En Côte d’Ivoire et ailleurs: La cybercriminalité est largement surestimée (cio.com)

Les statistiques de la cybercriminalité ce fléau de l’Internet sont largement surestimées, dit en substance M. Constatine von Hoffman dans le magazine CIO.

cybercrime1 En Côte dIvoire et ailleurs: La cybercriminalité est largement surestimée (cio.com)

 

Nous traduisons son article afin de permettre aux politiques en charge de ces questions d’avoir un élément de réflexion face à l’idée désormais majoritairement acquise que la cybercriminalité est tellement répandue, que tous les efforts devraient porter à son éradication au risque de ne pas mener une véritable politique de diffusion des NTIC au sein de la population.

Que dit cet article?

La cybercriminalité est largement surestimée

Avertissement cet article est américain: les parties en gras ne sont pas à notre sens appropriées pour nous (débat américano-américain).

La semaine dernière, j’ai partagé mon avis sur pourquoi vous ne devriez pas trop se soucier de la cyberguerre.

Voici quelques réflexions sur le sujet connexe de la cybercriminalité.

Deux faits qui remettent en question votre vision du monde:

 

1) la cybercriminalité n’est pas un problème aussi grave que nous pensons qu’il est,

et 2) Bon nombre des menaces terroristes, dont le gouvernement dit  nous avoir protégés étaient des produits de sa propre création, ce qui démontre à quel point les secteurs public et privé sont à l’origine de la création des » lutins imaginaires » pour nous faire peur.
Observons d’ un peu plus près la cybercriminalité. Selon les estimations elle serait à l’origine de pertes annuelles entre des milliards et un billion de dollars.

Cela fait facilement de la cybercriminalité un des secteurs les plus dynamiques de la planète.

Il n’ya qu’un seul problème: En tant que chercheurs Dinei Florencio et Cormac Herley font remarquer,

«Il s’avère, cependant, que ces estimations de la cybercriminalité largement diffusés sont générées en utilisant des méthodes statistiques absurdement mauvaises, ce qui les rend pas du tout fiables. »

En général, ces estimations sont fondées sur des enquêtes auprès des consommateurs et des entreprises.

Les sondeurs prennent les réponses au sondage et (nous l’espérons) effectuent quelques calculs pour tirer des conclusions fantaisistes qu’ils partagent ensuite avec le public en général.

Contrairement aux sondages politiques, ces enquêtes sur la cybercriminalité demandent des numéros spécifiques non seulement les préférences telles que,

«Combien aimez-vous cet abruti-là que que l’autre abruti? »

Si 37 pour cent de la population choisissent  l’abruti A, alors vous savez réellement quelque chose.

Toutefois, selon Florencio et Herley:
« Dans les enquêtes « chiffrées », les erreurs sont presque toujours majorées:

puisque les montants de pertes estimées doit être positif, il n’y a pas de limite à la hausse, mais zéro est une limite inférieure  stricte.

En conséquence, les erreurs des sondés- ou carrément leurs mensonges – ne peuvent pas être annulées pire encore, les erreurs sont amplifiées lorsque les chercheurs étendent leurs conclusions à toute la population »..

Et il y a l’hypothèse que le groupe sondé est assez grand pour être représentatif de la population dans son ensemble, ce qui est clairement une hypothèse qui ne devrait pas être faite quand il s’agit de ces statistiques.
« Les enquêtes sur la cybercriminalité que nous avons examinés présentent exactement ce modèle de valeurs aberrantes non vérifiées dans leurs données.

Dans certains cas, 90 pour cent de l’estimation semble provenir des réponses d’une ou deux personnes.

Dans une enquête réalisée en 2006 du vol d’identité par la Commission Fédérale  du commerce, deux sondés ont donné des réponses qui ont ajouté 37 milliards de dollars à l’estimation, éclipsant celle de tous les autres répondants combinés. « 

Je sais que d’un terme très technique que les experts s’appliquent aux actions de ce genre: Mensonge.
Les statistiques sur la criminalité physique ou cyber-sont presque toujours douteuses. Au mieux, ils ne mesurent que les crimes déclarés.

Dans le monde physique que nous connaissons les crimes sont sous-déclarés, car souvent, les victimes ne les signalent pas aux autorités. Les victimes ne pensent pas leur dépôt de plainte leur fera du bien ou, dans des crimes comme le viol, ils pensent que peut-être c’est trop traumatisant.

Les statistiques sur la cybercriminalité sont encore plus problématiques parce que parfois les victimes ne savent même pas qu’elles ont été piratées.

Et, encore une fois, en supposant que les statistiques sont effectivement légitimes pour commencer.

Fin de traduction

Quelles conclusions pour la Côte d’Ivoire?

Pour commencer, nous souhaiterons attirer l’attention des lecteurs sur l’aspect iconoclaste det article. Mal compris il pourrait être dangereux.

En effet, il n’est pas dit que la cybercriminalité n’existe pas. Il n’est pas dit non plus que son ampleur est négligeable. Ce qui est dit c’est que les méthodes de mesure employées pour la quantifier sont discutables. Ainsi les chiffres annoncés sont largement sur-évalués, comme par exemple ceux de Microsoft Côte d’Ivoire concernant le piratage (qui est aujourd’hui  une forme de cybercriminalité).

Si même aux Etats Unis, on est pas capable d’avoir des chiffres corrects, imaginez chez nous…

Cela ne signifie pâs qu’il ne faut lutter contre la cybercriminalité! Bien au contraire!

Mais comment cher « professeur »?

D’abord faire un inventaire des différents types: ils ne se valent pas tous.

Le broutage, une forme « bénigne » de cybercriminalité

 En Côte dIvoire et ailleurs: La cybercriminalité est largement surestimée (cio.com)

Selon notre intuition le broutage est un épi-phénomène: nous répètons le « broutage est un épi-phénomène ».

Cette intuition provient du fait que les pertes liées à cette forme de cybercriminalité, bien que dommageables pour certaines victimes (nous nous excusons auprès d’elles par avance), ne sont pas « colossales » au point de menacer les institutions et les systèmes d’information.

Le broutage est l’ancêtre du « piratage » informatique: Kevin Mitnick le premier hacker célèbre l’a initié. Il en est sortit une théorie dite du « Social Engeenering » c’est à dire « L’Ingéniérie Sociale ».

Le principe n’est pas basé sur des compétences techniques, mais sur la manipulation psychologique pour obtenir des informations (un mot de passe, un code secret de carte…) : vous appelez par exemple un agent dans service et vous vous faîtes passer pour un technicien venant réparer son poste. Vous le mettez en confiance, et profitez de sa naïveté pour lui demander son mot de passe.

C’est ce que font en général les brouteurs… Ils envoient à des milliers de personnes des mails promettant des gains ou demandant une aide financière à caractère humanitaire.

Depuis quelques années, la plupart des serveurs de messagerie arrivent à détecter ces mails et les mettent dans les courriers indésirables. De temps certains arrivent à passer… Mais ils sont rares.

Aujourd’hui pour tomber dans le piège d’un brouteur il faut presqu’avoir … envie: c’est à dire aller dans le dossiers des mails indésirables, ouvrir le mail, et y répondre!

Sur des milliers, il y en aura toujours des naïfs pour le faire!

Tout cela pour vous dire que le broutage (encore une fois nous n’avons pas de chiffres…) est un enjeu marginal: son moteur principal étant la naïveté, il est difficle d’avoir une politique rationnelle en la matière.

L’idée d’identifier tous les utilisateurs au niveau de l’état afin de déterminer  l’origine des malversations est très discutable….

« Idéologiquement » nous sommes contre: au nom du respect de la vie privée. De toutes façons les propriétaires d’abonnement internet sont identifiés par leurs opérateurs. Il est d’usage dans les pays occidentaux de communiquer sous contrôle d’un juge les coordonnées d’un abonné suspecté par la force publique.

Les conditions sont assez restreintes… Pas toujours respectées (les « envies » de la police quelque soit le pays sont les mêmes…).

« Techniquement » l’approche est … indéfendable:

Premièrement, plusieurs techniques à la portée de n’importe qui existent pour brouiller l’identification. L’utilisation de proxy(*) est un bon exemple: en gros c’est une machine herbergée ailleurs (ça peutêtre aux Etats Unis, en Russie,en Suède…) qui lorsque vous passez par elle fait croire aux sites internet que vous visitez que vous venez de chez elle… C’est légal. En général les responsables de ces machines bien qu’identifiables (et encore…) ne sont coopératives avec les autorités…

Du coup l’identification est quasiment impossible poour quelqu’un qui passerait ces machines: ce n’est pas un secret.

Deuxièmement il semblerait que du fait du coût exorbitant des abonnements internet en Côte d’Ivoire (à comparer au SMIG) , ceux qui ne peuvent pas se payer un abonnement, passent par des tiers non-autorisés qui partagent leurs connexions (ou plutôt qui le vendent).

Alors comment identifier un brouteur dans ce cas-là? Pire les mots de passe de réseau pas assez complexes pourraient être crackés et à l’insu de l’abonné être utilisé pour accèder à l’Internet: le brouteur serait l’abonné…

Alors comment lutter le broutage? Il n’y a pas UNE solution, mais plusieurs petites solutions.

Une de celles qui nous viennent en tête c’est de retourner la stratégie des brouteurs contre eux: faire du « social engineering »…

Mettre en place des « Honey pot » (posts de miel): répondre aux mails et se faire passer pour un gogo. Mais ça nous pensons que c’est déjà le cas… sinon il est temps de le faire.

Faire aussi et surtout des campagnes de sensibilisation…et de prévention.

Mais si cette forme de cybercriminalité est très célèbre en Côte d’Ivoire, se focaliser dessus serait une grossière erreur. Car elle est selon nous marginale.

Le piratage des logiciels commerciaux

 

tux windows 281x300 En Côte dIvoire et ailleurs: La cybercriminalité est largement surestimée (cio.com)

Nous avons eu des larmes aux yeux en entendant Microsoft se plaindre du manque à gagner de 6,5 Milliards de FCFA du fait du piratage de ses logiciels (Windos, Office etc…): désolés nous sommes des hypersensibles… 🙂

Mais pour ceux qui ont lu nos articles antérieurs, vous comprendrez que pour réduire cette forme largement ré&pandue de cybercriminalité, il faut que les autorités promeuvent les logiciels libres: dès que le taux de pénétration des logiciels libres atteindra un bon niveau, alors la nécessité de pirater les logiciels deviendra moindre!!!

C’est rageant de voir les majors de l’industrie logicielle commerciale culpabiliser des populations entières du fait de l’utilisation non-autorisée de leurs logiciels, sachant qu’on peut avoir la même chose GRATUITEMENT!

La cyber-sécurité : c’est la vraie cible

(pour bientôt…)

sangare avatar 1402136926 1 96x96 En Côte dIvoire et ailleurs: La cybercriminalité est largement surestimée (cio.com)

😉

sangare – who has written posts on Vérité et réconciliation Côte d'Ivoire.


Recherches ayant amené à cette page:

  • broutage

You may also like...

Commentaires

Google+