Parce que… c’est l’épisode 0x309!

Shameless plug

• 24 et 25 juin 2026 - Troopers
• 26 et 27 juin 2026 - leHACK
• 30 juin au 2 juillet 2026 - Pass the SALT
• 19 septembre 2026 - Bsides Montréal
• 20 au 26 septembre 2026 - BruCON
• 13 novembre 2026 - DEATHCon
• 16 au 19 novembre - European Cyber Week
• 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
• 24 et 25 février 2027 - SéQCure 2027

Description

Dans cet épisode, je reçois Emeline Manson pour discuter d’un sujet central mais souvent négligé en cybersécurité : les biais cognitifs. Le point de départ de la discussion est simple mais important : les victimes de fraude ne sont ni naïves ni stupides. Les fraudeurs comprennent très bien le fonctionnement du cerveau humain et exploitent des mécanismes universels, peu importe le niveau de connaissances ou de prudence d’une personne. Les attaques ne visent donc pas toujours une machine, mais cherchent surtout à influencer un comportement humain, en misant sur l’urgence, la peur, la confiance, l’habitude ou la fatigue. Pour rendre ces mécanismes plus faciles à repérer, les biais sont regroupés en quatre grandes familles.

Les biais qui nous font agir trop vite

La première famille regroupe les biais qui réduisent l’espace entre l’émotion et l’action, empêchant toute vérification. Le biais d’urgence repose sur la création d’une pression artificielle (compte bloqué, livraison suspendue, intervention policière imminente), qui pousse à régler un faux problème avant même de vérifier son existence. Le biais de rareté fonctionne de façon similaire, avec des offres limitées dans le temps qui forcent une décision rapide. Les intervenants notent que ces deux biais sont souvent combinés, par exemple un message urgent accompagné d’éléments rassurants qui font aussi baisser la garde.

Les biais qui nous font accorder trop de confiance

La deuxième famille mise sur la crédibilité apparente. Le biais d’autorité pousse à obéir à une demande qui semble venir d’un supérieur, d’une institution ou d’une personne importante, comme dans les fraudes au faux président. Le biais de familiarité agit de façon proche : on baisse la garde lorsqu’un message semble provenir d’un proche ou d’un fournisseur connu, alors qu’un compte peut être compromis ou une identité usurpée. Le biais de réciprocité intervient lorsqu’une personne se sent obligée de répondre positivement après avoir reçu quelque chose, par exemple une fausse offre d’emploi ou un document utile envoyé par un faux fournisseur. Enfin, le biais de preuve sociale, très présent sur les réseaux sociaux, fait croire qu’une offre ou un investissement est légitime simplement parce que de nombreux avis ou témoignages positifs l’accompagnent, alors que ces avis peuvent être achetés ou fabriqués.

Les biais qui nous font baisser la garde

La troisième famille touche à la sous-estimation du risque. Le biais d’optimisme, très répandu même chez les experts, se traduit par la conviction qu’on ne se fera jamais piéger. Une statistique citée dans l’épisode indique que 78 % des Canadiens sont convaincus de ne pas pouvoir se faire avoir, ce qui en fait des cibles particulièrement vulnérables, car le risque demeure abstrait jusqu’à ce qu’il se concrétise. Le biais de surcharge cognitive complète ce tableau : devant la multiplication des comptes, mots de passe et applications, le cerveau cherche la facilité, ce qui mène à la réutilisation de mots de passe ou à des validations faites trop rapidement, surtout en fin de journée lorsque la vigilance diminue.

Les biais qui nous enferment dans nos habitudes

La dernière famille concerne les comportements numériques répétitifs. Le biais d’ancrage illustre la tendance à modifier légèrement un mot de passe existant plutôt que d’en créer un réellement nouveau, ce qui le rend prévisible pour un attaquant. L’usage de gestionnaires de mots de passe et de technologies comme les clés d’accès (passkeys) est présenté comme une solution efficace pour réduire cette dépendance. Le biais d’engagement, quant à lui, explique pourquoi une personne ayant déjà commencé à répondre à une demande a tendance à poursuivre dans cette direction, même si celle-ci devient progressivement plus risquée, alors qu’il est toujours possible de s’arrêter et de revalider.

Cinq réflexes pour se protéger

Pour conclure, cinq bonnes pratiques sont proposées comme réflexes anti-biais :

1. Ralentir dès qu’une demande exige une action immédiate.
2. Sortir du canal de communication utilisé pour valider une demande autrement.
3. Ne jamais cliquer sur un lien fourni et se rendre soi-même à la source officielle.
4. Traiter toute demande liée à l’argent, aux accès ou aux mots de passe comme une exception nécessitant une validation obligatoire.
5. Utiliser des outils qui réduisent la charge mentale, comme les gestionnaires de mots de passe ou les filtres antipourriel.

L’épisode se termine sur une réflexion plus large : l’intelligence artificielle rend les messages frauduleux plus crédibles et mieux écrits, rendant les indices traditionnels (fautes d’orthographe, ton suspect) moins fiables. À l’inverse, les échanges humains authentiques se construisent dans le temps, à travers de véritables liens, alors que les fraudes simulent une proximité instantanée. Se rappeler qu’on est des êtres de lien, et que la confiance véritable ne se construit pas en quelques secondes, devient ainsi un signal d’alarme précieux face aux tentatives de manipulation numérique.

Collaborateurs

• Nicolas-Loïc Fortin
• Emeline Manson

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: cognitif, humain