Un groupe de chercheurs grecs en sécurité a créé un outil pour transformer Facebook en une plate-forme d’attaque. Ces scientifiques font partie de l’Institute of Computer Science de la Fondation Hellas pour la Recherche et la Technologie, et travaillent en collaboration avec un chercheur de l’Institut de Singapour pour Infocomm Research.
Dans un document intitulé Antisocial Networks (disponible en fichier PDF), ces chercheurs ont fait la démonstration d’une application obligeant les utilisateurs Facebook à participer à leur insu à des attaques de déni de service contre d’autres sites.
L’outil « Facebot » a été maquillé en application « Image du jour » de National Geographic, que les utilisateurs peuvent installer sur leur page de profil Facebook, ce qui permet d’accéder à des informations de compte et de demander de nouvelles photos.
Lorsque les utilisateurs accèdent à l’application pour visualiser une nouvelle photo, ils deviennent des pirates sans le savoir. Avec la demande de nouvelle photo, Facebot envoie une série de requêtes HTTP à une cible externe. Les multiples requêtes par utilisateur s’additionnent pour représenter jusqu’à 600 Ko de données par clic.
Si un nombre suffisant d’utilisateurs s’inscrivent à cette application, Facebook pourrait devenir la rampe de lancement d’attaques de déni de service majeures. Facebot pouvant être maquillée en élément non menaçant, les utilisateurs pourraient participer à leur insu à des attaques de grande échelle.
Les chercheurs ont précisé que Facebot n’existe que comme preuve de concept, et qu’ils ne disposent pas d’éléments démontrant l’usage effectif de ce type d’outil. En revanche, ils estiment que le risque est très réel.
Facebot n’exploite aucune vulnérabilité de Faacebook. L’application se contente d’utiliser ses composants de services de réseau social, comme sa vaste base utilisateurs et les plates-formes ouvertes pour l’échange de code et de contenu.
« Les réseaux sociaux disposent de certaines propriétés intrinsèques qui en font le vecteur idéal pour une exploitation par un pirate », déclarent les chercheurs dans le rapport. « Toutes ces caractéristiques donnent aux pirates l’opportunité de manipuler une large base d’utilisateurs Internet et les obliger à commettre des actes anti-sociaux contre Internet sans en avoir connaissance ».
Adaptation d’un article de Vnunet.com intitulé Researchers warn of Facebook malware en date du 8 septembre.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…