Facebook conteste l’étude universitaire censée démontrer la vulnérabilité de la plate-forme communautaire en cas d’attaque par des « bots sociaux ».
Des étudiants-chercheurs de l’University of British Colombia (UBC, Vancouver, Canada) ont récemment publié le résultat de leurs travaux.
Et le bilan n’est guère honorable pour Facebook malgré son système de « défense immunitaire » (sécurité IT).
En huit semaines et avec seulement 102 robots, l’équipe de chercheurs serait parvenue à compromettre plus de 3000 comptes utilisateurs et à télécharger 250 Go de données personnelles.
Mais Facebook contre-attaque. La plate-forme communautaire conteste la méthodologie retenue.
Selon eWeek UK, un porte-parole de Facebook exprime des doutes sérieux sur l’approche de cette étude.
« Nous allons en parler directement avec les auteurs », commente-t-il.
« Comme d’habitude, nous invitons les gens à entrer en contact qu’avec le cercles de personnes connues et à nous faire remonter les comportements jugés suspects que l’on pourrait observé sur le site. »
Le test de l’UBC fondé sur des « social bots » a été réalisé à partir d’une adresse mail rattachée à l’université. Ce qui a donné aux chercheurs un « avantage inéquitable » pour accomplir ce piratage.
Facebook argue que, généralement, la plupart des vrais assauts sont menés avec des adresses e-mail anonymes ou biaisées susceptibles de faciliter le contournement des mesures de sécurité du réseau social.
Néanmoins, cet argument est à double sens. Dans la réalité, il serait possible qu’un hacker compromette une véritable adresse mail et s’en serve pour attaquer Facebook.
Le porte-parole du réseau social indique également que ce test de l’UBC est à la limité de la légalité.
Il aurait pu avoir des conséquences pour d’autres étudiants authentiques de l’établissement (adresses IP blacklistées).
Notons tout de même que les chercheurs avaient pris le soin de consulter le comité éthique de l’université et qu’ils avaient obtenu son feu vert.
Toujours selon Facebook, les conclusions de l’étude universitaire pourrait se révéler fausses.
« Nous avons de nombreux systèmes conçus pour détecter des faux comptes et pour empêcher la propagation d’information non contrôlée, » explique ce porte-parole.
« Nous mettons à jour en permanence nos systèmes pour améliorer la sécurité et prévenir des attaques nouvelles. »
Et le porte-parole de poursuivre tout de même en expliquant que les faux comptes auraient été supprimés plus rapidement que les chercheurs ne le suggèrent.
« Nous avons de nombreux systèmes conçus pour détecter les faux comptes et empêcher l’extraction d’informations. Nous mettons constamment à jour ces systèmes pour les améliorer, » ajoute-t-il.
Le réseau précise aussi que « comme toujours, nous encourageons les gens à ne se connecter qu’à des personnes qu’ils connaissent réellement, et à rapporter tout comportement suspect qu’ils observent sur le site. »
Des déclarations qui n’ôtent pas tous les doutes.
Logo : © xiaoliangge – Fotolia.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…