Attaques cyber : quand les bots font le travail

Publié par Salah Ben Chaouacha le

Un jeune américain de 21 ans a découvert à quel point des bots étaient facilement manipulables, dans des contextes de nuisances en ligne. Max Weiss a mis en évidence la possibilité de fausser le débat public dans les commentaires de certains sites fédéraux.

 

La publication de faux commentaires en masse via les bots

L’objectif du jeune homme était bien évidemment de révéler les failles des débats en ligne. Et comment ? Alors qu’il n’est initialement pas un pro de l’informatique ? Le plus simplement possible : démontrer la faisabilité de tels procédés quand un site ne respecte pas le strict minimum en matière de sécurité (absence de CAPTCHAS, vérification ultérieure, vérification automatisée des messages similaires copiés plusieurs fois, vérification de la provenance – IP – etc.). 

Le procédé a de quoi inquiéter : il a suffit à Max Weiss de soumettre un programme qui automatise, et la création de “Deepfake Text”, et la soumission à la volée de commentaires, tout cela uniquement à partir d’un seul ordinateur. 1.001 faux commentaires ont été publiés

 

Ce que cela nous apprend de certains site officiels fédéraux aux Etats-Unis

Le jeune “hacker” (qui insiste lui même sur le fait qu’il ne possède aucune connaissance poussée en codes) précise ainsi : “la plupart de ces sites web ont juste un formulaire de texte et un bouton de soumission”. Suffisant pour y faire ce que l’on veut (de manière automatisée ou non).

Grâce à ce “test” en conditions réelles, Max Weiss a encouragé de nombreux sites fédéraux à revoir leurs politiques en matière de sécurité. Les travaux du jeune homme sont détaillés dans l’article “Deepfake Bot Submissions to Federal Public Comment Websites Cannot Be Distinguished from Human Submissions

 

Ce que cela doit – une nouvelle fois – nous apprendre sur la nuisance des bots

Les technologies liées aux deep fake (texte, images, et vidéos) ainsi que celles liées à l’automatisation des attaques s’améliorent de manière évidente. Mais, comme je le rappelle régulièrement, les débats sur les réseaux sociaux en sont encore faiblement impactés (voire de manière nulle), pour une simple raison : la technologie n’est pas assez évoluée pour créer des comptes et générer du contenu à la volée dans des discussions dans les réseaux de type Twitter et Facebook notamment.

C’est d’ailleurs entre autres ce que prouve d’ailleurs Max Weiss à travers ses attaques, puisque l’on a affaire à des failles trop grosses et aucune protections informatiques ou humaines (contrairement aux plateformes qui disposent de plusieurs types de dispositifs de sécurité).

Sources :

  • The Harvard Gazette (article de presse) – Anglais – (lien)
  • Technology Science (travaux détaillés de Max Weiss) – Anglais – (lien)
  • Le question/réponse “bot or human ?” (lien)
Catégories : Blog