ai fait ma deuxième étude de cas qui était internationale en plusieurs langues anglais, allemand, espagnol et encore d'autres 2000 personnes ciblées la vidéo était un peu plus longue c'était donc quand est-ce que les gens nous ont dit qu'il y avait un incident et si à ce moment là le service informatique aurait agi ce qui serait arrivé donc trois quarts des incidents auraient pu être évités si ils avaient su donc c'est bien pour un service d'encourager les gens de leur dire ce qu'il se passe dans le premier tour il y avait que 10% de gens qui se faisaient avoir du coup il disait aller 30% je vais le faire et finalement c'était que 10 donc on était un peu surpris qu'est-ce qu'ils ont fait ils avaient deux différences d'autres entreprises premièrement les e-mails étaient marqués dans le sujet avec des e-mails qui viennent de l'extérieur de l'entreprise et l'autre c'était que le mot de passe n'était généralement pas changé par le web du coup la situation n'était pas commune pour cette entreprise du coup ils ont dû travailler de leur système 2 ils n'ont pas fait l'erreur donc on continue à regarder les résultats c'était 4 manches la deuxième et la quatrième manche n'était que comparable la deuxième et la quatrième manche n'était que avec les personnes qui s'étaient fait et donc on voit il y a certains gens qui sont vraiment difficiles à contrôler une fois on a même regardé qui c'était et c'était les comptes de fonction ou le mot de passe de toute façon n'est pas important et ça fait partie du job de mettre le mot de passe sur un post-it et le mettre sur l'écran en général de la première et la troisième manche on voit une diminution de 66% il n'y avait que 33% qui restait ça en soi c'est très bon en psychologie personne ne me croit donc après une intervention unique on va changer leur comportement mais ça reste quand même un désastre du point de vue de l'organisation mais voyons donc par le fait que le mot de passe doit être changé non pas dans le navigateur et qu'on leur dit l'email vient de l'extérieur, ils ont réussi à utiliser le système 2 et le danger a baissé les connaissances théoriques sont sans effet il faut des apprentissages directs il faut donc des répétitions la généralisation ne sert à rien donc il faut varier la généralisation ne fonctionne pas donc il faut varier les scénarios d'attaque il faut penser les gens ça paraît absurde pour certaines organisations mais ça sert vraiment ça veut dire qu'on devrait construire nos systèmes afin que les utilisateurs n'apprennent pas de façon automatique cette installation de macOS devrait pas être de telle façon mais plutôt différente parce qu'on ne peut pas faire confiance au système 2 mais la plupart des protections font exactement ça Word, justement, présume que l'utilisateur ne sait pas ce qu'il fait donne un bouton, vas-y clique et c'est pas de notre faute si tu cliques dessus il y a une possibilité de gérer ce problème avec Microsoft Word c'est de désactiver les macros mais du coup la boîte fait faillite ou de signer les macros on peut faire ça avec une règle de groupe j'ai parlé avec un administrateur une rare exemple où ils le font ça a duré un an et ça m'a coûté beaucoup de durée de vie mais maintenant au moins ça fonctionne et ça c'est le seul humain à ma connaissance qui la réussit il est AI dans son entreprise mais en soi c'est un héros donc ce qu'on doit faire c'est qu'on doit protéger notre système il faut habituer les utilisateurs à ne pas mettre des mots de passe dans les navigateurs il faudrait aussi réfléchir à arrêter de demander des mots de passe pour éviter le mot de passe 1,2,3 ça commence à s'améliorer, on peut signer des activités macros on peut restreindre les sources de logiciels je sais qu'il y a d'autres problèmes qui surviennent avec des app stores mais d'un point de vue de sécurité c'est pas mal si les gens n'installent pas n'importe quel fichier exécutable du web et exécutent des macros et avec Fido2 et des mécanismes de d'authentification hardware ça commence à s'améliorer les facteurs d'authentification secondaire aident vraiment le monde n'est pas aussi mauvais qu'on pense on devrait encourager tout le monde à ce qu'on travaille avec l'intuitivité des systèmes parce que si on regarde aux alertes des navigateurs ton certificat est cassé, personne ne les a compris du coup on avait un SSL qui marchait très bien qui à la fin tombait en pièce les interfaces étaient mauvaises voilà je parle déjà depuis trop longtemps donc faites vos backups s'il vous plaît, changez vos mots de passe je vous enverrai un email tout à l'heure et merci comme d'habitude c'était très divertissant alors est-ce que le monde d'antiste utilise un gifillon de mode passe l'inus, est-ce que tu utilises du fil dentaire