Le monde entier connaît Clarice Starling, héroïne inventée par Thomas Harris et incarnée avec brio par Jodie Foster dans Le silence des agneaux. Son métier ? Profiler au FBI, c’est-à-dire analysant le profil, la personnalité, d’individus, et notamment d’un psychopathe comme Hannibal Lecter.

Bien des années après, le métier, le domaine du profiling, s’est étendu. Et notamment à l’Internet, ce monde virtuel gigantesque, ou plutôt ces mondes gigantesques dans lesquels nous vivons une partie de nos journées, désormais. Et dans lesquels sévissent également des cybercriminels qu’il est nécessaire d’appréhender, de connaître, de cerner, pour pouvoir mieux combattre.

C’est ce que l’on appelle le Net Profiling. C’est ce travail, cette appréhension du cybercriminel, qu’explique Nadine Touzeau dans un ouvrage dédié à ce sujet, aux éditions Transition. Pour parler avec elle de son livre, de la cybercriminalité, des moyens de traquer les nouveaux pirates et criminels du web, nous l’avons interrogée. Entretien absolument passionnant.

Net Profiling, appréhender les profils des cybercriminels – Nadine Touzeau – Transition –  22 €

Breizh-info.com : Pouvez-vous vous présenter à nos lecteurs ?

Nadine Touzeau : Je suis un profil atypique. Ex-manager commercial et communication dans des groupes anglo-saxons principalement et français. J’aurai 54 ans en mai, je suis maman de deux grands enfants. J’ai perdu mon époux il y a maintenant 18 ans dans des conditions tragiques. Nos enfants avaient 7 et 9 ans. J’ai voulu modifier ma vie et plutôt que de courir à avoir et garder la première place en business, j’ai souhaité développé l’humain, sans savoir où j’allais. Cela m’a permis de me découvrir, y compris mes potentiels cachés, non révélés ni identifiés. J’ai appris, je me suis formée, j’ai passé un diplôme. Et alors que j’étais salariée dans un cabinet de conseil en région parisienne, un de nos clients (anglo-saxon) m’a dit que j’étais profiler. Il y a plus de 15 ans. Je ne connaissais pas le mot, je refusais même que mon employeur m’appelle ainsi. Je ne connaissais pas cet environnement. Alors j’ai encore appris, étudié, mesuré mes résultats sur le terrain. Confortée par mes résultats terrain, j’ai voulu reproduire mon travail dans l’espace virtuel. Mais je n’ai fait que des erreurs parce que je ne comprenais pas cet espace. Je l’ai découvert et appris. De là, est né le net-profiling, un mot que des personnes d’Interpol m’ont fait connaître. Ce sont ces mêmes personnes qui m’ont suggéré d’écrire mon livre (celui que vous avez est une nouvelle version). D’autant que j’avais fait des travaux de recherche concernant les « différenciations comportementales entre le réel et le virtuel » avec 4 théories scientifiques divulguées.

J’apprends toujours en transmettant. Cet environnement, le virtuel, a provoqué une mutation sur l’homme dont, je pense, nous n’avons encore rien vu. Il me paraissait essentiel de transmettre mon savoir pour plusieurs raisons. Déjà confronter mes travaux, sachant qu’ils sont étudiés dans de nombreux pays et considérés comme uniques à ce jour et selon les connaissances de nos réseaux internationaux scientifiques, sécurité/défense et économiques. Ensuite parce que cette mutation va développer de nouveaux univers : 40 % des métiers de demain sont à naître ! De nombreux étudiants me contactent pour leur mémoire ou pour être formés par moi-même et intégrer ce savoir dans leur métier pas forcément en digital. Enfin, par ce que je considère que je ne sais rien, que j’apprends chaque jour et le savoir, la connaissance ne nous appartiennent pas.

Depuis novembre 2017, j’ai publié 11 publications scientifiques (la onzième est en cours de publication) dans des journaux aux USA dont 9 en un an. Seule, je précise du reste que mes travaux de recherche je les ai faits seule, sans aucune subvention, aide, soutien autre que mes proches et ce depuis 15 ans. Je suis devenue conférencière internationale tant sur le plan scientifique qu’économique. Je viens de faire une intervention à l’ACFE (Association Certified Fraud Examiner) à Chypre et pour le Women’s Day in Digital, le 17 avril, je suis invitée à faire une conférence à Montréal. J’ai voulu faire un doctorat en France à défaut de 4 pour le nombre de mes théories divulguées. On m’a dit que j’avais trop d’avance. Pourtant, mes travaux de recherche répondent à l’actualité, aux besoins de faire du préventif et prédictif. Les résultats sont là. Deloitte dans un rapport a annoncé en 2018 que 63 % des cyberattaques n’étaient que du fait de l’humain et pas que des maladresses. Il y a 3 ans je disais 70 %. Comment se protège-t-on d’eux mais aussi de nous face à eux en modifiant notre comportement dans le virtuel !

Je suis formatrice (partenaire de sociétés de formations à Paris et indépendante), enseignante (à partir de septembre dans une école d’enseignement supérieure en informatique à Paris), conférencière et consultante internationale. Ex-professeur à l’École de Gendarmerie de Madagascar et Institut de Criminologie à Paris.

Mon métier est un métier d’appui qui sert autant en Forensic comportemental (sécurité/défense) qu’en économie. Ce dernier univers est celui que je préfère car les entreprises ne sont pas suffisamment armées ni informées pour lutter contre la cybercriminalité.

Je détiens un diplôme considéré comme le seul au monde sur la détection du Lie&True (mensonge vérité), détections de signes, micro-expression, et émotion. Diplôme international à valeur juridique dispensé au CIA, FBI, Scotland Yard : Paul Ekman International.

Breizh-info.com : Qu’est-ce que le net profiling ?

Nadine Touzeau : Avant de parler de net-profiling, il faut comprendre le profiling. Le profiling est le potentiel de collecter un ensemble d’informations lié à un contexte sur le terrain concernant la ou les personnes concernées. C’est aussi collecter les signes, c’est-à-dire les émotions, comportements, micro-expressions d’un ou plusieurs individus afin de les analyser et de construire le profil. Le corps ne mentant jamais et la communication étant environ à 80 % non verbale, le comportemental est essentiel afin de comprendre autrui, soi-même aussi et surtout pour faire du préventif et prédictif.

Cela va de l’environnement professionnel à personnel en passant par le caractère de la personne. Tout doit être collecté et analysé afin de construire un profil le plus précis possible des individus. C’est-à-dire de savoir qui sont ces personnes dans leur caractère, potentiel, faille, façon de vivre, goût, ce qu’ils aiment, leur métier, sport exercé, style vestimentaire, etc.

Ces profils effectués, précis, sont vérifiés par les personnes concernées ou proches. Les résultats valident notre travail.

Le net-profiling utilise obligatoirement le profiling, seulement de façon différente. Parce qu’il s’agit de profiler des individus qui agissent dans l’espace virtuel, soit avec un élément connecté (smartphone, tablette, etc.). Ces individus vivent dans le réel. Leur comportement, entre autres, peut se modifier selon leur profil et surtout objectif. C’est le cas surtout pour des profils de type addict à internet et les cybercriminels. Ainsi, profiler dans le virtuel, soit net-profiler, nécessite de prendre en compte, d’analyser un environnement digital en allant au-delà de ce que les ingénieurs font, en complémentarité.

Breizh-info.com : Les cybercriminels ont-ils un profil type ? Des traits en commun ?

Nadine Touzeau : Il y a des caractéristiques types que j’ai développées dans mon livre et dont d’autres livres, tel « Lève-toi et code » confirment. Pour autant, l’humain évolue face à cet espace virtuel, il s’adapte, apprend et mute aussi. Donc les profils aussi évoluent. Si mes théories restent totalement en phase avec des profils de cybercriminels, elles sont insuffisantes face à cette mutation. Tant de choses sont à reconsidérer au regard de notre espace réel lorsqu’on analyse l’espace virtuel et ses « occupants » qui sont vous et moi ! Malveillants ou pas.

La délinquance dans le virtuel n’est pas la même que dans le réel. Les synergies sont différentes du fait de la transversalité de cette espace entre autres, avec ses propres codes, langages, monnaies et règles conçus pour ne pas être ce qui existe dans le réel. Volontairement. La synergie réseau des cybercriminels est transversale aussi. Dans le réel, elle est géographique bien souvent et se mélange peu avec d’autres trafics, pas dans le virtuel. La prise de risque de tuer dans le réel nécessite de se montrer et se cacher à la fois avant de commettre le délit. On utilise le mot cybercrime, mais dans le virtuel, il n’y a pas de crime, juste des décès par dommages collatéraux des suites d’avoir subi une sextape, cyberbullying ou cyber harcèlement, ransomware, phishing… noté que ces cyberattaques ne sont faites que par et avec de l’humain sauf la ransomware qui peut parfois utiliser un logiciel.

Il est clair que ces délinquants du web ont des intelligences différentes selon le délit. Le white hat (cybercriminel), (phishing, sextape, par exemple) est rarement très développés intellectuellement, mais malin par exemple. Alors que le grey Hat, plus vengeur qui fera des ransomwares par exemple, entachera une réputation sur la toile par des faux commentaires ou du cyberharcèlement, sera un profil peu ouvert et revanchard, n’aime pas la remise en question voire la critique. A contrario du black hat, le cybercriminel de haut niveau qui vous inventera des malwares ou des typologies de cybercriminalité originales ou de grandes ampleurs. Il aura souvent des points communs avec les serial killers, soit narcissique, très développé intellectuellement, sachant vendre leur point de vue, acceptant la critique s’il se sent compris, ayant besoin de reconnaissance, maitrisant leur sujet, mais aussi le jeu avec les autorités tel de se mettre en avant ou se dévoiler quand il le veut ou en révélant leur ego, etc. Ces quelques éléments qui font la différence entre des familles de cybercriminels que j’ai développées grandement dans mon livre.

Breizh-info.com : Comment les particuliers peuvent-ils s’en prémunir ?

Nadine Touzeau : Là encore, je donne des conseils dans mon livre qui concerne tout le monde. Par ce qu’en fait, dans l’espace virtuel il n’y a pas de particulier. Il ne faut pas considérer l’espace virtuel comme le réel, c’est l’erreur que j’ai commise. Un cybercriminel qui veut faire une cyberattaque sur une entreprise analysera les réseaux sociaux de l’entreprise et de ses employés jusqu’à ce qu’il trouve le point d’entrée sur le comportement d’un employé qui sera vulnérable, accessible, des données indiquées par l’entreprise, un évènement professionnel, etc. Nos comportements dans le virtuel sont équivalents, voire pire que dans le réel. On doit changer de comportement et s’adapter à cet espace afin de se protéger, mais aussi tout son environnement, sportif, professionnel et personnel. Ce n’est pas évident d’intégrer cela, car internet nous a été mis dans les mains sans le fonctionnement et surtout considérer que cela pouvait créer des dangers que l’on découvre encore.

De fait, il ne suffit pas de dire qu’on doit éviter de mettre sa clé personnelle USB dans le port de l’entreprise, mais de modifier son comportement dans le réel et virtuel. Quand je fais des formations sur le sujet, même en conférence dans les entreprises, les participants et stagiaires sont surpris de ce qu’ils découvrent et des incidences de leurs propres actes que souvent ils pensaient anodins. Et cela ne concerne pas que des cibles sensibles (VIP, sites SEVESO, politiques, recherches, etc.), mais tout le monde.

Selon le profil et notre environnement, la protection que l’on doit adopter pour se prémunir contre les cybercriminels est à concevoir. Ce pourquoi mes formations sont sur mesure pour optimiser les résultats. Là encore, par ce qu’il s’agit d’humain.

Breizh-info.com : On dit que les pirates — et donc les criminels — ont toujours un coup  d’avance. Il y’aura donc toujours des victimes avant que l’on trouve des solutions non ?

Nadine Touzeau : Il est difficile de répondre à cette question. Toutefois, force est de constater que le préventif est peu considéré en France notamment. Ce qui laisse porte ouverte aux ingénieux et dans l’espace virtuel, il n’y a que cela ! On a rien vu encore. Comme ce sont des êtres humains qui agissent, vivant dans le virtuel, qu’attendons-nous pour mieux les comprendre et justement faire du prédictif et préventif ? La machine la plus puissante au monde sauf en mémoire c’est bien notre cerveau dont nous n’utilisons que 10 % du potentiel !

Breizh-info.com : Le darkweb est-il le repère des criminels tel qu’on nous le décrit, ou bien sévissent-ils majoritairement là où la majorité des internautes se connectent ?

Les deux et plus encore. Le darkweb n’est pas un espace accessible à tous. On y trouve de tout en produit illicite ou pas à vendre, êtres humains, organes, armes, substances non autorisées, etc. Et des informations de toute nature : comment un stylo peut devenir une arme, des modes opératoires de diverses délinquances, des données sur tout volées ou pas, etc. Ceux qui y accèdent ne sont pas obligatoirement des cybercriminels. Il y a des cas de malades qui achètent de la drogue via le darknet pour se soigner, car cela est interdit dans le monde réel. Cela revient à ce que je disais plus haut que l’espace virtuel autorise ce qu’on ne peut faire ou avoir dans le réel.

3 principales thématiques ressortent des cibles des cybercriminels :

  • Tout ce qui est lié à l’argent : banque, personnes richissimes, produits de luxe, etc.
  • Tout ce qui a trait à la recherche : université, laboratoires de recherche, chercheur indépendant
  • Tout ce qui concerne le médical : données de patients, information concernant les malades, etc.

Ce qui est important à comprendre c’est le mobile. Par exemple les données médicales. Qui peuvent elles intéresser ? Dans quel but ? Pour quel motif ? Savoir si la personne est malade, atteinte de lourde pathologie ou pas. Quelle médication suit-elle ? Ce sont des questions que l’on peut se poser. Mais pour qui ? Et bien peut-être des laboratoires médicaux en recherche… d’inspiration ? Ou des banques en recherche d’affirmation ? Le darweb n’est pas un univers dédié qu’aux cybercriminels, c’est surtout un univers d’infirmations. L’information est importante dans tous les domaines et elle est nécessaire à tous. L’espionnage est aussi dans le darkweb.

Si on y trouve des informations et éléments très sensibles (vidéos de tuerie, massacres, meurtres, vente d’individus de tous âges, pédophilie, et), c’est aussi des ventes d’armes, d’œuvres d’art (un trafic peu considéré et important), des informations pour frauder son assureur, des modes opératoires pour voler des cartes bancaires et subtiliser de l’argent dans le monde réel, des plans pour concevoir tel logiciel de fraude, des lieux indiquant des sites stratégiques déclarés comme sensibles ou interdits dans l’espace réel, etc. un vaste monde.

Enfin, je réitère que la grande majorité de la cybercriminalité est du fait de l’humain qui n’utilise en aucun cas le dakweb, même pas un malware ou logiciel malveillant.

Breizh-info.com : Quelles évolutions récentes, intéressantes, percevez-vous en matière de cybersécurité ?

Nadine Touzeau : La prise de conscience que l’espace virtuel peut être un danger et les risques importants que subissent tous les secteurs d’activité et tous les individus.

L’intelligence artificielle qui permet d’aider, et j’insiste, aider, mais pas transposer l’humain. C’est un support plus ou moins efficace selon la qualité du développement algorithmique et surtout les datas. Pour intégrer des projets en IA, il n’y a rien de plus efficace que plusieurs cerveaux pour une meilleure efficacité de l’IA.

La blockchain est une technologie a ne pas sousestimer même si la sécurité cyber n’est pas à 100 % elle est limite les risques.

J’ajouterai que d’avoir mis en place une RGPD est une très bonne chose. D’après la connaissance, il semblerait qu’il faille mettre sur le système d’information la charte d’application de la RDPG en entreprise ; pourquoi ne pas donner les clés au cybercriminels ! Je sais que les services digitaux vont bondir à la lecture de ce propos, mais dans ce cas, pourquoi la cybercriminalité est en forte croissance depuis des années (Hays a sorti un rapport en 2018 évoquant 100 % de croissance !) ?

Breizh-info.com : Et inquiétantes, en matière de cybercriminalité ?

Nadine Touzeau : Vous savez, j’ai la chance de voyager, d’apprendre des autres conférenciers dans le monde entier et donc de comparer avec ce qui se pratique et dit dans mon pays. Ce qui me marque le plus est le déni, de ce qu’est la cybercriminalité, le manque d’information concernant cet univers et les dangers, le manque d’ouverture d’esprit que cet espace oblige à avoir, le manque de remise en question afin de modifier son approche. L’espace virtuel est propre à lui et ne peut se comparer à notre espace réel. En défense, tout comme l’eau, le spatial, par exemple, on a du s’adapter avec des nouvelles techniques et comprendre comment l’humain pouvait intégrer ces univers. En économie c’est pareil. Nous n’en avons pas encore fait autant avec l’espace virtuel. Les chiffres en attestent, du reste, et il suffit de surfer sur Norse pour se rendre compte que notre beau et petit pays est un est plus cyberattaqué au monde. En 3 et 4e position mondiale concernant des cyberattaques en clair (sans proxy…).

Si l’information en entreprise, mais aussi juridiquement, administrativement, sécuritairement n’est pas donnée à sa juste valeur, comment pouvons-nous mieux nous protéger ? Lorsque l’on intervient en entreprise, TPE, PME surtout, et que le chef d’entreprise victime d’une cyberattaque ne comprend pas ce qui lui arrive alors qu’il a parfois suivi les formations données par des entités de renom pour apprendre à se protéger. Il y a un décalage d’informations entre ce qui est véhiculé et le terrain. Autre cas. Des managers de grands groupes victimes de sextape qui se sont transformées en cyberbullying, puis ransomware avec des montants importants. Ne pouvant pas payer, les cybercriminels proposent de voler des données de l’entreprise ! Croyez-vous que les dirigeants de ces grands groupes soient avisés de cela ? Bien sur que non. Si nous avons résolu les cas qui nous ont été présentés, combien n’ont pas été déclarés et que s’est-il passé ?

Les cybercriminels surfent sur nos failles telles des prises de décisions (quand elles sont prises !) longues, des clonages de mode de fonctionnement et outils de protection utilisés, de sous-estimer les cybercriminels, de ne pas considérer l’espace virtuel, de nos comportements inadaptés face aux cybercriminels. De même les lois qui ne protègent pas assez ou ne considèrent pas la délinquance venant de l’espace virtuel, tel le cyberbullying y compris venant de la presse.

J’évoquais la notion de temps dans le réel avec des prises de décision inadaptée à l’espace virtuel. Un clic et j’obtiens beaucoup de chose de n’importe où du moment que je suis connectée à internet. Dans une de mes publications scientifiques, après avoir étudié les théories de Kant et Einstein, j’ai débattu et posé la question de revoir la notion du temps dans l’espace virtuel qui me semble plus proche d’un esprit Maya que grégorien. Le débat est ouvert.

Rester sur la technique pour lutter contre la cybercriminalité est une des erreurs que les cybercriminels utilisent. Un anti malware est créée après détection d’un malware, soit des années après qu’il ait œuvré sachant que d’autres ont été créés ensuite et avant détection du 1er malware ! Ensuite (Deloitte, 2018), 63 % des cyberattaques ne sont que du fait de l’humain et pas que maladresse. J’évoquais 70 % il y 3 ans. Mais qui intègre cette donne en cyber protection ?

Propos recueillis par YV

Crédit photo : DR
[cc] Breizh-info.com, 2019, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine