Socialbot : Facebook critique la méthodologie et l'éthique des chercheurs canadiens

Le réseau social conteste l’approche et les résultats d’une étude menée par des chercheurs de l’University of British Colombia, qui est censée démontrer des failles de sécurité.

Facebook conteste l’étude universitaire censée démontrer la vulnérabilité de la plate-forme communautaire en cas d’attaque par des « bots sociaux ».

Des étudiants-chercheurs de l’University of British Colombia (UBC, Vancouver, Canada) ont récemment publié le résultat de leurs travaux.

Et le bilan n’est guère honorable pour Facebook malgré son système de « défense immunitaire » (sécurité IT).

En huit semaines et avec seulement 102 robots, l’équipe de chercheurs serait parvenue à compromettre plus de 3000 comptes utilisateurs et à télécharger 250 Go de données personnelles.

Mais Facebook contre-attaque. La plate-forme communautaire conteste la méthodologie retenue.

Selon eWeek UK, un porte-parole de Facebook exprime des doutes sérieux sur l’approche de cette étude.

« Nous allons en parler directement avec les auteurs », commente-t-il.

« Comme d’habitude, nous invitons les gens à entrer en contact qu’avec le cercles de personnes connues et à nous faire remonter les comportements jugés suspects que l’on pourrait observé sur le site. »

Le test de l’UBC fondé sur des « social bots » a été réalisé à partir d’une adresse mail rattachée à l’université. Ce qui a donné aux chercheurs un « avantage inéquitable » pour accomplir ce piratage.

Facebook argue que, généralement, la plupart des vrais assauts sont menés avec des adresses e-mail anonymes ou biaisées susceptibles de faciliter le contournement des mesures de sécurité du réseau social.

Néanmoins, cet argument est à double sens. Dans la réalité, il serait possible qu’un hacker compromette une véritable adresse mail et s’en serve pour attaquer Facebook.

Le porte-parole du réseau social indique également que ce test de l’UBC est à la limité de la légalité.

Il aurait pu avoir des conséquences pour d’autres étudiants authentiques de l’établissement (adresses IP blacklistées).

Notons tout de même que les chercheurs avaient pris le soin de consulter le comité éthique de l’université et qu’ils avaient obtenu son feu vert.

Toujours selon Facebook, les conclusions de l’étude universitaire pourrait se révéler fausses.

« Nous avons de nombreux systèmes conçus pour détecter des faux comptes et pour empêcher la propagation d’information non contrôlée, » explique ce porte-parole.

« Nous mettons à jour en permanence nos systèmes pour améliorer la sécurité et prévenir des attaques nouvelles. »

Et le porte-parole de poursuivre tout de même en expliquant que les faux comptes auraient été supprimés plus rapidement que les chercheurs ne le suggèrent.

« Nous avons de nombreux systèmes conçus pour détecter les faux comptes et empêcher l’extraction d’informations. Nous mettons constamment à jour ces systèmes pour les améliorer, » ajoute-t-il.

Le réseau précise aussi que « comme toujours, nous encourageons les gens à ne se connecter qu’à des personnes qu’ils connaissent réellement, et à rapporter tout comportement suspect qu’ils observent sur le site. »

Des déclarations qui n’ôtent pas tous les doutes.

Mirai : le botnet IoT gagne en surface d’attaque

Chronique Renaud Bidou – Black Hat 2017 : une conférence qui tient ses promesses

Leet rejoint Mirai sur la liste des botnets IoT

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu