European Declaration on Digital Rights and Principles for the Digital Decade, European Commission, January 26, 2022, COM(2022) 28 final.
eConflicts is a blog about cyberconflicts, cyberwar, cyberdefense, cybersecurity, information warfare, cybercrime, political science and international relations
Total Pageviews
Monday, January 31, 2022
Thursday, January 27, 2022
Quand le gouvernement américain veut adopter l'architecture de cybersécurité zero trust
Le gouvernement fédéral américain s'engage dans une stratégie d'architecture de cybersécurité zero trust (Mémo du 26 janvier 2022) (pour rappel de ce qu'est une architecture Zero Trust, voir la définition proposée sur le site Paloaltonetworks) Exit la défense périmétrique conventionnelle, l'approche zero trust doit s'imposer. Elle est un changement majeur: "It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data". Changement qui imposera bien sûr de nouveaux investissements massifs mais aussi de la patience, car la démarche sera longue à mettre en oeuvre.
Politique du DoD en matière d'acquisition et de développement de logiciels
Dans un Memorandum de ce 24 janvier 2022, le DoD rappelle les grandes lignes de sa politique d'acquisition, adaptation et création de logiciels. La question principale est celle du positionnement du DoD vis-à-vis des logiciels open-source. La ligne directrice est la suivante: lorsque le DoD a besoin d'applications il doit dans l'ordre 1) envisager d'adapter des logiciels qu'il possède déjà; 2) opter pour l'open source, 3) si les deux solutions précédentes ne sont pas en mesure de fournir de solutions, envisager alors l'achat de logiciels. L'open source n'est pas la solution miracle aux objectifs (de réduction des coûts de toute évidence), car leur adoption ne saurait se faire sans validation approfondie du code et sans contrôle strict de toute éventuelle redistribution du code.
Le concept Joint All-Domain Command and Control (JADC2)
Le Joint All-Domain Command and Control (JADC2) est un concept du Département de la Défense américain qui désigne la mise en relation de l'ensemble des systèmes de capteurs de l'Air Force, de l'Army, des Marine Corps, de la Navy et de la Space Force, en un seul réseau. Le projet part du constat que chaque branche a développé ses propres réseaux tactiques, chaque système étant incompatible avec les autres, et que la guerre moderne nécessite davantage de coordination pour des prises de décision accélérées.Pour fédérer et moderniser ses systèmes, le DoD prendrait exemple sur l'organisation des services Uber: "DOD uses ride-sharing service Uber as an analogy to describe its desired end state for JADC2."
Mais cette fédération de systèmes soulève des interrogations, tant en termes de maturité technique, que de commandement (une fois les systèmes coordonnés, qui assurera les prises de décisions?: "Analysts also ask who would have decisionmaking authority across domains, given that, traditionally, command authorities are delegated in each domain rather than from an overall campaign perspective".
Les citations sont reprises d'un récent document publié par le CRS américain: "Joint All-Domain Command and Control (JADC2)", Congressional Research Service, In Focus, January 21, 2022, 3 pages.
Wednesday, January 26, 2022
Iles Tonga, rétablir les télécommunications
L'OCHA (United Nations Office for the Coordination of Humanitarian Affairs) a publié le 25 janvier 2022 un premier rapport sur l'évolution de la gestion de la situation d'urgence dans les îles Tonga. Le rétablissement des communications est l'un des points clefs que doit traiter en urgence l'assistance qui s'organise. Le document nous éclaire sur la manière dont la coopération public-privé se met en oeuvre, sur la définition des priorités.
Monday, January 24, 2022
Heat Index - suite
Le 14 janvier dernier nous avons publié un billet présentant le Heat Index. Nous pouvons prolonger l'analyse de ce baromètre, en exploitant les données qu'il propose. L'indice dresse une liste d'Etats agresseurs et attaqués. Dans l'illustration ci-dessous les Etats sont reliés entre eux par cette relation d'agression: les flèches en rouge signifient que les attaques sont menées dans les deux sens, les deux acteurs qui s'affrontent sont dans un duel. Ressortent ainsi 8 duels. Les flèches noires indiquent les attaques qui n'auraient lieu que dans un sens (donc en l'absence de duel).
La Chine et les Etats-Unis seraient impliqués dans 3 duels, la Russie dans un seul. La Chine apparaît plus agressive que n'importe quel autre pays, avec 7 adversaires, quand la majorité des Etats (13) n'en auraient qu'un seul, quand les Etats-Unis n'en auraient que 3, de même pour l'Inde et la Russie. Ce schéma qui résume les données que propose l'indice met en évidence les limites de l'exercice qui est réalisé par les auteurs de ce baromètre. La liste des Etats est probablement trop courte car même si l'indice vise à formuler des hypothèses sur les cyber-affrontements à venir, et non pas à refléter un état de la situation des attaques présentes et passées, manquent probablement des acteurs dans ce paysage (pays européens, asiatiques, africains, sud-américains). Les Etats-Unis ne sont-ils vraiment menacés que par 3 Etats et menaçants pour ces 3 mêmes Etats? La Chine est-elle vraiment le pays le plus agressif et n'est-elle pas menacée par davantage d'attaques? La base de données livre une vision sans doute réductrice des cyber conflits potentiels. Mais rappelons toutefois qu'elle s'intéresse aux scénarios les plus probables. Ce qui en fait déjà un nombre significatif.
Wednesday, January 19, 2022
Military Innovation and Technological Change
Michael E. O'Hanlon signe ce mois de janvier 2022 un "policy brief" publié par la Brookings Institution sur le thème des innovations technologiques dans le domaine militaire pour faire face aux cyberattaques. La démarche est prospective et tente d'imaginer ce que seront ou devraient être les changements technologiques à l'horizon des 20 prochaines années.
Michael E. O'Hanlon, Military Innovation and Technological Change: preparing for the next generation of cyber threats, Policy Brief, 12 pages, January 2022, Brookings Institution, USA.
Selon l'auteur les évolutions technologiques seront plus rapides au cours des deux prochaines décennies qu'elles ne l'ont été au cours des 2 ou 3 précédentes, en particulier parce que désormais davantage de pays (Chine, Russie notamment) sont en mesure de concurrencer les acteurs traditionnels de l'innovation. Les efforts devraient d'autre part être plutôt concentrés sur les moyens permettant de bloquer les attaques, donc sur le sécuritaire/défensif (avec un focus sur le domaine cyber), que sur les pures technologies offensives, en particulier létales.
CRS Report on Cybersecurity and Deterrence Policy
Chris Jaikaran, "Cybersecurity; Deterrence Policy", CRS Report, Washington, January 18, 2022, 29 pages.
"Many policymakers have embraced deterrence as a driving policy position for addressing attacks in cyberspace. However, deterring attacks remains elusive as nations disagree on acceptable behavior and criminal groups proliferate. This CRS report examines the policy of deterrence, how it may be implemented, and options for Congress." ...
Tuesday, January 18, 2022
Allianz Risk Barometer 2022
Le Baromètre des Risques d'Allianz 2022 place le cyber en première position de son classement des risques dans le monde pour 2022. L'étude identifie 10 sources de risques pour les Etats, et en établit un classement pays par pays. Ces 10 risques sont les suivants: cyber-incidents, interruption des activités commerciales, catastrophes naturelles, pandémies, changements de législation, changement climatique, incendies/explosions, évolutions des marchés, pénurie de main d'œuvre, évolutions macro-économiques. Dans un grand nombre de pays le risque cyber est soit en première position, soit en seconde. La carte ci-dessous, reconstituée à partir des données publiées dans le rapport, indique en rouge les pays pour lesquels le cyber-risque est au premier rang, en orange les pays dans lesquels il ne serait qu'en seconde position. Pour la Chine, qui n'apparaît pas sur cette carte, le risque cyber est en 4ème position. La Russie n'est pas intégrée à la liste des pays que référence le rapport rendu public.
La place du cyber dans la politique du gouvernement de la République Tchèque
Le nouveau gouvernement de la République tchèque vient de publier son programme politique, document de 58 pages, en date de janvier 2022. Le document est disponible en anglais: "Policy Statement of the Government of the Czech Republic". Un assez long chapitre (pp.36-38) intitulé "Digitisation" est dédié au numérique, à l'internet, au cyber, aux données, à la transparence. A l'ordre du jour: numérisation des services de l'Etat, accélération de l'open data, renforcement de la cybersécurité dans les secteurs public et privé, coopération avec l'UE et l'OTAN, lutte contre les menaces hybrides, élargissement de la couverture internet dans le pays...
Monday, January 17, 2022
SolarWinds - new report by GAO
A new 50 pages report produced by the GAO (United States Government Accountability Office) has been published on January 2022, on the "Federal Response to SolarWinds and Microsoft Exchange Incidents" (GAO-22-104746).
Espagne - Stratégie de Sécurité Nationale 2021
C’est avec une année d’avance sur l’agenda qui aurait dû être le sien que l’Espagne a publié fin décembre 2021 sa stratégie de sécurité nationale (la précédente datait de 2017, la nouvelle aurait dû être publiée fin 2022). Cette publication anticipée est justifiée par un changement accéléré de l’environnement stratégique international : effets produits par la pandémie, accélération du recours à des stratégies hybrides (mélange d’actions étatiques et non étatiques pour faire pression sur les gouvernements démocratiques) dans le monde, changement climatique, cyberattaques, crise financière… Les incertitudes sont nombreuses, les Etats restent néanmoins toujours aussi interdépendants, le risque est alors grand de crises produisant leurs effets en cascade, avec des mouvements migratoires s’amplifiant, et potentiellement de nouveaux conflits armés. Pour faire face à ces défis les organisations internationales se trouvent face à un dilemme : d’un côté la tentation ou tendance au repli stratégique des Etats, de l’autre la nécessité de coopérer et partager l’information pour une approche collective des enjeux.
Le contexte international posé,
le document décline alors une longue série de « risques et menaces »
à la sécurité nationale : tension stratégique et régionale, terrorisme,
épidémies, menaces contre les infrastructures critiques, catastrophes, espionnage
et ingérence, désinformation, vulnérabilités du cyberespace, de l’espace
maritime, maritime, aérospatial, instabilité économique, crime organisé flux
migratoires illégaux, vulnérabilité énergétique, prolifération d’armes de
destruction massive, effets du changement climatique.
Le paragraphe dédié aux menaces
dans le cyberespace décline tous les mots clefs actuels : cyberattaques, ransomware,
cybercrime, cyber-espionnage, surface d’attaque croissante, réseaux sociaux,
télétravail, 5G, internet des objets, données, sécurité de l’information, intelligence
artificielle, big data, algorithmes, vie privée, systèmes autonomes, et enfin
informatique quantique.
Le document énonce des principes
et des objectifs assez généraux. En matière de protection du cyberespace par
exemple, il est question d’en garantir un usage sûr, de protéger les droits des
citoyens, le progrès économique et social, et pour cela il est nécessaire d’accroître
les moyens technologiques, humaines et financiers au service de la
cybersécurité.
Friday, January 14, 2022
The Heat Index, baromètre des cyberconflits
Le Heat Index est un indice produit par une équipe de la Johns Hopkins University. L’objectif de cet indice est d’évaluer la probabilité d’occurrence de futurs cyber conflits. L’indice est basé sur un ensemble de variables (capacités cyber des Etats, vulnérabilités, motivations, etc.) dont le traitement est supposé fournir une photographie, à l’instant t, de la situation internationale et du risque de cyberconflit. Si cette grille de lecture est intéressante, l’entreprise n’en reste pas moins discutable sur quelques points.
La base ne s’intéresse qu’à des
conflits impliquant deux belligérants : Russie versus Ukraine, Chine
versus Inde, etc. C’est d’ailleurs
un choix assumé : “Cyber attacks by one country against another are a
recurring feature of 21st Century geopolitics”. Mais c’est aussi un
choix discutable. Les cyberconflits sont-ils voués à n’être que bilatéraux ?
Sans doute non.
Le baromètre proposé n’offre
guère de surprises, en termes d’informations. Arrivent en effet en tête du
classement des cyber affrontements entre Russie et Ukraine, Chine et Inde, etc.
Autant de scénarios connus. L’indice, en traitant des informations open-source,
ne permet pas d’isoler de potentiels conflits jusqu’alors ignorés.
Le classement permet d’établit
deux listes : celle des agresseurs (aggressors), celle des pays agressés
(defenders). Le périmètre des agresseurs comprend : Russie, Chine, Israël,
Etats-Unis, Corée du Nord, UK, Iran, Turquie, Inde, Egypte, Pakistan, Grèce.
Celui des « agressés » comprend Ukraine, Inde, Iran, USA, Russie,
Taïwan, Palestine, Japon, UK, Corée du Sud, Australie, Canada, Israël, Grèce,
Népal, Ethiopie, Pakistan, Turquie. Mais
un nombre significatif de pays sont ainsi à la fois agresseurs et agressés. En
reportant toutes les données dans une carte (voir l'illustration ci-dessous dans laquelle nous reportons les pays qui dans le baromètre apparaîssent comme agresseurs, défenseurs, mais aussi à la fois agresseurs et défenseurs), nous visualisons le monde des cyberconflits, en cours ou potentiels. On observe immédiatement que la planète
serait coupée en deux univers, car le cyberconflit paraît épargner toute l’Amérique
du Sud et l’Amérique centrale, pratiquement tout le continent africain, sans
parler de l’Europe (!) et de l’Asie du Sud. Toute cette partie du monde serait
donc vraiment épargnée par les cyberconflits, plus pacifique, moins
belliqueuse, moins exposée à ce type d’affrontement ? Les trous dans la
carte sont plus sûrement justifiables par la nature des données qui sont
exploitées pour produire le baromètre.
Thursday, January 13, 2022
War, cyber war and cyber operation exclusion clauses
Last November 25, 2021, the Lloyd’s Market Association published 4 model clauses (LMA 5564/5565/5566/5567) titled “war,cyber war and cyber operation exclusion clauses”. The objective is to exclude from insurance and reinsurance policies, all losses caused by war and cyber operations.
I - The 4 clauses provide different levels of covers.
- Exclusion n°1 (LMA 5564): excludes losses from all kinds of cyberattacks by State actors
- Exclusion n°2 (LMA 5565): covers losses (with specified coverage limits): that are not due to retaliatory operations between the 5 “specified States”; that do not have a major detrimental impact on national security and defense
- Exclusion n°3 (LMA 5566): provides the same conditions as exclusion n°2, except that it does not specify coverage limits
- Exclusion n°4 (LMA 5567): same coverage as exclusion n°3, but it adds the coverage of effects on “bystanding cyber assets”.
II - The four documents are titled “War, Cyber War and Cyber Operation Exclusion”. The definitions of “war” and “cyber operations” are provided. But no definition of “cyber war” is proposed. “Cyber operation means the use of a computer system by or on behalf of a state to disrupt, deny, degrade, manipulate or destroy information in a computer system of or in another state”.
III - Although the definition of “cyber operations”
focuses on state-to-state aggressive activities, it also includes operations
realized “on behalf” of a State. Such perimeter may include a wide spectrum of
actors (state actors such as intelligence agencies, militaries, and non-state
actors such as organized crime groups, terrorist organizations…) and
situations.
IV - The approach is constructed on the basis of only 2 categories of actors: the State and the insurer.
- State level:
o
“States: means sovereign
state »
o
Government
of the State (intelligence, security services) (who is in charge of the
attribution process)
o
Vital
functions of a State: “financial institutions and associated financial market
infrastructure, health services or utility services”
o
“Specified States means China, France,
Germany, Japan, Russia, UK or USA”
o
“Impacted state means any state where a
cyber operation has had a major detrimental impact on: 11.1. the functioning of
that state due to the direct or indirect effect of the cyber operation on the
availability, integrity or delivery of an essential service in that state; and/or
11.2. the security or defence of that state.
o Those who act “on behalf” of a State
- The insurer
V - The coverage of losses is based on the attribution of the cyber-operations. Who is in charge of the attribution?
a) the
government of the State where the attacked system is located,
b) if the
government of the State is unable to attribute the attack, then “it shall be
for the insurer to prove attribution by reference to such other evidence as is
available”.
Wednesday, January 12, 2022
Report of the GAO on the implementation of FISMA requirements
The recent report of the GAO on the implementation of FISMA requirements, which was released on January 11, 2022, highlights the insufficient enforcement of the rules defined by law.
The Federal Information Security Modernization
Act of 2014 (FISMA)
was enacted to "provide a mechanism for improved oversight of agencies'
information security programs". According to this new report, “inspectors general (IG) identified uneven implementation of cyber
security policies and practices.” In 2020, “seven of the 23
civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective
agency-wide information security programs” (in 2017 and
2018, only 6 agencies complied with the rules, and 5 in 2019).
GAO recommendations are only partially taken into
account: “GAO has also routinely reported on agencies’ inconsistent implementation
of federal cybersecurity policies and practices. Since 2010, GAO has made about
3,700 recommendations to agencies aimed at remedying cybersecurity
shortcomings; about 900 were not yet fully implemented as of November 2021.” The Department of Defense does not fully comply
with the rules and this situation is impacting
its cybersecurity:
“90 percent of cyberattacks could be
defeated by implementing basic cyber hygiene and sharing best practices”. The
GAO made a series of recommendations to the DoD, so that the latter improves
its “cyber hygiene”. But « As of
December 2021, DOD had not yet implemented any of the seven recommendations
».
What then are the reasons for such insufficient
application of the law? Some have been formulated: according to the agencies,
this is due to the « lack of resources » (be it human resources, time restrictions,
etc.). They claim they do “not have
enough time to implement new requirements and/or remediate findings identified
in the annual FISMA reviews before the next FISMA review starts”. They also
criticize the purely bureaucratic approach imposed on them by the FISMA: “FISMA reviews are too focused on compliance
and are not focused enough on effectiveness”.
Tuesday, January 11, 2022
Countering Russian State-Sponsored cyber-attacks
“Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure”. January 11, 2022.
This document,
co-authored by three US agencies (the CISA, NSA and FBI), provides an overview
of Russian state-sponsored (APT) cyber-attack methods and actors. The document
recalls a whole set of cybersecurity rules that organizations must put in place
in order to anticipate attacks, detect them and know how to deal with them. The
implementation of counter-attacks (offensive responses) is not mentioned in this report.
Budapest Convention on Cybercrime: 20 years of existence
The Budapest Convention on Cybercrime (ETS n°185) was enacted and opened for signature on November 23, 2001. Since then, the Convention ha entered into force in 66 countries worldwide. The Council of Europe website provides the list of States which have adopted the Convention. We will emphasize that :
-
All EU member States are party to the Convention.
- Great powers have joined in this project (the United States, Canada, Australia...). But many others, which appear to be hotspots of the international cybercrime, are absent (Brazil, China, Russia, India...)
The map below shows all of the countries in which the Convention has entered into force since 2001.
Even if the number of partners is honorable today, it
should be noted that this result is the fruit of 20 years of work. The annual
rate of integration remains relatively low (below, the number of countries
which annually adopt the Convention).
Conferences on Cyber Security and Defense in 2022 and 2023
The conferenceindex.com website provides a very long list of cybersecurity and defense conferences organized around the world in 2022 and 2023:
- 331 conferences in 2022
- 222 conferences from January to september 23, 2023.
Here is the geographic distribution of 2022 Conferences. The top-5 countries are: United States (39 conferences), Italy (26), Turkey (24), United Arab Emirates (24), and France (19).
Let’s remind that the authors of this inventory
do not claim to provide a completely exhaustive inventory. The figures
presented here must therefore be used with all the necessary precautions.
Monday, January 10, 2022
International Conference on Cryptology, Coding Theory and Cyber Security 2022 (I4CS22)
The first International Conference on Cryptology, Coding Theory and Cyber Security 2022 (I4CS22) will be held on 4-15-16 Jully 2022 in Casablanca, Morocco. I4CS is an international conference on the theory and applications of cryptology, coding theory, and cyber security.
Paper submission; February 16, 2022.
Rapport de l'Atlantic Council sur les conflits à venir
Alors que le gouvernement américain se prépare à publier une nouvelle stratégie de défense nationale, le think The Atlantic Council a proposé fin décembre un rapport intitulé “Seizing the Advantage: A Vision for the Next US NationalDefense Strategy” (72 pages, Washington, 21 décembre 2021) dans lequel il dresse un bilan de la situation dans laquelle se trouve l'Amérique aujourd'hui sur le plan de la sécurité et de la défense nationale et propose quelques mesures qui devraient être prises dans l'urgence pour contrer les velléités de la Chine et de la Russie, menaces à la paix mondiale.
Le rapport s’ouvre sur une affirmation
discutable : « the risks to the United States, its interests, and
those of its allies and partners are more pronounced than even four years ago”.
Ce qui nous semble discutable ici, c’est cette assimilation systématique
qui est faite entre les intérêts des Etats-Unis et ceux de ses alliés ou
partenaires. La Chine et la Russie défient l’Amérique, et si la pression s’exerce
également sur d’autres Etats dans le monde, que ce soit en Asie, en Europe ou
ailleurs, elle n’est sans doute pas partout la même. Mais cette Amérique là se
plaît toujours à faire universels ses projets et ses intérêts.
Dans ce rapport, plus
généralement dans l’approche géostratégique et politique américaine officielle,
la menace terroriste est désormais reléguée à l’arrière-plan. Exit la menace
terroriste islamiste, de l’Etat islamique? Dès les premières pages du document,
est insérée une citation extraite de la National Defense Strategy (2018) du Département
de la Défense américain : « Inter-state strategic competition, not
terrorism, is now the primary concern in U.S. national security ».
Il ne resterait donc plus, pour
décider du sort du système international, que 3 Etats : les Etats-Unis,
menacés par la Chine et la Russie. Les autres acteurs que sont l’Iran et la
Corée du Nord ajoutent bien sûr à la menace mais ne semblent pas aussi centraux.
Viennent complexifier la situation bien d’autres défis : la violence des
organisations extrémistes, le changement climatique, l’augmentation de l’arsenal
nucléaire des puissances hostiles, etc.
Ce conflit avec la Chine et la
Russie est analysé sous l’angle des affrontement
hybrides (désignant une combinaison d’actions de nature politique,
économique, diplomatique, militaire, d'opérations d’information, de cyber-opérations, d'opérations spéciales…), formes qu’il prend aujourd’hui. Mais la vision du
conflit et du système international délivrée est classique, renvoyant à des affrontements
frontaux entre grandes puissances, entre Etats, dans lesquels est réaffirmée l’importance
de facteurs tels que la masse ou le nombre (d’armes autonomes, de missiles, de
cyberattaques…), la vitesse (des frappes, de la prise de décision…) et la
surprise.
Pour contrer ces menaces, le think tank The Atlantic Council préconise :
- D’adopter des mesures offensives d’affrontement hybride dans la zone grise (formes d’affrontements en dessous du seuil de la guerre armée), de manière urgente
- De construire les forces de défense capables de se battre dans ce nouvel espace de conflit, en sachant s’adapter aux nouvelles conditions ;
- De redynamiser dans le monde les partenariats de défense, avec les acteurs habituels, et de nouveaux ;
- De focaliser les efforts sur la dimension technologique.
Dans le discours américain il y a donc deux niveaux de légitimation de l’action. Le premier consiste à désigner l’autre comme étant l’adversaire, la menace existentielle. Le second consiste à affirmer que l’autre est l’initiateur du conflit, et que la nature des agressions subies n'est qu'une réaction nécessaire qui justifie les moyens mobilisés pour les contrer. Le récit est somme toute conventionnel. Le « cyber » n’y occupe pas une place centrale, et cela contribue aussi à revenir à une vision des conflits armés qui bien que très technologisés, s’expriment dans tous les domaines. On notera enfin que la vision ou les intérêts de l’Union Européenne ne sont guère invoqués dans cette lecture des rapports de force mondiaux.
Saturday, January 8, 2022
International Conference on Cyberconflict and Global Politics - Berlin, May 23-24, 2022
The Stockholm Criminology Symposium - June 13–15, 2022
The main theme for this Stockholm Criminology Symposium is understanding the mechanisms that cause crime and promote desistance from crime. But there is also a general theme on Contemporary Criminology.
Last day to submit the abstract is February 28, 2022. Instructions here.
Friday, January 7, 2022
Nation States, Cyberconflict and the Web of Profit, report by Dr. Michael McGuire,
Dr. Michael McGuire, Nation States, Cyberconflict and the Web of Profit, April 2021, 33 pages, report sponsored by HP.
This 33 pages report, authored by Dr. Michael
McGuire, senior lecturer in criminology at the University of Surrey, focuses on
Nation States Cyberconflict and the increasing
role of States in cyberviolence. The most relevant aspect of this escalation
is the intersection between Nation
States and the cybercrime economy (aka “The Web of Profit”). Cybercriminals
market tools and services that some States acquire; conversely, tools (malware
for example) developed by States can be found on black markets, available for
cybercrime (or, why not, other States). According to M. McGuire, the results of
his research highlights a novel
phenomenon: “a
merging of traditional international relations with the cybercrime economy and
the tools and techniques which now drive the digital underground.” But while
the phenomenon is important, we do not think that it is completely new. Let’s
remind that in his book titled “Inside Cyber Warfare“ (2012) Jeffrey Carr described
how organized crime and States could converge and cooperate in cyber offense
activities.
One of the most interesting points of this report consists in the methodological approach, and particularly in the typology of cyberconflicts characteristics which is proposed. 10 distinctive features are used to analyze and describe nation state cyberconflicts: asymmetric, invisible, molecular, multi-dimensional, glocal, personal, prismatic, hybridised, agnostic, and cultural. The study also identifies a set of typical nation states strategies, objectives, targets and techniques.The objective is to be able to differentiate state actions from those of cybercrime. But the exercise is made perilous precisely because of the convergence of the two.
"Military Applications of Extended Reality" (CRS In Focus)
New "In Focus" published by the Congressional Research Service, on the "Military Applications of Extended Reality". (January 4, 2022). This paper, signed by Kelley M. Sayler (Analyst in Advanced Technology and Global Security) reminds us what the definition of "extended reality" (or XR) is:
XR = Virtual Reality (VR) + Augmented Reality (AR) + Mixed Reality (MR).
XR has several potential and current applications in the military domain, both for training and warfighting. But XR also raises several issues, in terms of investments, technological maturity, manpower requirements, and cybersecurity (XR systems may be targeted by cyberattacks).