Utiliser les données de Kaspersky sur les cybermenaces (suite). Comparer données mensuelles et hebdomadaires

Les données publiées sur Securelist sont organisées en données mensuelles, hebdomadaires et quotidiennes. La question est la suivante: obtient-on les mêmes photographies ou distributions géographiques des cybermenaces, selon que l'on exploite les valeurs quotidiennes, hebdomadaires ou mensuelles? 

Les cartes ci-dessous permettent de visualiser la distribution géographique des différentes variables de la cyber menace, observées au cours de la semaine précédant le 23 juillet 2023. Les nuages de points confrontent les données mensuelles (téléchargées le 6 juillet 2023) à ces données hebdomadaires. On observe une corrélation relativement forte sur l'ensemble des variables, exception faite de la variable "exploits". 

Distribution des cybermenaces dans le monde. Exploiter les données de Kaspersky

Le site Securelist publie des données actualisées en permanence sur un ensemble de cybermenaces, détectées dans le monde par Kaspersky. 

Les données, disponibles par pays, sont exprimées en % du nombre de clients de Kaspersky sur les ordinateurs desquels les cybermenaces ont été détectées (et donc arrêtées). Les données couvrent les périodes suivantes : journalière, hebdomadaire, mensuelle. Les cybermenaces sont regroupées en 8 catégories : ransomware, exploits, web threats, spam, malicious malware, network attacks, local infections, on-demand scan.

Nous n’avons utilisé ici que les données mensuelles (téléchargées les 5 et 6 juillet 2023), adaptées à une lecture macro. 

D’autres jeux de données, produits par d'autres entreprises de cybersécurité, offriraient peut-être une vision différente de la distribution et de l'intensité des menaces cyber. Il serait donc hasardeux, à partir de ces seules informations, de tirer la moindre conclusion définitive ou leçon générale. Néanmoins quelques éléments intéressants peuvent être observés. 

1 - Les 8 catégories sont toutes distribuées sur l’ensemble du système international. Aucun territoire n'est épargné, même si certaines cybermenaces peuvent paraître souvent marginales en raison de leur fréquences extrêmement basse. 

2 - Les cybermenaces ne se distribuent pas géographiquement toutes de la même manière. Les cartes ci-dessous illustrent ce constat.  

3 - L’intensité des menaces varie fortement d’une catégorie à l’autre et d'un pays à l'autre. Moyennes (% d'ordinateurs/systèmes de clients Kaspersky sur lesquels les cybermenaces sont détectées) : 

- Web threats: 10,72% ; On-demand scan: 8,34% ; Local Infection: 7,65% ; Network attacks: 1,33% ; Malicious mail: 1,24% ; Spam: 0,53% ; Exploits: 0,3% ; Ransomware: 0,14% 

4 - Les pays en guerre (par exemple Ukraine versus Russie) ne semblent pas être tout particulièrement exposés aux cybermenaces. Ils ne le sont ni plus ni moins. Cette observation méritera une analyse sur le long terme, afin de confirmer ou infirmer l'observation, qui a son importance du point de vue de la compréhension des facteurs de la cybermenace et de leur impact dans les pays en guerre et plus largement de leurs évolutions en fonction des variations de contextes (sociaux, politiques, économiques, etc.)  

5 - L'observation pourra être réitérée à intervalles réguliers, afin de voir de quelle manière ces distributions géographiques mais aussi la fréquence de chaque catégorie de cybermenaces peuvent être amenées à évoluer.

Ci-dessous: cartes reconstituées à partir des données disponibles en téléchargement sur le site Securelist.

Convention de Budapest : quelques constats

La Convention de Budapest compte à ce jour 68 pays membres et 20 pays observateurs. Du premier groupe, 39 sont également signataires du 2nd protocole additionnel. 

La moyenne de l'indice de cybersécurité (NCSI) des 68 membres s'établit à 64,34 (échelle de 0 à 100), pour 37,4 dans les pays observateurs. 

Les 68 membres comptabilisent 1, 779 milliards d'internautes. Le groupe des observateurs compte quant à lui 294 millions d'internautes (source: https://www.internetworldstats.com/stats.htm). Le nombre d'internautes dans le monde étant approximativement de 5,4 milliards, la surface couverte par les pays membres et observateurs de la Convention en recouvre 37%. 

(en rouge les pays membres; en bleu les pays observateurs)

Dans cette illustration, les pays membres et observateurs sont représentés en fonction de la valeur de leur indice de cybersécurité (NCSI). On observe que les pays européens sont ceux qui, au sein de la convention de Budapest, ont les indices les plus élevés. 

  

New book: "Cybercrime during the SARS-CoV-2 Pandemic (2019-2022)". Daniel Ventre, Hugo Loiseau (Eds)

New book: "Cybercrime during the SARS-CoV-2 Pandemic (2019-2022)". Daniel Ventre, Hugo Loiseau (Eds). Wiley/ISTE, July 2023, 254 pages. ISBN : 9781786308016. 

Sold by : Amazon.com  Les Traversées  Librairie Maupetit Perlego Wordery Wook 

 

Contents: 

1. The Evolution of Cybercrime During the Covid-19 Crisis, Daniel Ventre.

2. The SARS-CoV-2 Pandemic Crisis and the Evolution of Cybercrime in the United States and Canada, Hugo Loiseau.

3. Online Radicalization as Cybercrime: American Militancy During Covid-19, Joseph Fitsanakis and Alexa McMichael.

4. Cybercrime in Brazil After the Covid-19 Global Crisis: An Assessment of the Policies Concerning International Cooperation for Investigations and Prosecutions, Alexandre Veronese and Bruno Calabrich.

5. Has Covid-19 Changed Fear and Victimization of Online Identity Theft in Portugal?, Inês Guedes, Joana Martins, Samuel Moreira and Carla Cardoso.

6. A South African Perspective on Cybercrime During the Pandemic, Brett van Niekerk, Trishana Ramluckan and Anna Collard.

Scams in Singapore in 2022. Annual report of the police

La police de Singapour a publié début 2023 le bilan annuel 2022 du cybercrime et en particulier des scams. 

Le rapport, tout au long de ses 22 pages, analyse en données chiffrées les diverses formes du scam. On en retiendra que le phénomène, globalement, est en progression constante. De plus en plus de faits sont rapportés, et les montants en jeu toujours plus élevés. 

Les montants des pertes financières sont en nette progression depuis 2020. Un effet de la période Covid et des phases de confinement qu'a connues Singapour?  

2020 est également l'année au cours de laquelle le scam/cybercrime dépasse le nombre de crimes physiques dans la cité-Etat (crimes physiques qui n'ont d'ailleurs cessé de diminuer au cours de ces 30 dernières années). 

(sources des données utilisées pour les années 2018 à 2022: Singapore Police Force, Annual Scams and Cybercrime Brief 2022, Singapore, 22 pages, 16 Feb. 2023, https://www.police.gov.sg/-/media/Spf/PNR/2023/Feb/Police-News-Release---Annual-Scams-and-Cybercrime-Brief-2022.ashx)

SpecTor, DisrupTor, Dark HunTor. Europol Operations

Coordonnés par Europol, plusieurs vastes coups de filet internationaux ont été menés ces dernières années dans le cadre de la lutte contre la cybercriminalité. Les opérations les plus marquantes visent à démanteler des plates-formes du darknet et procéder à l'arrestation de centaines de vendeurs et clients répartis dans de nombreux pays. Quelques résultats significatifs peuvent être affichés. 

L'opération SpecTor annoncée le 2 mai 2023 a permis l'arrestation de 288 personnes dans 9 pays: United States of America (153); United Kingdom (55); Germany (52); The Netherlands (10); Austria (9); France (5); Switzerland (2); Poland (1); Brazil (1). (carte ci-dessous constituée à partir des données Europol)

L'opération Dark HunTor (octobre 2021) s'était soldée par l'arrestation de 150 individus dans 8 pays: United States of America (65); Germany (47); United Kingdom (24); Italy (4); The Netherlands (4); France (3); Switzerland (2); Bulgaria (1). (carte ci-dessous constituée à partir des données Europol)

L'opération DisrupTor (septembre 2020) avait quant à elle permis l'arrestation de 179 personnes dans 6 pays: United States of America (121); Germany (42); The Netherlands (8); United Kingdom (4); Austria (3); Sweden (1). (carte ci-dessous constituée à partir des données Europol)

Les arrestations donnent lieu à d'importantes saisies de drogue, armes, et argent liquide.

L'essentiel du contingent de criminels arrêtés (somme des trois opérations ci-dessus évoquées) est ainsi concentré sur trois territoires: les Etats-Unis (339 individus), l'Allemagne (141), le Royaume-Uni (83). Les pays suivants sont les Pays-Bas (22), l'Autriche (12), la France (8), l'Italie (4), la Suisse (4), le Brésil (1), la Bulgarie (1), la Pologne (1), la Suède (1).

Le rapport entre continent américain et européen est moins déséquilibré qu'il n'y paraît: 340 arrestations pour l'Amérique, 277 pour le versant européen.

Plus d'informations relatives à ces opérations: site EUROPOL

AMUSEC 2023

La conférence AMUSEC 2023, s'est tenue à Luminy les 25 et 26 mai, sur le site du CIRM. Les vidéos des interventions sont désormais en ligne. 

2023 DoD Cyber Strategy

Le Département de la Défense américain a transmis au Congrès, la semaine dernière, le nouveau projet de Stratégie Cyber (2023 DoD Cyber Strategy). Ce document, dans son intégralité, reste confidentiel. Mais les grandes lignes sont présentées dans le document Fact Sheet: 2023 DoD Cyber Strategy. 

Cette stratégie du DoD s'inscrit dans le prolongement de plusieurs autres stratégies cyber américaines récentes: 2022 National Security Strategy; 2022 National Defense Strategy; 2023 National Cybersecurity Strategy; 2018 DoD Cyber Strategy. 

Elle repose sur l'expérience acquise au cours de ces dernières années ("disrupting malicious cyber activity before it can affect the U.S. Homeland") et prend bien sûr en compte les leçons du conflit russo-ukrainien actuel. 

Le périmètre de ses adversaires majeurs ne change pas: Chine, Russie, Iran, Corée du Nord. Mais il compte aussi les organisations extrémistes ("violent extremist organizations") et organisations criminelles transnationales. Le DoD intègre donc dans ses missions une dimension "lutte contre le cybercrime". 

Les indices pour l'IA

L’IA a vu apparaître ces dernières années ses indices dédiés. Le principal objectif de ces instruments est de saisir en quelques chiffres l’évolution de l’IA sous ses diverses dimensions (économie, recherche…). Ils traduisent également l’état des rapports de forces économiques, scientifiques, technologiques, dans le monde. Ils classent parfois les acteurs - le plus souvent les Etats - en fonction de leurs performances. Nous en recensons ici quelques-uns :

- Global AI Index: Cet indice est construit autour de 8 variables (Talent, Infrastructure, Operating Environment, Research, Development, Government Strategy, Commercial) (2023). L'indice ne classe que 62 pays. 

- AI Index Stanford : couvre la période 2017-2023

- L’AI Index 15, suit l’évolution du cours boursier d’entreprises en IA  

- L’ AI Watch Index 2021 (sur le site de la Commission Européenne), pour l’année 2021 uniquement. 

- PATENTSCOPE Artificial Intelligence Index, de l’OMPI

- AIRankings

- Government AI Readiness Index – Oxford, 2017-2022 

- IBM’s Global AI Adoption Index 2021 et 2022

- …

Illustration: classement des Etats, en 2023, établi d’après les données du Global AI Index en fonction de leurs performances globales. Les pays les mieux classés sont en bleu clair, les moins bien classés en bleu foncé. Les pays pour lesquels l'indice ne fournit pas de données sont grisés sur la carte. 

Le Global AI Index propose, pour chacune des 8 variables d'observation, un classement des Etats (de 1 à 62). Selon les variables, le classement des Etats diffère, parfois fortement. Ainsi, les Etats-Unis, premiers du classement global, ne sont-ils qu'à la 17ème place quand on considère la dimension "government strategy", et 35ème position sur la dimension "operating environment". Les pays en premier rang sur chacune de ces variables distinctes sont ainsi: 

- Les USA, pour les variables "talent", "research", "development", "commercial"

- La Chine sur la variable 'infrastructure"

- l'Arabie Saoudite sur la dimension "operating environment"

- le Canada pour la "Government Strategy". 

On peut observer les variables qui sont le plus corrélées au classement global: 

 

IA: Chine versus USA, au prisme de la production scientifique, des investissements, des brevets

En quelques graphiques, visualisons les évolutions du volume de publications scientifiques et de demandes de brevets en IA, ainsi que la progression des investissements en capital risque dans l'IA, aux Etats-Unis et en Chine (ces deux pays étant les acteurs dominant l'IA dans le monde actuellement).

En Chine, on observe une évolution du volume des publications scientifiques qui, sur les deux dernières décennies, est marquée par deux vagues, l'année 2016 constituant un point de relance à partir duquel la production scientifique s'installe dans une nouvelle dynamique. Cette dynamique anime la stratégie brevets depuis 2016. Le capital risque accompagne cette tendance. 

On s'interrogera sur la décrue qui s'amorce en 2021, tant pour le nombre de publications que des brevets et les montants du capital risque. Mais peut-être cela est-il simplement dû à des statistiques encore incomplètes? Le même revirement est d'ailleurs observé aux Etats-Unis.

Les USA enregistrent eux-aussi une accélération autour de 2015-2016, en ce qui concerne les brevets et les capitaux. La croissance du nombre de publications scientifiques est quant à elle plus linéaire, moins heurtée que la production chinoise.  

Mais ces statistiques doivent certainement être complétées, affinées. Le machine learning par exemple, est-il intégré dans les décomptes des publications scientifiques en IA et des investissements financiers dans l'IA? La base de données "brevets" de l'OMPI renvoie quant à elle des résultats distincts, selon qu'on recherche des brevets en "artificial intelligence" ou en "machine learning". 

Nous avons réalisé les graphiques à partir des données disponibles sur les sites suivants:  

- Pour les brevets : WIPO Patentscope

- Pour les publications : site de l’OCDE https://oecd.ai/en/dashboards/countries

- Pour les données VC : https://oecd.ai/en/data?selectedArea=investments-in-ai-and-data&selectedVisualization=vc-investments-in-ai-by-country

The AI White Paper - Japan

En avril 2023 le LDP (Liberal Democratic Party - LDP Headquarters for the Promotion of Digital Society) japonais a publié un livre blanc sur l'IA, contribuant aux réflexions sur la stratégie nationale du pays en matière d'IA. 

Cette prise de position du parti démocrate s'interroge sur la manière dont les sociétés doivent se saisir des opportunités offertes par l'IA, en la considérant comme un nouveau catalyseur de croissance économique. Sans surprise, les auteurs du rapport rappellent combien il est essentiel de prendre en considération les risques associés à ces développements (fausses informations, atteintes à la vie privée, cyberattaques, usages militaires...). 

Le Japon, contrairement à l'UE, a choisi de ne pas réguler l'IA, depuis 2019: "In Japan, however, the basic idea that it is important to have a non-regulatory and non-binding framework for AIs was presented in 2019." 

Mais cette posture ne doit-elle pas être remise en cause, s'interrogent les auteurs, face aux applications les plus récentes de l'IA et aux nouveaux enjeux sociétaux qu'elles soulèvent? 

Surtout, le choix japonais (non régulation), ne risque-t-il pas de mettre le pays à l'écart sur la scène internationale, à l'heure où de plus en plus de pays (UE par exemple) appellent à réguler l'IA? 

Les questions que posent ce document sont de nature politique, l'objectif étant de définir la stratégie optimale (pour l'IA) qui permette au Japon de rester un interlocuteur et un acteur important sur la scène internationale.

Intelligence artificielle: investissements capitaux risqueurs

Les investissements des capitaux risqueurs (Venture Capital) dans l'IA sont principalement distribués entre les Etats-Unis et la Chine. Le graphique ci-dessous met en évidence la place relativement modeste occupée par l'UE dans cette distribution mondiale des capitaux. L'Inde et plus encore la Russie sont ici très en retrait.

Illustration: venture capital investments (en millions de US$) (total cumulé). (les graphiques sont produits à partir des données de l'OCDE: https://oecd.ai/en/dashboards/countries). 

Au sein de la zone euro, quelques pays devant tous les autres en termes d'investissements (VC investments): L'Allemagne, la France, mais aussi la Suède désormais. Ces trois Etats devancent l'Espagne, l'Autriche, la Belgique. 

Illustration: venture capital investments (en millions de US$) (total cumulé). Quelques pays de la zone euro.

Au sein des BRICs, la Chine est, de très loin, le pays le plus dynamique en la matière. 

Moratoire sur l'IA. Quelques constats sur ses signataires

Le moratoire sur l'IA a été publié le 22 mars 2023. L'initiative, dont le texte est publié sur le site https://futureoflife.org/open-letter/pause-giant-ai-experiments/ , a recueilli à ce jour 27565 signatures de soutien. 

Une analyse de la liste des signataires permet d'identifier les catégories professionnelles de ces derniers. Les universitaires (étudiants, enseignants, chercheurs) sont fortement représentés dans cette liste; suivis des ingénieurs; et bien sûr des responsables, fondateurs, chefs d'entreprises. Le logiciel est d'autre part l'un des thèmes dominants de l'activité des signataires. 

Mise à jour: au 31 juillet 2023, le moratoire comptabilise 33002 signataires.  

Défigurations de sites internet dans le monde

Le site zone-xsec référence quelques centaines de milliers (357036 précisément, en date du 4 mai 2023) de défigurations de sites internet enregistrées dans le monde. 

Si ces atteintes aux sites internet ne semblent plus guère aujourd'hui intéresser les observateurs et analystes des manifestations de la cybercriminalité (les attaques par ransomware, malware, phishing ou autres APT paraissant plus critiques), elles n'en restent pas moins une pratique qui touche l'ensemble de la planète, et ne doit pas encore être reléguée aux archives des pratiques d'un temps révolu. Quelques sites recensent encore ces défigurations. Citons ici zone-xsec, créé le 7 mai 2020, accessible à l'adresse https://zone-xsec.com/. Ce site ressemble, dans sa structuration, au sans doute plus connu car bien plus ancien, zone-h.org. 

La distribution géographique des défigurations enregistrées depuis lors (la carte ci-dessous est créée à partir des données statistiques publiées à l'adresse https://zone-xsec.com/stats) démontre à la fois que le phénomène touche encore le monde entier, et que les Etats-Unis restent une cible privilégiée. Restons cependant prudents: le site zone-xsec n'enregistre que les défigurations qui lui sont rapportées. 

La carte ci-après représente cette distribution géographique des attaques par défiguration de sites: 

ChatGPT dans le monde

Dans quels pays le chatbot ChatGPT est-il accessible? Voici en une carte la distribution mondiale de l'application (en rouge: accessible; en blanc: inaccessible, soit par choix d'OpenIA, soit parce que les autorités du pays y ont interdit l'application). La carte est réalisée à l'aide du logiciel Orange, à partir des données publiées sur le site: https://platform.openai.com/docs/supported-countries 

AMUSEC 2023

AMUSEC – 25 & 26 mai 2023 – CIRM, Marseille. Forum Aix-Marseille de la Cybersécurité. 

Présentation

Programme 

Orateurs 2023

Mon intervention s'intitulera: 

Les “Advanced Persistant Threats” au prisme des relations internationales Résumé : L’expression « Advanced Persistant Threats » désigne des catégories de groupes de hackers qui mènent des cyberattaques très intrusives et inscrivent leurs actions dans la durée. Il s’agit soit d’acteurs étatiques (renseignements, militaires), soit de groupes du cybercrime organisé. Observer l’évolution et l’organisation de ces acteurs permet de discuter des liens qu’entretiennent cybercriminels et États, de la répartition de leurs rôles dans le cyberespace, et de l’effet de leur action conjuguée sur l’état du système international (rapports de force, crises, conflits…) Nous discuterons de ces questions, en appuyant nos propos sur les résultats d’analyses européennes et américaines publiées ces dernières années sur le sujet.

Table ronde "Cybersécurité : au-delà de la technique, quelle place pour les Sciences Humaines et Sociales ?"

Le CNRS organise une table-ronde au Campus Cyber La Défense le mardi 21 mars 2022, intitulée "Cybersécurité : au-delà de la technique, quelle place pour les Sciences Humaines et Sociales ?".

Intervenants : Francesca Musiani (CNRS), Sébastien Laurent (Univ. Bordeaux), Daniel Ventre (CNRS), Nicolas Arpagian (Trend Micro), Brunessen Bertrand (Univ. Rennes)

Programme, inscriptions : https://www.ins2i.cnrs.fr/fr/cnrsinfo/table-ronde-cybersecurite-au-dela-de-la-technique-quelle-place-pour-les-sciences-humaines  

Vient de paraître : "Interceptions des communications électroniques. Histoire, technologies, politique"

Vient de paraître. "Interceptions des communications électroniques. Histoire technologies, politique". Ouvrage rédigé par Daniel Ventre (CNRS, CESDIP) et Philippe Guillot (ARCSI), publié aux éditions ISTE (Londres). 262 pages. Janvier 2023. 

Dans le cyberespace, les flux de données transitent massivement et librement à l’échelle planétaire. La généralisation du chiffrement, rendue nécessaire par le besoin de protection de ces échanges, a pour conséquence d’opposer aux États et à leurs services de renseignement une résistance qui contrarie leurs missions d’écoute et d’interception. Ces derniers ont dû trouver des moyens de briser ou de contourner ces protections.

"Interceptions des communications électroniques" analyse les évolutions des moyens de communication et d’interception ainsi que leurs mises en œuvre depuis l’avènement du télégraphe au XIXe siècle. Cet ouvrage présente ce sujet sensible sous les angles à la fois technique, historique et politique. Il répond à plusieurs interrogations : qui sont les acteurs de l’interception ? Qui produit les technologies récentes ? Comment s’organisent les marchés des moyens d’interception ? Les moyens de protection des communications sont-ils infaillibles ? Ou quelles formes de pouvoir confèrent les interceptions ?

Sites référençant cette publication: ARCSI; Librairie Delamain; Librairie Le Pavé du Canal; Librairie de la Presqu'île; Librairie Ecosphère; Google Livres; Amazon.fr; Bertrand Livreiros; Artsetlivres; Gibert; Mollat, UVSQ (Université de Versailles); CNRS - Département INSHS; 

CNRS - Formation - Panorama de la cybersécurité

Le CNRS propose une nouvelle formation intitulée "Panorama de la cybersécurité". Date: 4 au 6 octobre 2023. Lieu: Paris.  Responsables/intervenants: Gildas Avoire (IRISA), Jean-Yves Marion (LORIA), Daniel Ventre (CESDIP)

Call for abstracts - International Conference - New challenges for the criminal investigation of organized crime

"New challenges for the criminal investigation of organized crime". International Conference, organized by the School of Criminology, Faculty of Law, University of Porto – May 11-12, 2023. 

https://criminalnetworks.direito.up.pt/welcome/  

Important dates and registration: https://criminalnetworks.direito.up.pt/registration/

Programme : https://criminalnetworks.direito.up.pt/programme/

Call for abstracts:  Deadline - January 31, 2023

 

The thematic sessions are focused, but not limited, on the following topics:

• Theoretical framework of organized crime
• Intersectional lens on organized crime
• Criminal Networks
• Big Data
• Artificial Intelligence  

Les mots de la sociologie de la déviance - CESDIP

La série « Les mots de la sociologie de la déviance » est un projet de diffusion des connaissances scientifiques réalisé et produit par le CESDIP à l’occasion de son 50ème anniversaire. 

À la façon d’un abécédaire, 30 notions clés racontées en 5 minutes chacune : l'ensemble des vidéos sur Youtube 

Ma vidéo sur la cybercriminalité est disponible ici.

Guacamaya: groupe hacktiviste

Le groupe Guacamaya a volé et divulgué plusieurs TB de données d'institutions privées et organismes étatiques sud-américains. Le groupe inscrit son action dans la durée, puisque plusieurs TB étaient déjà divulgués cet été. Dernier hack en date, fin septembre, 10GB de données policières et militaires de plusieurs pays d'Amérique du Sud (Chili, Colombie, Salvador, Mexique, Pérou...)

Manifeste du groupe hacktiviste Guacamaya