Résumés
Résumé
Les botnets, ou réseaux d’ordinateurs compromis par des pirates informatiques, représentent à l’heure actuelle la menace criminelle la plus sérieuse, servant de support à la fraude bancaire, aux attaques distribuées par déni de service (DDoS), ou encore à la fraude au clic. Au cours des dernières années, deux approches distinctes ont été privilégiées pour combattre ces botnets : d’une part, les services de police ont procédé à l’arrestation fortement médiatisée de quelques pirates de haut vol et au démantèlement de leurs infrastructures de commandement et de contrôle. D’autre part, dans certains pays, et notamment au Japon, en Corée du Sud, en Australie, mais aussi en Hollande ou en Allemagne, les gouvernements ont favorisé l’émergence de partenariats public-privé impliquant des fournisseurs d’accès et des entreprises de sécurité informatique. Dans une démarche régulatoire, ces initiatives visent à identifier les ordinateurs infectés, à notifier leurs propriétaires et à aider ces derniers à nettoyer leur machine. Cet article a donc pour objectif de comparer les deux approches (judiciarisation vs régulation), en essayant notamment d’évaluer les effets produits par chacune d’elles sur le niveau général de sécurité de l’écosystème numérique.
Mots-clés :
- Cybercrime,
- botnets,
- judiciarisation,
- régulation,
- prévention
Abstract
Botnets, which are computers controlled by malicious hackers, currently represent the most serious threat to the digital ecosystem, providing the infrastructure to commit bank fraud, distributed denial of service attacks (DDoS), or click fraud. During the past few years, two main approaches have been used to fight botnets : First, police organizations have arrested high profile hackers and dismantled their command and control systems. Second, some countries, more precisely Japan, South Korea, Australia, the Netherlands and Germany have encouraged public-private partnerships involving Internet service providers and anti-virus companies. Inspired by regulatory principles, these initiatives seek to identify infected computers, notify their owners and help them clean their machines. This article compares these two approaches (criminalization vs. regulation) by trying to establish their respective effectiveness with respect to securing the digital ecosystem.
Keywords:
- Cybercrime,
- botnets,
- criminalization,
- regulation,
- prevention
Resumen
Los botnets, o las redes informáticas comprometidas por los piratas informáticos, representan actualmente la amenaza criminal más grave, sirviendo de soporte al fraude bancario, a los ataques distribuidos a través de la denegación de servicio (DDoS), o también al fraude del clic. En el transcurso de los últimos años, dos enfoques distintos han sido privilegiados para combatir estos botnets : por un lado, los servicios policiales han procedido al arresto fuertemente mediatizado de algunos piratas informáticos de alto vuelo y al desmantelamiento de sus infraestructuras de comando y de control. Por otro lado, en algunos países, especialmente en Japón, en Corea del Sur, en Australia, pero también en Holanda o en Alemania, los gobiernos han favorecido la emergencia de asociaciones público-privadas implicando los proveedores de acceso y las empresas de seguridad informática. En una gestión reguladora, estas iniciativas apuntan a identificar las computadoras infectadas, a notificar a sus propietarios y a ayudar a éstos a limpiar su máquina. Este artículo tiene entonces como objetivo comparar los dos enfoques (judiciarización vs. regulación), intentando, especialmente, evaluar los efectos producidos por cada uno de ellos sobre el nivel de seguridad del ecosistema numérico.
Palabras clave:
- Cibercrimen,
- botnets,
- judiciarizacion,
- regulación,
- prevención
Parties annexes
Références
- Abu Rajab, M., Zarfoss, J., Monrose, F., & Terzis, A. (2006). A multifaceted approach to understanding the botnet phenomenon. Proceedings of the 6th ACM SIGCOMM Conference on Internet Measurement, Rio de Janeiro, 41-52.
- Abu Rajab, M., Zarfoss, J., Monrose, F., & Terzis, A. (2007). My botnet is bigger than yours (maybe, better than yours) : why size estimates remain challenging”. Proceedings of the First Conference on First Workshop on Hot Topics in Understanding Botnets, New York, 1-8.
- Aebi, M., & Linde, A. (2010). Is there a crime drop in Western Europe ? European Journal on Criminal Policy and Research, 16(4), 251-277.
- Anderson, R., Barton, C., Böhme, R., Clayton, R., van Eeten, M., Levi, M., Moore, T., & Savage, S. (2012). Measuring the cost of cybercrime : a workshop held in Berlin, June 25 and 26, 2012. Repéré sur Workshop on the Economics of Information Security (WEIS) : http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf.
- APCERT. (2011). APCERT annual report 2011. Tokyo : Asia Pacific Emergency Response Team.
- Ayres, I., & Braithwaite, J. (1992). Responsive regulation. New York, NY : Oxford University Press.
- Baldwin, R., Cave, M., & Lodge, M. (2010). Introduction : Regulation–The field and developing agenda. Dans R. Baldwin, M. Cave & M. Lodge (Éds.), The Oxford handbook of regulation (pp. 3-16). Oxford : Oxford University Press.
- Black, J. (2002). Critical reflections on regulation. Australian Journal of Legal Philosophy, 27, 1-35.
- Braithwaite, J., & Drahos, P. (2000). Global business regulation. Cambridge : Cambridge University Press.
- Brodeur, J.-P. (2010). The policing web. New York, NY : Oxford University Press.
- Camus, A. (1942). Le mythe de Sisyphe : Essai sur l’absurde. Paris : Gallimard.
- Choo, R. (2007). Zombies and botnets. Trends & Issues in Criminal Justice, 333. Canberra : Australian Institute of Criminology.
- Cluley, G. (2012, 23 mai). Bredolab : Jail for man who masterminded botnet of 30 million computers [Web log post]. Repéré à http://nakedsecurity.sophos.com/2012/05/23/bredolab-jail-botnet/. Consulté le 30 septembre 2013.
- Décary-Hétu, D., & Dupont, B. (2012). The social network of hackers. Global Crime, 13(3), 160-175.
- Deibert, R. (2013). Black code : Inside the battle for cyberspace. Toronto : McClelland & Stewart.
- De Graaf, D., Shosha, A., & Gladyshev, P. (2012, 25-26 octobre). BREDOLAB : Shopping in the cybercrime underworld. Lecture conducted from 4th International Conference on Digital Forensics & Cyber Crime, Lafayette, LA.
- Dorn, N., & Levi, M. (2007). European private security, corporate investigation and military services : collective security, market regulation and structuring the public sphere. Policing and Society, 17(3), 213-238.
- Dupont, B. (2010). L’évolution du piratage informatique : De la curiosité technique au crime par sous-traitance ». Dans AAPI (Éd.), Le respons@ble 2.0 : Acteur clé en AIPRP (pp.63-81). Cowansville : Éditions Yvon Blais.
- Dupont, B. (2013a). Skills and trust : a tour inside the hard drives of computer hackers. Dans C. Morselli (Éd.), Crime and networks (pp.195-217). New York, NY : Routledge.
- Dupont, B. (2013b). An international comparison of anti-botnet partnerships. Ottawa : Sécurité Publique Canada.
- Dupont, B. (2013c). The proliferation of cyber security strategies and their implications for privacy. Dans K. Benyekhlef & E. Mitjans (Éds.), Circulation internationale de l’information et sécurité (pp. 67-80). Montréal : Les Éditions Thémis.
- Drahos, P., Shearing, C., & Burris, S. (2005). Nodal governance as an approach to regulation. Australian Journal of Legal Philosophy, 30, 30-58.
- Eudes, Y., & Seelow, S. (2014, 25-26 mai). Vaste coup de filet contre les utilisateurs d’un logiciel grand public de piratage. Le Monde, p. 10.
- Farrell, G., Tseloni, A., Mailley, J., & Tilley, N. (2011). The crime drop and the security hypothesis. Journal of Research on Crime and Delinquency, 48(2), 147-175.
- FBI. (2012). FBI, international law enforcement disrupt international cyber crime ring related to Butterfly botnet (Communiqué de presse). Consulté le 30 septembre 2013. Repéré à http://www.fbi.gov/news/pressrel/press-releases/fbi-international-law-enforcement-disrupt-international-organized-cyber-crime-ring-related-to-butterfly-botnet.
- Fenn, J., & LeHong, H. (2011). Hype cycle for emerging technologies, 2011. Stamford : Gartner.
- GO-Gulf. (2012, 2 mai). Global online advertising spending statistics. Consulté le 11 septembre 2013. Repéré à www.go-gulf.com/blog/online-ad-spending/.
- Goncharov, M. (2012). Russian underground 101. Cupertino : Trend Micro.
- Grabosky, P. (2012). Beyond Responsive Regulation : The expanding role of non-state actors in the regulatory process. Regulation & Governance, 7(1), 114-123.
- Homère. (1766). Oeuvres d’Homère (traduit par M. Dacier & A. Leide). Paris : Chez J. de Wetstein & Fils.
- Kenney, M. (2007). From Pablo to Osama : Trafficking and terrorist networks, government bureaucracies and competitive adaptation. University Park, PA : The Pennsylvania State University Press.
- KISA. (2010, 25-26 janvier). Report on July DDoS attack in Korea and Korea’s countermeasure. Présenté lors de la conférence INCO-TRUST, Séoul.
- Krebs, B. (2012a, 19 juillet). Top spam botnet, “Grum,” unplugged” [Web log post]. Consulté le 30 septembre 2013. Repéré à https://krebsonsecurity.com/2012/07/top-spam-botnet-grum-unplugged/.
- Krebs, B. (2012b, 1er février). Who’s behind the world’s largest spam botnet ? [Web log post]. Consulté le 30 septembre 2013. Repéré à http://krebsonsecurity.com/2012/02/whos-behind-the-worlds-largest-spam-botnet/.
- Krebs, B. (2012c, 26 mars). Microsoft takes down dozens of Zeus, Spyeye botnets” [Web log post]. Consulté le 30 septembre 2013. Repéré à http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/.
- La Rue, F. (2011). Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression to the Sixty-sixth session of the General Assembly. New York, NY : Organisation des Nations Unies.
- Leman-Langlois, S. (2003). Rationalité pénale moderne et terrorisme : Peut-on contrôler le « méga-crime » à l’aide du système pénal ? Dans D. Casoni & L. Brunet (Éds.), Comprendre l’acte terroriste (pp.113-119). Montréal : Les Presses de l’Université du Québec.
- Maass, P., & Rajagopalan, M. (2012, 1er août). Does cybercrime really cost $1 trillion ? [Web log post]. Consulté le 25 septembre 2013. Repéré à http://www.propublica.org/article/does-cybercrime-really-cost-1-trillion.
- Marx, G. T. (1987). The interweaving of public and private undercover work. Dans C. Shearing & P. Stenning (Éds.), Private policing (pp. 172-193). Thousand Oaks, CA : Sage Publications.
- Maurushat, A. (2012). The role of internet service providers in combatting botnets : An examination of recent Australian initiatives and legislative reform. Telecommunications Journal of Australia, 62(4), 61.1-61.18.
- Mazerolle, L., & Ransley, J. (2005). Third party policing. Cambridge : Cambridge University Press.
- McCoy, D., Pitsillidis, A., Jordan, G., Weaver, N., Kreibich, C., Krebs, B., Voelker, G., Savage, S., & Levchenko, K. (2012, 8-10 août). PharmaLeaks : Understanding the business of online pharmaceutical affiliate programs. Symposium conducted at the 21st USENIX Security Symposium, USENIX, Bellevue, WA.
- Namestnikov, Y. (2009). The economics of botnets. Moscou : Kaspersky Lab.
- Noritake, S. (2011). Transition from the anti-botnet project to a new project : Prediction and quick response against cyber attacks through international collaboration : a workshop held in Rangoon, November, 29 to December, 1st. Consulté le 13 septembre 2013. Repéré à http://www.itu.int/ITU-D/asp/CMS/Events/2011/CIRTWkshp/S3_Satoshi_Noritake.pdf.
- OCDE. (2011). The role of internet intermediaries in advancing public policy objectives. Paris : OCDE Éditions.
- Office Fédéral pour la Sécurité de l’Information. (2011). The IT security situation in Germany in 2011. Bonn : BSI.
- Ouimet, M. (2002). Explaining the American and Canadian crime “drop” in the 1990’s”. Revue Canadienne de Criminologie et de Justice Pénale, 44(1), 33-50.
- Pawson, R. (2002). Evidence and policy and naming and shaming. Policy Studies, 23(3), 211-230.
- Perreault, S. (2011). Les incidents autodéclarés de victimisation sur Internet au Canada, 2009. Juristat. Statistique Canada : Ottawa.
- Perreault, S., & Brennan, S. (2010). La victimisation criminelle au Canada, 2009. Juristat, 30(2). Ottawa : Statistique Canada.
- Rowe, B., Wood, D., Reeves, D., & Braun, F. (2011). The role of internet service providers in cyber security. Durham, NC : Institute for Homeland Security Solutions.
- Schneider, S. (2006). Privatizing economic crime enforcement : Exploring the role of private sector investigative agencies in combating money laundering. Policing and Society, 16(3), 285-312.
- Shearing, C., & Wood, J. (2003). Nodal governance, democracy and the ‘new denizens. Journal of Law and Society, 30(3), 400-419.
- Smith, R., Grabosky, P., & Urbas, G. (2004). Cyber criminals on trial. Cambridge : Cambridge University Press.
- Stevens, K., & Jackson, D. (2010). ZeuS banking trojan report. Atlanta : SecureWorks.
- Stone-Gross, B., Abman, R., Kemmerer, R., Kruegel, C., Steigerwald, D., & Vigna, G. (2013). The underground economy of fake antivirus software. Dans B. Schneier (Éd.), Economics of information security and privacy III (pp. 55-78). New York, NY : Springer.
- Symantec. (2009, 10 septembre). Cyber crime has surpassed illegal drug trafficking as a criminal moneymaker : 1 in 5 will become a victim. Communiqué de presse. Repéré à http://www.symantec.com/about/news/release/article.jsp?prid=20090910_01. Consulté le 25 septembre 2013.
- Tietenberg, T. (1998). Disclosure strategies for pollution control. Environmental and Resource Economics, 11(3-4), 587-602.
- Trusteer. (2009), Measuring the in-the-wild effectiveness of antivirus against ZeuS. New York, NY : Trusteer.
- Van eeten, M., Bauer, J., Asghari, H., Tabatabaie, S., & Rand, D. (2010). The role of internet service providers in botnet mitigation : An empirical analysis based on spam data : a workshop held in Cambridge, June, 7 and 8.
- Van eeten, M., Asghari, H., Bauer, J., & Tabatabaie, S. (2011). Internet service providers and botnet mitigation : A fact-finding study on the Dutch market. Delft : Delft University of Technology.
- Vicario, M. (2010, 27 octobre). Bredolab is still in the wild. Consulté le 12 septembre 2013. Repéré à http://www.symantec.com/connect/blogs/bredolab-still-wild.
- Vratonjic, N., Manshaei, M., Raya, M., & Hubaux, J.-P. (2010). ISPs and ad networks against botnet ad fraud. Dans T. Alpcan, L. Buttyan & J. Baras (Éds.), Decision and game theory for security (pp.149-167). Berlin : Springer.
- Wall, D. (2007). Policing cybercrimes : Situating the public police in networks of security within cyberspace. Police Practice and Research, 8(2), 183-205.
- Wyke, J. (2012). The ZeroAccess botnet – Mining and fraud for massive financial gain. Burlington, VT : Sophos Labs.
- Zarfoss, J. (2007). A scalable architecture for persistent botnet tracking, A thesis submitted in conformity with the requirements for the degree of Master of Science in Engineering. Baltimore, MD : John Hopkins University.