Les enquêtes sur la cybercriminalité ne nous disent pas ce que nous devons savoir

Pendant des années, des représentants du gouvernement, des articles de presse et des sociétés de sécurité ont mis en garde contre les dangers et l'impact de la cybercriminalité. Patrick Peterson, chercheur en chef en sécurité chez Cisco, a estimé que les pertes s'élevaient à 560 millions de dollars en 2009. Killian Strauss de l'Organisation pour la sécurité et la coopération en Europe les a estimées à 100 milliards de dollars par an. Et en mars 2009, Edward Amoroso, directeur de la sécurité d'AT&T, a soumis un témoignage écrit au Comité sénatorial du commerce, des sciences et des transports des États-Unis, estimant que la cybercriminalité rapportait des revenus illicites d'environ 1 000 milliards de dollars par an.





Pour certains chercheurs, ces chiffres très différents suggèrent que les méthodes actuelles de calcul des pertes liées à la cybercriminalité sont si médiocres que nous n'avons en fait aucune idée de l'ampleur du problème. Et sans bonnes données, disent-ils, il n'y a aucun moyen de le combattre intelligemment.

Comment se peut-il? dit Cormac Herley , chercheur principal chez Microsoft Research, sa voix s'élevant dans l'incrédulité. Comment pouvez-vous avoir des estimations d'un même problème sur trois ordres de grandeur ?

En fait, dit Herley, lorsqu'il a vu ces chiffres, il a estimé qu'ils n'avaient tout simplement aucun sens. Non seulement ils sont partout sur la carte, mais certains d'entre eux semblent également incroyablement élevés. Par exemple, dit-il, les revenus de la cybercriminalité de 1 000 milliards de dollars signifient 5 000 $ pour chaque adulte américain qui passe du temps en ligne.



De mauvaises données ont des conséquences. Sans chiffres, nous ne pouvons pas faire de bonnes politiques ou de bonnes décisions d'investissement, dit Herley. Non seulement cela, mais nous ne pouvons pas comprendre d'où viennent les principales menaces. Les criminels tirent-ils l'essentiel de leur argent de l'enregistrement de clés ? Attaques de phishing très ciblées (spear phishing) ? Attaques par force brute sur les mots de passe des gens ? C'est affligeant, dit-il.

Herley s'est lancé dans une étude des méthodes utilisées pour calculer ces nombres et les a trouvées très insuffisantes. La plupart des statistiques proviennent d'enquêtes dans lesquelles les répondants sont invités à déclarer s'ils ont été victimes d'un crime et combien ils ont perdu. Les sondages sont difficiles, dit Herley. Ses recherches ont révélé un certain nombre de raisons pour lesquelles les enquêtes sur la cybercriminalité sont particulièrement difficiles.

Les scientifiques ont de très bonnes méthodes pour sonder, disons, les intentions des électeurs. Dans ce cas, vous vous concentrez sur l'obtention d'un bon échantillon représentatif. Les inexactitudes comptent, mais quelques-unes d'une manière ou d'une autre ne feront pas beaucoup de différence.



La cybercriminalité est une toute autre histoire. D'une part, les enquêtes sur la cybercriminalité tentent de mesurer un nombre : combien d'argent a été perdu. Dans ce cas, les réponses individuelles peuvent faire une énorme différence. Un sondage sur le vote n'est pas très gêné si quelqu'un qui envisage réellement de voter démocrate déclare son intention de voter républicain. Mais si un répondant à l'enquête qui a perdu 50 000 $ à cause de la cybercriminalité prétend avoir perdu 500 000 $, tout calcul basé sur cette information sera complètement détraqué.

Il y a d'autres problèmes. Tout électeur inscrit a des informations utiles à signaler. Mais tout le monde n'a pas une histoire utile à raconter sur la cybercriminalité, ce qui signifie qu'un petit nombre de réponses peut faire une énorme différence. Par exemple, dans une enquête de 2006 menée par Gartner Research, 128 personnes sur 4 000 ont déclaré avoir été victimes. Herley calcule que 59 % des pertes proviennent des 1 % des répondants les plus nombreux qui ont été victimisés, dans ce cas, une seule personne. Il pense que de telles préoccupations rendent impossible la fiabilité des données provenant de la plupart des enquêtes sur la cybercriminalité.

Comprendre l'impact de tout crime est problématique, dit Julie Ryan , professeur principal en gestion de la sécurité de l'information à l'Université George Washington. Cependant, dit Ryan, la cybercriminalité pose des problèmes particuliers car la plupart des gens ne sont pas bien équipés pour répondre aux questions techniques à ce sujet. Par exemple, certains répondants à une enquête peuvent ne pas savoir s'ils ont été victimes d'une attaque de phishing ou, en fait, si quelque chose leur a été volé en conséquence. Alors là, nous avons un problème, dit Ryan. Crime potentiel potentiellement indétectable, aggravé par un espace cible en grande partie ignorant.



Pour aggraver le problème, il est difficile d'obtenir des informations impartiales, dit Ryan. Les grandes entreprises pourraient être réticentes à admettre qu'elles sont victimes de cybercriminalité, car un tel aveu pourrait leur faire perdre des clients. D'un autre côté, les entreprises de sécurité, qui mènent souvent des enquêtes sur la cybercriminalité, bénéficient lorsque les gens prennent la cybercriminalité au sérieux.

Herley souhaite que les entreprises et les organisations qui mènent des enquêtes publient beaucoup plus d'informations, ce qui permet aux chercheurs d'évaluer plus facilement leurs méthodes. Par exemple, ils pourraient publier des chiffres médians pour la cybercriminalité, qui ne sont pas aussi susceptibles que les chiffres moyens ou moyens d'être déformés si quelques personnes exagèrent ou se trompent.

Herley suggère également que les réclamations de grosses pertes fassent l'objet d'un examen minutieux. Vous risquez une erreur catastrophique, dit-il.



cacher