dimanche 12 février 2017

Le machine learning pour duper les internautes sur les réseaux sociaux ?

------
Dans le monde du tout connecté qui voit le jour, les technologies de sécurité informatique sont primordiales pour assurer la pérennité de l’édifice numérique. Mais elles peuvent aussi être utilisées de façon criminelle. La preuve avec la société ZeroFOX.

Les réseaux sociaux, nouvelle cible des pirates

Les réseaux sociaux connaissent une hausse spectaculaire, non seulement de leur nombre d’utilisateurs mais également en leur position de choix dans les cyber attaques. Chaque internaute passe en moyenne 29 minutes à lire ses mails contre 37 minutes à arpenter les fils d’actualité des réseaux.
Et pourtant d’après les chiffres avancés par ZeroFOX, 39% des interrogés déclarent accepter des demandes d’amis émanant d’inconnus contre seulement 11% qui ouvrent des mails d’origine inconnue. Cette différence significative s’explique notamment par les efforts de sécurisation des boîtes mails professionnelles par les entreprises, et ce depuis de nombreuses années maintenant. Or, c’est aujourd’hui sur les réseaux sociaux que les employés passent le plus de temps et c’est sur ces réseaux qu’ils se font le plus avoir par des techniques de phishing. Les pertes liées aux cybercrime par courriel demeurent supérieures à celles via réseaux sociaux (1,7 milliards de dollars contre 1,2 milliards) mais c’est le second qui connaît la hausse la plus spectaculaire.
Les escrocs du web sont de plus inventifs, et à l’image des hackers, ils conservent souvent une longueur d’avance grâce à leur positionnement offensif. C’est à eux que revient la mission d’innover et de trouver de nouveaux moyens d’exploiter les failles de sécurité, tandis qu’il revient aux entreprises de sécurité de trouver des parades, parfois en amont, mais bien souvent en aval d’une attaque.
Et pour appâter les utilisateurs imprudents, la technique la plus répandue est celle du faux profil. Que ce soit sur Twitter ou Facebook, les pirates vont déployer des trésors d’inventivité pour berner les internautes avec des profils montés de toutes pièces ou copiés sur celui d’une vraie personne. Ces profils sont bien évidemment plus ou moins réussis. Mais passés toutes les tentatives de mise en relation avec des femmes aux formes prononcées, certaines mascarades sont parfois très bien amenées. Les escrocs vont jusqu’à collecter des données très intimes et fines pour créer une personnalité crédible. Et pour qu’elle devienne crédible, ils n’hésitent pas à recourir à des techniques de spearphishing. Autrement dit, à passer plusieurs semaines dans la peau de ce profil inventé à identifier des habitudes et goûts chez leurs potentielles victimes afin de cibler leurs attaques avec des tweets ou publications proches de leurs centres d’intérêt. Des techniques sommes toutes assez simplistes mais minutieuses et manuelles à l’impact nécessairement limité. Seulement voilà, certains mettent eux-aussi la technologie à leur service. Et si l’algorithme de Facebook parvient à fournir des contenus hyper-personnalisés, il n’y a pas de raison que d’autres y parviennent. L’usage des bots, très répandu sur twitter notamment, est rarement efficace, car rarement crédible, mes des techniques plus avancées pourraient les rendre bien plus performants.
Malheureusement peu d’entreprises disposent de logiciels pour sécuriser les flâneries de leurs employés sur les réseaux sociaux, et donc pour se prémunir des escroqueries numériques.

Contrer les escrocs du web, la mission de ZeroFOX

Se prémunir des attaques numériques, c’est exactement la mission que s’est donnée la société ZeroFOX, basée à Baltimore. Et à l’instar de la DARPA, qui cherche à développer des IA anti-cyber-attaques, elle semble avoir conservé une longueur d’avance puisque son invention est tout à fait inédite. Comme de nombreuses entreprises de sécurité, elle participe à des concours de piratage, d’une part pour tester l’efficacité de ses protections et en faire la promotion et d’autre part pour découvrir d’éventuelles failles passées inaperçues. Les géants du web comme Facebook, Google ou Apple et les agences gouvernementales comme le Pentagone sont adeptes de ce genre de concours qui servent au mieux d’outils de promotion et au pire de détecteur de failles.
Pour contrer les cyber-attaques, la société vend sa propre plate-forme. Une solution intégrale présentée comme simple d’utilisation et qui permet de garder un œil sur l’activité frauduleuse sur les réseaux sociaux. En quelques clics, vous pouvez définir des priorités (hashtags, posts facebook, mots-clés, noms de domaines…), créer des règles de sécurité utilisant des classificateurs intelligents (bien que la majeure partie des attaques soient déjà couvertes par le logiciel de départ), surveiller les canaux de réseaux sociaux en collectant et analysant en permanence les publications et changements de profil dans votre écosystème dynamique (en les combinant aux données récoltées sur tous les grands réseaux) et recevoir des alertes en temps réel dès qu’une menace surgit pour ensuite l’éliminer.
Pour faire simple, le logiciel de ZeroFOX recoure aux techniques de machine learning et de data science pour détecter des menaces sur les réseaux en traitant et recoupant une quantité considérable de variables de façon simultanée. Par exemple, si vous devenez ami sur Facebook avec une personne dont le rythme de publication est anormal et dont le contenu l’est encore plus, ZeroFOX est supposé pouvoir l’identifier et vous en débarrasser. Notamment grâce à des partenariats directs avec les grands réseaux sociaux, qui une fois qu’un faux compte a été repéré, le suppriment dans les plus brefs délais.
Néanmoins, la puissance du machine learning peut également se retourner contre les entreprises. Comme toute technologie, elle peut-être utilisée à des fins bienveillantes comme malveillantes. Pour le démontrer, l’entreprise a créé un logiciel intelligent qui traque ses cibles selon différents critères. Il s’intéresse notamment aux profils très connectés (avec un grand nombre de relations), car leur force de frappe s’en trouve décuplée. Elle cible donc les CEO et les personnes très actives. Le logiciel va également regarder quels hashtags ses cibles utilisent dans leurs tweets ainsi que les thèmes et l’horaire de leurs retweets pour connaître leurs centres d’intérêt et heures d’activité et donc savoir parfaitement comment et quand frapper. Car avec toutes ces informations, leur algorithme est ensuite capable de générer des tweets susceptibles d’êtres lus et cliqués par l’individu en question et de le renvoyer vers un lien contaminé.
Ce système intelligent a ensuite été testé sur 90 personnes dont plus des deux tiers se sont fait piégés en cliquant sur le lien. Mais le plus affolant, comme le relève New Scientist, c’est que sur le web, la plupart des j’aime, partages et retweets ne sont mêmes pas cliqués par leur initiateur. Ainsi, en ciblant parfaitement les intérêts d’une personne, on peut l’amener à retweeter un lien dangereux sans même qu’elle ne le sache, ce qui facilite encore plus le travail de crédibilisation des liens par les escrocs. Qui se méfierait d’un retweet du CEO d’une grosse entreprise ? John Tully, un membre de l’équipe de ZeroFOX,  appelle ce phénomène le « blanchissement de tweet« . Car il fonctionne exactement comme le blanchissement d’argent : on incorpore un tweet dangereux dans une institution (ici un compte) sûre qui le ressort embelli de la confiance que les clients accordent à cette institution et dont les éventuels soupçons s’évanouissent automatiquement. D’après Tully « les gens sont très habitués à ne pas cliquer sur des liens bizarres dans leurs mails, mais sur les réseaux, ils sont moins prudents« . Une inexpérience qui fait défaut aux internautes mais qui devraient, comme avec les mails dans les années 2000, devenir rapidement beaucoup plus méfiants à l’égard des liens partagés sur les réseaux.
Et ce changement de mentalité est crucial. Car non seulement ce système permet de blanchir des tweets frauduleux, mais il permet de décupler leur force de frappe.
Cette mise en lumière d’un phénomène encore méconnu ne fait toutefois que renforcer l’argument marketing de ZeroFOX. En créant de l’insécurité, la firme démontre qu’il faut faire confiance à ses services. Un tour de force promotionnel d’autant plus efficace que l’opération, aussi réelle soit-elle, a bien été montée de toute pièce par de véritables professionnels de la cyber-sécurité et non par des escrocs du web. Toujours est-il que l’on peut s’attendre à ce que les pirates s’approprient rapidement les nouvelles technologies de l’informatique pour leurs usages fraduleux. Ne cliquez pas sur les liens de comptes inconnus, c’est le seul bon conseil que l’on peut vous donner.

Les meilleurs articles jamais écrits !