10-12, 10:00–10:50 (America/New_York), Track 1 (206b)
Language: Français
Les chercheurs en criminologie ont observé qu'il existe une relation entre le type de crime commis et la situation géographique du délinquant. En outre, ils montrent une spécialisation de certains types de cybercriminalité dans certaines régions du monde.
Cette présentation vise à illustrer ces différences transnationales observées à travers nos données de honeypots. Nous montrerons comment les pirates malveillants de divers pays adoptent des comportements distincts, tout en tenant compte, bien sûr, de leur utilisation de proxies pour masquer leur identité.
Pour guider notre analyse, nous nous concentrons sur des indicateurs macrosociaux et sur la spécialisation des comportements par pays. Par exemple, nous observons que plus le PIB d'un pays est faible, plus le nombre de tentatives effectuées par un seul acteur est élevé. De plus, différentes régions utilisent souvent des outils variés : les adresses IP d'Asie privilégient les outils de monétisation et de persistance, tandis que les IP de l’Afrique se concentrent sur les outils d'exfiltration. Nos recherches explorent comment réduire les conditions propices à la cybercriminalité, ouvrant la voie à des stratégies de défense plus efficaces.
Première partie de la présentation (10 minutes) :
Cette section inclura l'introduction et la revue de la littérature sur le sujet afin d'identifier les lacunes dans les recherches existantes et de positionner notre démarche.
Les chercheurs en criminologie ont observé une relation entre le type de crime commis et la localisation géographique de l'auteur.
Dans le cas de la cybercriminalité, celle-ci se concentre souvent dans des régions possédant un fort potentiel technique mais offrant peu d'opportunités économiques (Lusthaus et al., 2018). Ainsi, les influences géopolitiques locales façonnent la décision de commettre des cybercrimes.
Il existe également une spécialisation de certains types de cybercriminalité dans certaines régions du monde. Cela est lié à l'histoire, aux mœurs et aux coutumes du pays. Par exemple, les arnaques sentimentales sont souvent associées aux délinquants d'Afrique de l'Ouest (Edwards et al., 2018), le piratage informatique à la Russie (Bruce et al., 2024), et l'Inde semble se spécialiser dans les arnaques au support technique (Miramirkhani et al., 2016). Nous poursuivrons par une petite discussion sur la spécialisation des pays.
Méthodologie utilisée pour notre étude (15 minutes) :
Nous présenterons d'abord nos honeypots utilisant le protocole Remote Desktop et la méthodologie de collecte de nos données. Au cours des cinq dernières années, notre équipe a déployé des honeypots à haute interaction sur Internet.
Ensuite, nous expliquerons notre méthodologie pour identifier les attaquants utilisant des proxies pour masquer leur identité ainsi qu'une analyse de l'origine réelle des attaquants.
Résultats de notre analyse (10 minutes) :
Nous avons d'abord observé plusieurs variables macrosociales afin de les croiser avec la nature des comportements. Par exemple, nous observons que plus le PIB d'un pays est faible, plus le nombre de tentatives effectuées par un seul acteur est élevé. L'effet d'autres variables telles que la littératie numérique ou le niveau de liberté d'une population sur les différents comportements des attaquants sera également discuté.
Dans la deuxième partie de notre analyse, les comportements des attaquants seront étudiés en relation avec le pays d'origine réel. Les outils, les stratégies et les actions entreprises une fois que les attaquants ont compromis le système seront examinés.
Par exemple, les différentes régions du monde utilisent souvent des outils différents : les adresses IP provenant d'Asie privilégient les outils de monétisation et de persistance, tandis que les IP d'Afrique se concentrent sur les outils d'exfiltration.
Discussion autour des résultats (10 minutes) :
Une discussion sur les impacts des résultats précédera la conclusion. Les résultats de notre analyse mettent en lumière des tendances significatives entre certaines variables macrosociales et les comportements des cybercriminels. Les résultats indiquent, entre autres, que les individus dans certaines régions sont plus susceptibles de se tourner vers la cybercriminalité en raison de facteurs économiques défavorables, comme le chômage ou la pauvreté, tel qu’illustré par les études précédentes.
L'utilisation d'outils de monétisation suggère une approche axée sur la profitabilité à long terme, peut-être en raison d'une meilleure infrastructure technologique et d'une plus grande accessibilité aux ressources nécessaires pour mener des campagnes prolongées.
En revanche, l'utilisation d'outils d'exfiltration pourrait être motivée par des besoins immédiats de ressources ou d'information, ou par des objectifs plus opportunistes et à court terme.
Comprendre les motivations et les comportements spécifiques à chaque région peut aider à anticiper les types de menaces et à adapter les mesures de sécurité en conséquence.
En conclusion, ces résultats soulignent l'importance d'adopter une approche contextuelle et adaptée aux spécificités régionales pour lutter efficacement contre la cybercriminalité, et ouvrent la voie à des stratégies de défense plus ciblées et efficaces.
Conclusion (5 minutes) :
La perspective criminologique apporte un angle nouveau à cette exploration. La présentation met en lumière l'élément humain et la perspective macrosociale derrière les attaques automatisées, montrant comment comprendre le comportement des attaquants n'est pas seulement une stratégie défensive, mais aussi une mesure proactive. En caractérisant et en démêlant les motivations des attaquants, nous nous rapprochons de la perturbation de leurs pratiques et de l'augmentation du coût de leurs entreprises malveillantes.
Andréanne Bergeron est directrice de la recherche chez GoSecure et se spécialise dans les comportements des attaquants en ligne. Son expertise se situe à l'intersection de la criminologie et de la cybersécurité. De plus, Andréanne est professeure associée au Département de criminologie de l'Université de Montréal, faisant le lien entre le milieu académique et l'industrie.