Il y a une semaine, le fondateur d’Amazon, Jeff Bezos, a révélé ce qu’il a décrit comme une tentative d’extorsion de fonds par le National Enquirer.

Le tabloïd semblait avoir trouvé des textes et des photos très intimes qu’il avait envoyés à sa petite amie, Lauren Sanchez.

Dans mon rapport sur le programme du World Service de la BBC, The World This Week, je vois pourquoi les humains sont souvent le maillon faible de la cybersécurité.

M. Bezos est l’homme le plus riche du monde. Il construit sa fortune via une société qui transforme notre mode de vie grâce à une technologie innovante.

Son entreprise, Amazon, place la cyber-sécurité au cœur de toutes ses activités.
Alors, comment se fait-il qu’il ait risqué d’envoyer des photos très embarrassantes sur le téléphone de son amant pour les voir piratées et se retrouver entre les mains d’un journal à tabloïd?

S’il ne pouvait pas s’empêcher de faire quelque chose d’aussi stupide en premier lieu, l’argument est le suivant: sa société aurait sûrement pu lui fournir le téléphone le plus impénétrable au monde?

Sur Twitter, un dénommé counterchekist avait la réponse à cette question, affirmant que tout l’argent et les experts du monde ne pourraient pas protéger un appareil contre sa plus grande faiblesse, « l’humain qui l’utilise ».

En d’autres termes, la technologie ne peut aller aussi loin. Une bonne cyber-sécurité dépend de l’éducation des personnes à ne pas être idiotes.

La suggestion selon laquelle le facteur humain est le maillon faible est probablement le plus grand cliché de l’industrie de la cybersécurité.

Les entreprises de sécurité peuvent vendre toutes sortes d’outils coûteux pour protéger leurs clients contre les attaques, mais trop souvent, elles deviennent inutilisables lorsque quelqu’un dans l’entreprise clique sur un lien louche ou oublie d’installer une mise à jour logicielle essentielle.

Si vous examinez l’un des incidents majeurs de cyber-sécurité de ces dernières années, vous constaterez probablement qu’ils commencent par un être humain qui se trompe.

La faute qui a détruit le réseau de téléphonie mobile O2 au Royaume-Uni pendant 24 heures en décembre 2018 a d’abord été soupçonnée d’avoir été causée par un piratage.

Il est alors apparu que quelqu’un n’avait pas réussi à renouveler un certificat logiciel. «L’une des erreurs les plus élémentaires d’administration de système que vous puissiez imaginer», a déclaré un commentaire sur le site Web Computing Weekly.

Jeff Bezos: L’AMI défend sa position sur le fondateur d’Amazon, Football Leaks: un « pirate informatique présumé » arrêté en Hongrie Piratage des Etats-Unis à mi-parcours? C’est un jeu d’enfant. L’attaque qui a vu des pirates – supposés provenir de Corée du Nord – s’emparer du système informatique de Sony Pictures et divulguer toutes sortes d’informations embarrassantes a commencé par des courriels conçus pour inciter les dirigeants à donner leurs identifiants Apple.

Et devine quoi? Certaines de ces personnes utilisaient les mêmes mots de passe pour leur compte Sony. Hé hop, les pirates étaient présents.

Ce que l’on appelle l’ingénierie sociale est en train de devenir une arme clé dans l’arsenal des pirates. Plutôt que de lancer une attaque high-tech astucieusement intelligente, ils choisissent un individu clé et trouvent le moyen de cibler leurs faiblesses.

Arnaqué! Il y a quelque temps, j’ai parlé à une entreprise de cybersécurité spécialisée dans la lutte contre le «spear-phishing», où un cadre supérieur est ciblé pour une attaque. Ils m’ont proposé un défi. Au cours des prochains jours, ils prouveraient qu’ils pourraient me persuader de cliquer sur un lien douteux dans un courrier électronique.

Hah, j’ai pensé. Grosse chance. Je suis très prudent quant à ce qui arrive dans ma boîte de réception de toute façon et je serai encore plus vigilant maintenant.

Quelques jours plus tard, un courriel est apparu de Jat, le producteur de mon émission de radio World Service, Tech Tent. Il m’envoie des messages plusieurs fois par jour. Il s’agissait de mon compte Twitter et de lire: « Vous devez vraiment jeter un coup d’oeil à cela », en pointant un lien.

Bien sûr, j’ai cliqué et je me suis retrouvé sur une page Web appartenant à la société de cybersécurité avec un message disant: « Nous vous avons eu ».

D’une manière ou d’une autre, ils avaient usurpé l’adresse électronique de mon producteur et avaient trouvé le trou dans mes défenses. Après tout, tout le monde fait confiance à son producteur.

Tout cela soulève la question suivante: si la protection de vos informations vitales dépend de la sensibilisation des êtres humains plutôt que de l’utilisation de toutes sortes de technologies whizzbang, ne serait-il pas préférable d’engager des psychologues plutôt que des sociétés de cybersécurité?

Ils pourraient même être moins chers.
Bien entendu, la vérité est que la recherche de données sur les fuites de données est une activité à multiples facettes.

Une entreprise doit s’assurer que ses employés disposent d’appareils sécurisés, comprennent les règles de protection des données d’entreprise et font preuve de discernement.

Et sur ce dernier point, même des milliardaires peuvent parfois être trouvés déficients.