Les réseaux sociaux comme Facebook et Twitter étant devenus des plates-formes puissantes qui attirent des milliards d’utilisateurs, les cybercriminels y voient une incitation dirigée vers d’autres intérêts. Ainsi, après les réseaux sociaux apparaissent les « bots » sociaux, dont certains sont créés pour désinformer et manipuler de façon plus massique en étant constitués en « botnets » sociaux, en s’appuyant sur les fondements des « bots » et « botnets » traditionnels.

Les « bots » sociaux

Un « bot« social est lié à un compte d’appartenance à un réseau social : Facebook, Twitter, etc., à la différence d’un « bot« traditionnel qui se rapporte à une machine infectée et à son adresse IP. Les « bots » sociaux sont conçus pour tenter de passer le test de Turing et assez sophistiqués pour duper les internautes en étant pris pour un être humain. Par un accès intelligent et sélectif à des connaissances générales et des événements d’actualité, ils sont en mesure de construire des références pertinentes. Ceci leur permettra d’œuvrer de façon convaincante en agissant de façon « humaine » en délivrant des messages cohérents à des intervalles suffisamment irréguliers. De tels « bots » peuvent contribuer à la diffusion de rumeurs, de fausses accusations, ou d’informations non vérifiées, notamment en « retweetant » automatiquement. Pour se faire, ils ont recours à l’intelligence artificielle. Certains disposeront d’accès aux informations de connaissance générale et aux événements d’actualité de façon à trouver des références pertinentes.

Leur existence, faisant croire qu’il s’agit de personnes dignes de confiance et non de processus programmés, est un signal d’alarme fort vis-à-vis de la cybercriminalité. En se fondant sur les concepts des « botnets », ils sont en mesure de former de puissants « botnets sociaux« en capacité d’infiltrer les réseaux sociaux et d’acquérir la confiance des utilisateurs au fil du temps.

Les réseaux sociaux en ligne sont donc menacés par les « bots« sociaux liés à des comptes dont les comportements imitent les utilisateurs humains avec des intentions malveillantes. Ainsi, un « botnet social » se rapporte à un groupe de « bots » sociaux sous le contrôle d’un « bot herder », qui collaborent dans un but malveillant, en imitant les interactions des utilisateurs légitimes, afin de réduire le risque individuel de détection. En outre, il est montré par J. Zhang et al. (2016) que le recours à un « botnet social » est plus avantageux et plus efficace pour la distribution de « spams » et pour des opérations d’influence, avec des effets potentiellement néfastes.

Les « bots » sociaux à la manœuvre

Des « bots » sociaux ont déjà été employés pour infiltrer le discours politique, voler des informations personnelles, répandre de fausses informations, manipuler le marché boursier. Parmi les possibilités, il faut souligner la capacité de cyberattaques, posant des problèmes de sécurité, en même temps que la capacité d’influence, en montant des opérations contre des groupes d’opposition politiques ou dissidents, des sociétés cotées en bourse, etc. Selon certaines évaluations, plus de la moitié des détenteurs d’un compte Twitter seraient en réalité des « bots », et il faut s’attendre à des manœuvres d’influence plus étendues, certaines pourraient même être en mesure de menacer les fondements démocratiques ; par exemple, en incitant à la haine et à la violence, en initiant des troubles graves ou d’envergure, ou en mettant des élections sous influence.

Selon B. Solis (2012), l’influence numérique en ligne se définit comme « la capacité de causer un effet, de changer le comportement ». Un cadre peut alors être établi selon trois axes :

  • La portée, liée à la popularité, à la proximité et à la bonne volonté.
  • La résonnance, du fait de la fréquence, de la période et de l’amplitude des signaux.
  • La pertinence, attachée à l’autorité, à la confiance et à l’affinité.

En modulant ces critères, les « bots » sociaux pourront ainsi établir des stratégies variées et efficaces.

Stratégies d’infiltration des « bots » sociaux

Selon Y. Boshmaf, et al. (2013), l’infiltration par un « bot » social sur Facebook serait liée au fait que plus de 20% des utilisateurs acceptent aléatoirement des demandes de nouveaux amis et que plus de 60% acceptent ces demandes de la part de comptes avec au moins un contact. Il a aussi été montré par J. Zhang et al. (2016) que de simples mécanismes automatisés peuvent infiltrer avec succès les réseaux sociaux comme Twitter, et C.A. Freitas et al. (2015) indiquent la capacité de produire des contenus crédibles et d’adopter de bonnes stratégies d’infiltration et d’influence.

En se fondent sur les émotions et la contagion, certains « bots » sociaux seraient donc en mesure de toucher l’inconscient collectif en infiltrant des populations, par des manœuvres ayant pour objectif d’affecter leur perception ou la manipulation, dans un but dirigé vers la déstabilisation d’un groupe, d’une société, ou d’un Etat.

Détection des « bots » sociaux
Un des grands défis pour la détection des « bots » sociaux est qu’ils sont de plus en plus sophistiqués pour rendre floue la frontière comportementale entre le « bot » et l’humain. Ils sont déjà capables de trouver des informations sur l’Internet et dans des bases de données pour émuler le comportement humain : activités, profil, messages et conversation en direct, etc., et notamment de rechercher des personnes influentes et des contenus intéressants, à l’aide d’indices de popularité et de mots-clés. La communauté scientifique est engagée dans leur détection automatique ou au moins pour distinguer un humain d’un « bot », par diverses approches vues dans la littérature scientifique.

Attaques impliquant des « botnets sociaux »

Certaines fonctionnalités des codes malveillants (ex. cheval de Troie) utilisent les réseaux sociaux non seulement pour manipuler, mais aussi pour infecter les installations et les comptes d’autres utilisateurs, par des liens malveillants de redirection vers un profil infecté. Cette orientation est facilitée par le fait que les humains font confiance à des tiers qui s’annoncent comme des « amis« de personnes de leur cercle de connaissances. Généralisée, elle représente une faiblesse majeure des réseaux sociaux où les utilisateurs seront amenés à participer malgré eux, à des activités illicites, en servant de relais. Les « botnet sociaux« ainsi constitués pourront alors être utilisés pour automatiser la diffusion de liens malveillants et pour amplifier la portée des attaques. Parmi ces attaques d’un nouveau type, citons les détournements d’hashtag et ses variantes, et l’invasion par des reposts ou des retweets.

Le détournement d’hashtag vise un organisme ou un groupe, en s’appropriant son hashtag de façon à l’impliquer dans la distribution de spams ou de liens malveillants dans les cercles de son environnement et ensuite permettre des cyberattaques ciblées, en son nom ou à son encontre. Le détournement de tendances est une variante où les hastags sont utilisés pour permettre aux « bots » de diriger l’attaque auprès du plus grand nombre en sélectionnant les plus fortes tendances du moment pour mieux disséminer l’attaque et impliquer à leur insu les victimes potentielles qui sont à la fois attirées et agissent les unes contre les autres. Une autre variante consiste à poster le plus grand nombre de liens possibles, en espérant seulement quelques clics sur chacun de ces liens, en jouant sur les limites des règles d’utilisation des réseaux sociaux. Si le risque organisationnel est massif en cas de détournement de l’hashtag d’une société, les liens visent également à présenter des contenus de sites Web défigurés ou changés, dans le but de créer de sérieux dommages à sa réputation et d’altérer son image.

Concernant l’invasion des reposts ou des retweets, l’activité malveillante liée à un « botnet » est établie lorsqu’un message est immédiatement reposté ou retweeté par des milliers d’autres comptes, voire plus. Si la supervision ou le signalement permet de marquer le compte qui est à l’origine et de le supprimer, du fait de très nombreux reposts et retweets, cette invasion peut se prolonger malgré tout.

A la différence des « botnets » traditionnels, les « botnets sociaux » ne sont pas directement impliqués dans des attaques en DDoS, mais ils sont néanmoins utilisés dans les dispositifs de contrôle et commande (C2) pour mieux coordonner ces attaques, par des instructions plus fines concernant l’horodatage des attaques, les domaines, l’adresse IP des cibles, les accès, etc. Il s’agit d’un « business lucratif« ou le plus haut soumissionnaire obtient l’accès, pendant un temps donné, avant un changement d’affilié. Si pour ce dernier les « botnets sociaux » fournissent une réelle plus-value, il s’agit pour le gestionnaire, d’un travail à plein temps pour l’établissement et le maintien des « botnets » et, pour les deux, d’actes qualifiés en matière de criminalité organisée.

Conclusion

Les autorités ont à prendre la mesure de tels phénomènes et de leurs conséquences, pour la mise en œuvre de contremesures efficaces, de concert avec les instances publiques et privées, notamment au niveau international. Sur ce plan, Facebook, Twitter, Google, etc., sont des vecteurs de contenus et de liens dont la responsabilité reste à préciser. A leur tour, les citoyens ordinaires et ceux qui les représentent doivent être conscients qu’ils ont un rôle important à jouer, par des actions moins automatiques, moins immédiates, plus réfléchies. Cette prévention requiert toutefois l’éveil d’une conscience culturelle adéquate.

Références

Boshmaf Y et al. (2013) : Design and analysis of a social botnet. Comp. Networks. vol. 57, n°2, pp. 556–578.

Freitas C.A. et al. (2015) : Reverse engineering socialbot infiltration strategies in Twitter. Proc. 2015 IEEE / ACM Intern. Conference on Advances in Social Networks Analysis and Mining.

Guinier D. (1991) : Computer « virus » identification by neural networks. An artificial intelligence connectionist implementation naturally made to work with fuzzy information. ACM SIGSAC Review, vol. 9, n° 4, pp. 49-59

Guinier D. (2004) : L’intelligence artificielle dans les systèmes de décision. Expertises, n° 284, Août-Sept., pp. 295-299

Guinier D. (2016) : Réseaux et « bots » sociaux : du meilleur attendu au pire à craindre. Expertises des systèmes d’information, n° 417, Oct., pp. 331-335.

Guinier D. (2017) : Réseaux et « bots » sociaux : fondements et risques émergents. A paraître dans la revue du GRASCO, le Groupe de recherches actions sur la criminalité organisée, Doctrine Sciences criminelles.

Solis B. (2012) : The rise of digital influence, Altimeter Group, Research Report, Mars.

Turing A. (1950) : Computing Machinery and Intelligence, mind, Oxford Uni. Press, vol. 59, no 236, Oct., p. 433-460.

Zhang J. et al. (2016) : The rise of social botnets : Attacks and countermeasures. Cornell University Library, 14 p.

Daniel GUINIER est Docteur ès Sciences, Certifié CISSP, ISSMP, ISSAP en sécurité des SI et MBCI en continuité et gestion des crises, Expert en cybercriminalité et crimes financiers près la Cour Pénale Internationale de La Haye, et Colonel (RC) de la gendarmerie nationale.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.