Pour leur test, qui s'est étalé sur une période de huit semaines, une équipe de chercheurs(Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, et Matei Ripeanu) de l'Université de Colombie Britannique a construit un réseau de 102 robots chargés d'imiter le comportement humain sur les réseaux sociaux, et les a introduits sur Facebook avec la mission de se faire autant d'amis que possible et de collecter des informations privées. « Pour créer un compte utilisateur sur un réseau social en ligne, il faut trois choses : fournir une adresse courriel opérationnelle, créer un profil utilisateur, et parfois résoudre un Captcha ('un test de défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de s'assurer qu'une réponse n'est pas générée par un ordinateur') [...]. Nous affirmons qu'un attaquant peut entièrement automatiser le processus de création du compte, » ont écrit les chercheurs dans un document qu'ils comptent présenter à la 27e édition de l'Annual Computer Security Applications Conference qui se tiendra le mois prochain.

Ce type d'attaque n'est pas nouveau : des malwares comme Koobface utilisent depuis longtemps des comptes créés automatiquement pour répandre des liens malveillants par spamming. Cela avait déjà incité Facebook à développer, au fil du temps, des mécanismes de détection spécialisés. Malheureusement, selon des chercheurs de l'UBC, ces systèmes de défense ne sont pas assez efficaces. Les robots sociaux qu'ils ont lancés contre Facebook ont envoyé des demandes à 5 053 utilisateurs ciblés de manière aléatoire « pour devenir leur ami ». En moyenne, 20% des individus ciblés ont accepté, les bots utilisant des profils féminins ayant eu plus de succès. Mais le taux a triplé quand des bots ont commencé à cibler les amis de ceux qui avaient accepté leurs demandes.

Après avoir lié d'amitié avec les nouveaux utilisateurs, les programmes automatisés ont commencé à explorer leurs profils, les flux de nouvelles et les messages postés sur le mur pour soutirer des informations personnelles. Dans les données recueillies, les bots ont pu trouver leur genre masculin ou féminin, leur date de naissance, leur lieu de travail, le nom des écoles fréquentées, la ville de naissance, la ville de résidence, l'adresse postale, l'adresse courriel, le numéro de téléphone, les identifiants de comptes de messagerie instantanée et la situation familiale.

[[page]]

Les chercheurs ont cessé leur test au moment où le trafic Internet généré est devenu trop lourd à gérer. En huit semaines, le réseau de robots sociaux a envoyé 3 Go de données et en a reçu environ 250 en retour. Pendant ce temps, le système de protection en temps réel de Facebook n'a bloqué que 20 des 100 faux profils. Et après une enquête plus approfondie, les chercheurs ont constaté que ces profils avaient, en fait, été marqués comme spam par d'autres utilisateurs. « Nos résultats montrent que les réseaux sociaux en ligne comme Facebook, peuvent être infiltrés avec un taux de réussite de près de 80% ; en fonction des paramètres de confidentialité des utilisateurs, une intrusion réussie peut entraîner des atteintes à la confidentialité et les données utilisateurs sont encore plus exposées, comparées à un accès public ; dans la pratique, les systèmes de défense des réseaux sociaux en ligne, comme le Facebook Immune System, ne sont pas assez efficaces pour détecter ou stopper une infiltration à grande échelle, comme cela s'est produit lors de notre test, » ont indiqué les chercheurs.

Facebook améliore sa sécurité

Les experts en malware reconnaissent les efforts faits par Facebook pour bloquer les tentatives de création automatisée de compte sur son réseau social. Selon le vendeur de solutions antivirus BitDefender, les menaces pouvant résulter de ces techniques ont été considérablement réduites au cours de ces deux dernières années. « Ce changement est principalement dû au fait que Facebook ne cesse de travailler sur l'amélioration de la sécurité du réseau. Certes, peu importe l'effort, les escrocs du Net trouvent toujours des moyens pour se faufiler entre les mailles du filet, » a déclaré le porte-parole de BitDefender, Bogdan Botezatu.

Cependant, il y a toujours un nombre significatif de malware qui tirent profit de comptes déjà compromis pour se répandre sur le réseau social. « Il existe de nombreuses variantes de zombies qui tentent de s'introduire dans Facebook pour diffuser des adwares ou des logiciels non désirés, » a déclaré Adam Thomas, un chercheur de GFI Software spécialisé dans les questions de sécurité. Afin de protéger à la fois leurs informations privées et leurs ordinateurs, les utilisateurs des réseaux sociaux devraient éviter d'accepter des demandes d'amis de personnes inconnues et toujours se méfier des liens qui leur sont envoyés, même quand la personne qui les a envoyés est un ou une amie.