Des chercheurs canadiens de l’Université de la Colombie-Britannique (UBC, Vancouver) ont démontré le manque de sécurité des réseaux sociaux face à une attaque utilisant des « bots sociaux ». Si cela n’est pas très parlant, cela signifie qu’ils ont réussi à collecter les données personnelles de milliers d’utilisateurs Facebook via des socialbots.

Ces charmants socialbots sont des logiciels automatisés capables d’exécuter des opérations à l’instar d’un être humain, à savoir faire des demandes d’amis, publier des informations  etc … En résumé, ils sont aptes à duper un réseau et en l’occurrence à collecter les données des usagers. On vous l’avait dit, ils sont tout bonnement délicieux.

En huit semaines, les chercheurs ont développé un réseau de 102 robots sociaux composé précisément de 49 profils masculins et 53 féminins. Pour prouver l’efficacité de leur système, rien de tel que d’appâter le plus gros poisson de la mare, c’est donc le plus représentatif des réseaux sociaux qui a fait l’office de cobaye.

Les 102 socialbots ont littéralement envahi, assiégé Facebook. Les bots sont bel et bien passés au travers des mailles du filet du système de sécurité baptisé « Défense Immunitaire de Facebook ». Rappelons que la mission de celui-ci est de détecter ou stopper lesdits socialbots. Finalement, le système immunitaire de Facebook n’a repéré et supprimé que 20 des faux comptes. Uniquement ceux utilisant des avatars féminins d’ailleurs. Logiquement, les recherches doivent être plus poussées sur les profils féminins puisqu’il s’agit du sexe le plus utilisé dans la création de faux profils.

Avec 20 robots ajournés sur 102, autant dire que les chercheurs ont eu une marge de manœuvre plutôt vaste … 8570 demandes d’ajouts aux listes d’amis ont donc été envoyées, dont 3055 ont été acceptées. La suite du programme est simple, les robots avaient pour mission d’ajouter les amis de leurs nouveaux amis. Taux de réussite de cette seconde vague ? 60 % …

Comme beaucoup vous vous demandez certainement pourquoi ajouter des gens qu’on ne connait pas, les chercheurs ont également posé cette question cruciale. 20% des utilisateurs ont accepté les demandes de ces « personnes » inconnues à cause de leurs photos de profil, photos tirées des images les mieux notées du site HotorNot.com.

Au final, avec un faible taux d’infiltration de moins de 20 demandes d’amis quotidiennes pour éviter le filtrage « captcha », chaque compte a réussi à obtenir environ 20 amis sur la période de test. Certains d’entre eux ont réussi à accumuler jusqu’à 90 amis.

Ce type de trafic aurait bien pu être l’arnaque du siècle, en effet ces agents logiciel sont monétisés pour 30 dollars pièce sur le marché noir. Les chercheurs affirment avoir volé 46 500 adresses emails, 14 500 adresses postales et au total près de 250 Go de données personnelles … ayant une valeur commerciale bien supérieure à l’achat de quelques socialbots.

Reste à espérer que Facebook réagisse au plus vite, personne n’est invincible et en voilà la preuve. On peut bien sur critiquer la méthode agressive des chercheurs, mais c’est plus de 3000 personnes qui ont accepté de montrer leurs données à des inconnus. Comme on le constate chaque protagoniste a ses torts, un excès de confiance pour Zuck’, un brin de fourberie pour les chercheurs et une crédulité angoissante de la part des internautes …

Espérons que chacun en tire les conclusions qui s’imposent et surtout réagisse en conséquence.

[Gizmodo]

© Vladislav Kochelaevs – Fotolia.com