Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
La cybercriminalité est hors de contrôle. Elle est omniprésente. Nous en entendons parler quotidiennement. Cette année, plus de deux milliards de documents ont été perdus ou volés. L'année dernière, 100 millions d'entre nous, surtout des Américains, ont perdu leurs données d'assurance santé face à des voleurs, moi y compris. Ce qui est particulièrement inquiétant est que, dans la majorité des cas, il a fallu plusieurs mois avant que ces dossiers soient déclarés volés.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Si vous regardez le 20 heures, vous pourriez penser que la majorité est de l'espionnage ou de l'activité d’États. C'est en partie vrai. L'espionnage est une pratique internationale acceptée. Mais dans ce cas, ce n'est qu'une petite part du problème auquel nous faisons face. Quand on parle d'une brèche, à quelle fréquence est-ce suivi par : « c'est le résultat d'une attaque sophistiquée d'un État » ? Souvent, ce sont des entreprises qui ne veulent pas admettre leurs piètres pratiques de sécurité. Il y a aussi une croyance commune selon laquelle en accusant un État d'une attaque, vous éloignez les régulateurs -- au moins un certain temps.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
D'où viennent les attaques ? Les Nations Unies ont estimé que 80% sont issus de gangs criminels très organisés et ultra sophistiqués. A ce jour, cela représente une plus importantes économies illégales au monde, atteignant, écoutez bien, 445 milliards de dollars. Laissez-moi remettre cela dans son contexte : 445 milliards de dollars, c'est plus que le PIB de 160 nations, y compris l'Irlande, la Finlande, le Danemark et le Portugal, pour ne citer qu'eux.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Comment cela fonctionne-t-il ? Comment ces criminels opèrent-ils ? Laissez-moi vous raconter une petite histoire. Il y a environ un an, nos chercheurs en sécurité suivaient la piste d'un cheval de Troie du système bancaire assez ordinaire mais sophistiqué : le Dyre Wolf. Le Dyre Wolf arrivait sur votre ordinateur quand vous cliquiez sur un lien dans un mail de hammeçonnage que vous ne devriez pas avoir. Puis il attendait. Il attendait que vous vous connectiez à votre compte bancaire. Quand vous le faisiez, les méchants arrivaient, volaient vos identifiants puis les utilisaient pour voler votre argent. Cela semble horrible mais en réalité, dans l'industrie de la sécurité, ce type d'attaque est commun. Cependant, le Dyre Wolf avait deux personnalités différentes -- il en avait une pour ces petites transactions mais revêtait une tout autre personnalité si vous faisiez des virements de montants importants.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Voici ce qui se produisait. Vous commencez à faire un virement bancaire et, dans votre navigateur, apparaît une fenêtre de votre banque indiquant qu'il y a un problème avec votre compte, que vous devez immédiatement appeler la banque, avec le numéro du département anti-fraude de la banque. Vous décrochez le téléphone et appelez. Après avoir passé les invites vocales habituelles, vous obtenez un opérateur qui parle français : « Bonjour, Altoro Mutual Bank. Comment puis-je vous aider ? » Et vous suivez le processus, comme à chaque appel à la banque, vous donnez votre nom et votre numéro de compte, vous passez les tests de sécurité pour vérifier votre identité. La plupart d'entre nous l'ignorent, mais pour les virements importants, il faut que deux personnes valident le virement, l'opérateur vous demande donc de lui passer la seconde personne et lui fait passer les mêmes tests et vérifications.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Cela paraît normal, non ? Un seul problème : vous ne parlez pas à la banque. Vous parlez aux criminels. Ils ont conçu un centre de service francophone qui se superpose au site de la banque. Cela a été si parfaitement exécuté qu'à chaque tentative, ils déplaçaient entre un demi million et un million et demi de dollars dans leur coffre criminel.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Ces organisations criminelles opèrent comme des entreprises très bien régies et légitimes. Leurs employés travaillent du lundi au vendredi. Ils s'accordent le week-end. Comment le savons-nous ? Nous le savons car nos chercheurs en sécurité voient des augmentations des malwares le vendredi après-midi. Les méchants, après un long week-end avec femme et enfants, reviennent voir comment cela s'est passé.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Ils passent leur temps sur le web profond. C'est un terme utilisé pour décrire la partie anonyme d'internet où les voleurs peuvent opérer en parfait anonymat et sans être détectés. Ils y colportent leur logiciel d'attaque et partagent des informations sur les nouvelles techniques d'attaque. Vous pouvez tout acheter là-bas, d'une attaque de bas niveau à une version bien plus avancée. En fait, dans de nombreux cas, vous pouvez voir des niveaux de service or, argent ou bronze. Vous pouvez vérifier les références. Vous pouvez même acheter des attaques avec une garantie satisfait ou remboursé --
(Laughter)
(Rires)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
au cas où vous ne seriez pas satisfait. Ces environnements, ces marchés ressemblent à Amazon ou à eBay. Vous voyez des produits, des prix, des notes et des commentaires. Bien sûr, si vous voulez acheter une attaque, vous allez l'acheter à un criminel réputé et bien noté, n'est-ce pas ?
(Laughter)
(Rires)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Cela ne diffère pas de vérifier Yelp ou TripAdvisor avant d'aller dans un nouveau restaurant. Voici un exemple. C'est une vraie capture d'écran d'un vendeur des programmes malveillants. C'est un vendeur de niveau 4 qui a un niveau de confiance de 6. Il a eu 400 commentaires positifs l'année dernière et seulement 2 négatifs le mois précédent. Nous voyons des termes de licence. Voici un exemple de site où vous pouvez aller si vous voulez changer d'identité. Ils vous vendront de fausses cartes d'identité et faux passeports. Mais notez les termes légaux pour l'achat de votre fausse carte d'identité. Sérieusement. Que vont-ils faire -- vous poursuivre en justice ?
(Laughter)
(Rires)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Cela est arrivé il y a quelques mois. Une chercheuse en sécurité travaillait sur une nouvelle application malveillante Android que nous avions découverte. Elle s'appelait Bilal Bot. Dans un post de blog, elle décrivait Bilal Bot comme la nouvelle alternative bon marché et bêta du GM Bot bien plus avancé qui était commun dans la clandestinité criminelle.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Ce commentaire n'a pas beaucoup plu aux auteurs de Bilal Bot. Ils lui ont écrit ce mail, plaidant leur cause et argumentant qu'ils avaient l'impression qu'elle avait évalué une ancienne version. Ils lui ont demandé de mettre à jour son blog avec des informations plus exactes et ont même proposé une interview pour lui décrire en détails comment leur logiciel d'attaque était maintenant meilleur que la compétition.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Voyez-vous, pas besoin d'apprécier ce qu'ils font, mais il faut respecter la nature entrepreneuriale de leur travail.
(Laughter)
(Rires)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Comment allons-nous mettre un terme à cela ? Ce n'est pas comme si nous pouvions identifier qui est responsable -- souvenez-vous, ils opèrent en parfait anonymat et en dehors du cadre de la loi. Nous n'allons pas pouvoir poursuivre les contrevenants en justice. Je pense qu'il nous faut une approche entièrement nouvelle. Cette approche doit être centrée sur l'idée que nous devons changer l'économie pour les méchants.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Pour mettre en perspective comment cela peut fonctionner, pensons à la réponse que nous voyons pour les pandémies sanitaires : le SRAS, Ebola, la grippe aviaire, Zika. Quelle est la priorité ? Savoir qui est infecté et comment la maladie se propage. Les gouvernements, les institutions privées, les hôpitaux, les médecins -- tout le monde répond ouvertement et rapidement. C'est un effort collectif et altruiste pour stopper net la propagation et informer ceux qui ne sont pas infectés sur comment se protéger.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Malheureusement, ce n'est pas du tout la réponse à une cyberattaque. Les organisations ont plus de chances de garder les informations sur l'attaque pour elles-mêmes. Pourquoi ? Car elles ont peur de l'avantage compétitif, des contentieux ou de la réglementation. Nous devons démocratiser les données de renseignement sur les menaces. Nous devons obtenir de ces organisations qu'elles s'ouvrent et partagent ce que contient leur arsenal privé d'informations. Les méchants vont vite, nous devons aller plus vite. La meilleure façon de le faire est de s'ouvrir et de partager les données sur ce qu'il se passe.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Réfléchissons-y du point de vue des professionnels de la sécurité. Souvenez-vous, garder des secrets fait partie de leur ADN. Nous devons inverser cette façon de penser. Nous devons obtenir des gouvernements, des institutions privées et des entreprises de sécurité qu'ils veuillent partager rapidement les informations. Voici pourquoi : si vous partagez les informations, cela équivaut à une inoculation. Si vous ne partagez pas, vous faites partie du problème car vous augmentez les risques que d'autres soient affectés par les mêmes techniques d'attaque.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Il y a un bénéfice plus important encore. En détruisant plus rapidement les appareils des criminels, nous ruinons leurs plans. Nous informons les gens à qui ils comptaient nuire bien plus tôt qu'ils ne l'avaient anticipé. Nous ruinons leur réputation, nous détruisons leurs notes et leurs commentaires. Nous faisons en sorte que la cybercriminalité ne paye pas. Nous changeons l'économie des méchants. Mais pour ce faire, il fallait que quelqu'un fasse le premier pas -- que quelqu'un change la façon de penser à travers l'industrie de la sécurité.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Il y a environ un an, mes collègues et moi avons eu une idée radicale. Et si IBM prenait nos données -- l'une des plus grandes bases de données sur les menaces au monde -- et la rendait accessible ? Elle contenait non seulement des informations sur le passé, mais aussi sur l'instant présent. Et si nous publiions tout cela ouvertement sur internet ? Vous l'imaginez, cela a suscité une réaction. Les avocats sont venus : quelles sont les implications légales ? Puis l'entreprise : quelles sont les implications commerciales ? Cela a aussi été accueilli par beaucoup de gens demandant si nous étions complètement fous.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Mais il y a eu une conversation qui finissait par faire surface dans tous les dialogues que nous avions : la prise de conscience que si nous ne le faisions pas, nous faisions partie du problème. Nous avons fait une chose jamais faite dans l'industrie de la sécurité. Nous avons commencé à publier. Plus de 700 téraoctets de données exploitables sur les menaces, y compris des informations sur des attaques en temps réel qui peuvent être utilisées pour stopper net la cybercriminalité. A ce jour, plus de 4 000 organisations mettent à profit ces données, y compris la moitié de Fortune 100. Notre espoir pour la prochaine étape est que toutes ces organisations se joignent à nous dans cette lutte et fassent la même chose : partagent leurs informations : quand et comment elles sont attaquées.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Nous avons tous l'opportunité d'y mettre un terme et nous savons déjà comment. Nous n'avons qu'à observer la réponse que nous avons dans le monde de la santé face à une pandémie. Dit simplement, il nous faut être ouverts et collaborer.
Thank you.
Merci.
(Applause)
(Applaudissements)