Ouuh… c’est dangereux ça.

On pari qu’on va voir des entreprises faire leur propres ransomware, feindre d’être attaqué, payer une rançon, la déduire des impôts, et hop, évasion fiscale ? On pari ?
Pire, toute la R&D qui servira à faire des vrais ransomware pour les fausses motivations finira par fuiter et profiter aux vrais pirates.

C’est un bel exemple de l’Effet Cobra : https://fr.wikipedia.org/wiki/Effet_cobra
En Inde, il y avait une surpopulation de cobras. Les autorités accordaient une prime pour chaque cobra mort rapporté. Résultat ? Les gens se mirent à faire des élevages de cobra pour toucher des primes. Quand ils s’en sont rendus compte, ils ont arrêté la prime. Les éleveur ont libéré les cobras dans la nature et la population de serpents était plus élevée après qu’avant.

Il y a de nombreux exemples, dans tous les domaines.

Avant, dans certains magasins, quand un produit était cassé par accident (une boîte de bonbons, par exemple), les bonbons étaient mis à disposition des employés ou des clients. Jusqu’à ce qu’ils se rendent compte que les employés faisaient tomber des trucs par terre pour avoir les bonbons.

En Espagne, ils ont subventionné les fermes solaires. Payant non pas en surface de panneaux déployés, mais en nombre de kWh produits. Ils ont découvert le pot aux roses quand il y avait autant de kWh émis la nuit que le jour : les propriétaires des fermes utilisaient des groupes électrogènes au fioul pour alimenter les compteurs la nuit et gagner plus de subventions.

 À une époque, Microsoft considérait Internet Explorer plus sûr que Firefox car IE recevait plus de patch de sécurité que Firefox. Sauf que c’était évidemment faux : d’une, c’est simplement qu’il y avait davantage de failles, et surtout, ce n’est pas comme ça qu’on compte la sécurité d’un programme.

Avec la pandémie, il était question à un moment de payer les hôpitaux au nombre de décès-covid (je ne sais où ça en est maintenant). Que pensez-vous qu’ils ont fait avec une personne morte de la grippe, ou de vieillesse durant un pic de Covid ? Déclaré comme décès-covid.

Un dernier exemple, de première main (je ne dirais pas où) : une institution (publique) recevait des subventions en fonction de leur dépenses. Résultats, obligation donnée aux employés de laisser tous les PC allumés le soir. Pire, ils ouvraient les robinets d’eau la nuit et laissaient couler l’eau. Les dépenses étaient gonflées, et comme ils ne payaient pas ça directement, ils recevaient du pognon qu’ils se partageaient en primes.

En fait, d’une façon générale, quand on mesure la performance de quelque chose, et que l’objectif est la mesure et non la performance elle-même, alors cette mesure est mauvaise.
On le voit avec le cobras : l’objectif était devenu « le nombre de cobras rapportés », et non « la diminution effective de la population de cobras sauvages ». La mesure était devenue mauvaise, car décorrélée de l’objectif (c’est la loi de Goodhart).

~

Avec nos ransomware c’est la même chose : au lieu de faire la chasse aux pirates et les faire payer pour arrêter ces fléaux, on préfère indemniser ceux qui se font attaquer. Résultat, on peut être absolument sûr que le nombre d’attaques va exploser. Il est bien plus simple pour une entreprise de toucher du pognon en ne foutant rien sous prétexte que « pirate informatik », qu’en travaillant normalement.

C’est aussi pour ça qu’il existe des fraudes aux assurances…

C’est le même principe.

— (permalink)