Pour qu'un spam ou une tentative de phishing fonctionne, les cybercriminels ont appris à manipuler les ressorts psychologiques auprès de leurs victimes. Tout en mettant à profit les nouvelles habitudes des internautes, liées au web 2.0.

Pour réussir une escroquerie en ligne, savoir programmer un virus, un cheval de Troie ou maîtriser les techniques de spamming ne suffit plus. Les escrocs sont aussi devenus des experts en psychologie pour tromper et manipuler les internautes, dans le but de leur extorquer des données personnelles.

L'éditeur antivirus McAfee a réalisé une étude sur les tendances du cybercrime, en coopération avec le professeur Clive Hollin, psychologue au sein de l'université de Leicester, au Royaume-Uni. Ce dernier a décortiqué des exemples classiques de scams, aussi appelées «escroqueries nigérianes», ou de phishing (tentative de détournement de données personnelles).

Le constat est édifiant: «contrairement à l'opinion répandue, ce ne sont pas simplement les novices qui tombent dans le piège», souligne l'étude. «En fait, le volume d'escroqueries en ligne montre qu'aucun utilisateur, expérimenté ou non, n'est à l'abri.» «En présence de conditions idéales - communication persuasive et combinaison adéquate des facteurs situationnels et personnels -, la plupart des gens peuvent être vulnérables face à des informations trompeuses», précise le professeur Hollin. «Si la naïveté peut expliquer en partie [ce constat], même l'utilisateur chevronné peut se laisser abuser et influencer par des messages fallacieux.»

Des profils entiers d'internautes disponibles sur les sites web 2.0

Pour les escrocs, une arnaque se monte sur plusieurs étapes: il faut d'abord attirer l'attention de l'internaute sur l'e-mail frauduleux, avec un intitulé ciblé. Les cybercriminels jouent ainsi énormément sur l'actualité ou sur des événements susceptibles de faire réagir la victime. Il faut ensuite convaincre l'internaute de l'authenticité de la source de l'e-mail. Là aussi, l'arnaque classique consiste à se faire passer pour une autorité officielle, comme une banque, une grande société ou une administration.

Mais dans ce secteur-là, les malfaiteurs ont aussi appris à tirer parti des nouvelles habitudes des internautes. «Des sites de réseaux sociaux tels que MySpace, Facebook ou Bebo facilitent grandement le travail des escrocs, et leur permettent d'exploiter une mine d'informations personnelles à des fins illégales», affirme l'étude.

Ils ont ainsi à disposition des profils très complets, avec les centres d'intérêts, les surnoms des internautes et de leurs amis, parfois même leurs habitudes. Autant d'informations qu'ils exploitent pour donner à leurs spams un caractère de familiarité: l'internaute reconnaîtra, par exemple, le surnom d'un de ses amis, et considérera favorablement le courrier électronique pour cette simple raison. Et ce d'autant que le web 2.0 a généralisé cette propension à recevoir des liens, des e-mails, des recommandations de groupes de gens qui appartiennent à une même communauté, mais qui ne se connaissent pas forcément.

Dernière étape dans l'arnaque: inciter l'internaute à cliquer sur le lien qui l'amènera sur le site internet frauduleux, ou qui installera le virus envoyé en pièce jointe. Les escrocs jouent alors sur des profils psychologiques simples: le premier repose sur l'appât du gain, en promettant une bonne affaire à l'internaute; le second repose sur la peur pour générer un «clic d'évitement», c'est-à-dire que l'internaute agira pour s'épargner un désagrément. Dans ce cas, l'e-mail frauduleux prendra l'aspect d'une mise en demeure juridique, par exemple.

Le phishing continue de sévir malgré tout

L'étude identifie plusieurs types de personnes «potentiellement vulnérables» face à ces ressorts psychologiques: au-delà des novices, les chasseurs de bonnes affaires, tentés par la promesse d'une récompense qui ne viendra jamais, sont des cibles de choix. Et plus généralement, les individus «en situation de recherche» (d'emploi, de rencontres...) entrent dans cette catégorie. Et si certains sont trop naïfs ou vulnérables face à certains arguments, d'autres sont aussi trop audacieux, note Clive Hollin. «Les audacieux sont faciles à tromper parce qu'ils sont motivés par l'appât du gain ou le goût du risque.»

Face à ces techniques, les conseils usuels de prudence sont de rigueur: méfiance vis-à-vis des courriers électroniques demandant des informations personnelles, ou proposant des bons plans; vigilance vis-à-vis des sites web et de la présence ou non d'une connexion sécurisée en cas de paiement; utilisation d'un système antivirus et d'un pare-feu mis à jour.

Par sûr toutefois que cela freine les ardeurs des escrocs. Selon les statistiques fournies par McAfee, les sites de phishing ont augmenté de 784% au premier trimestre 2007. Ces tentatives de fraude s'étendent désormais aussi aux sites de collaboration en ligne, comme les pages wiki, ou encore aux sites d'archivages en ligne. Les sites de vidéo sur le web, comme YouTube ou Myspace, commencent également à attirer l'attention des escrocs.

Lire la source