Ces programmes informatiques permettent de prendre le contrôle du compte d’un utilisateur et d’imiter le comportement d’utilisateurs réels. Ils sont ainsi plus difficiles à débusquer et à supprimer. Ces robots sont accessibles facilement sur le réseau Internet pour un prix assez modique.

Comment cela fonctionne concrètement ? C’est très simple. Le « Socialbot » (définition) crée un compte fictif ou fantôme sur un site de réseau social, soit Facebook, et envoie des invitations ou des requêtes à plusieurs autres comptes, pris au hasard et qui sont détenus par des personnes bien réelles. Ils demandent à la personne de l’accepter comme « ami ». L’objectif ensuite, est de récupérer le plus d’informations possible sur la personne ainsi piratée. D’ailleurs, les chercheurs de cette étude mettent l’accent sur le fait qu’il est possible par le biais de ces sortes de « botnets » d’avoir accès très rapidement à un amas très important d’informations d’utilisateurs du site de Facebook et ainsi récupérer de nombreuses données à leur insu. Ils énoncent que dans 80% des cas les faux comptes ont fonctionné et qu’ils sont près d’une personne sur cinq (19%) a accepté l’invitation « d’amis », alors qu’ils ne connaissaient pas la personne demanderesse.

L’étude montre que les filtres mis en place par Facebook n’ont pas été très efficaces pour ce type de menaces. En général, le blocage des comptes fantômes sont fermés à la suite de la demande d’un usager. Pour répondre à ces attaques, Facebook demande à ces utilisateurs de reconnaître des amis sur une photo, lorsque ce même utilisateur ne s’est pas connecté à son compte depuis un lieu habituel ou que la connexion paraît suspecte.

Les chercheurs ont ainsi pu récolter de nombreuses données personnelles, soit 250 Go de données sur plus de 3000 comptes d’utilisateurs. En effet, le robot ne s’attaque pas seulement aux données de l’usager qui a accepté l’invitation, mais également à toutes les données qui sont partagées avec lui, soit celles de ses amis et des amis d’amis, selon à qui il a donné accès à son profil. C’est ainsi qu’en plus de pirater un compte principal, les chercheurs ont envoyé des demandes aux amis d’amis des personnes piratées. En raison du lien de confiance plus ou moins créé sur ces sites entre les personnes lorsqu’elles deviennent des « amies », les amis d’amis ont une nette tendance à accepter plus facilement les invitations émanant de personnes ayant déjà « une amitié commune », puisqu’ils sont 49% dans ce cas. Ce qui fait la force des sites de réseaux sociaux, soit les liens tissés entre les individus, devient aussi sa faiblesse, notamment lorsqu’un cybercriminel décide de récupérer des informations personnelles via ces sites. Il peut clairement se former une large base de données, grâce aux diverses données récoltées sur ces sites.

Les données volées peuvent être de différentes natures et s’avérer une réelle source de renseignements pour des personnes mal attentionnées. Par exemple, le courriel, l’adresse postale, le numéro de téléphone, la date de naissance, l’identité des membres de la famille, le nom des écoles fréquentées, mais aussi toutes les autres informations publiées sur ces sites de réseau social permettent de créer des fiches personnelles très détaillées pouvant mener, par exemple à des vols d’identité ou à du piratage de compte en banque. En effet, il est alors plus simple de reconstituer des mots de passe et répondre aux questions de sécurité utilisées par les organismes publics et financiers, telles que « Quel est le nom de jeune fille de votre mère ? » ou « Quel est le nom de votre école secondaire ? ». Visiblement, depuis ces dernières années, l’emploi de ces robots par les hackers est en nette augmentation. Il est clair que les sites de réseau social, source extraordinaire de données personnelles, et le manque de méfiance des usagers sont deux raisons qui motivent les hackers à s’intéresser de plus en plus à ces sites.

Pour que le « Socialbot » fonctionne correctement, il faut que la personne titulaire du compte accepte l’invitation d’un autre utilisateur, notamment du compte fictif. Cela requière son consentement pour que le robot puisse faire correctement son travail, soit le vol des données personnelles. C’est une manipulation humaine qui est à l’origine de ce manque de sécurité. En effet, ce sont les victimes, elles-mêmes, qui permettent le vol de leurs propres données en acceptant n’importe qui sur leur profil Facebook en l’occurrence, mais aussi de celles des personnes figurant sur leur profil. Par conséquent, la première faille de sécurité sur un réseau social est humaine, soit les utilisateurs eux-mêmes. Il semblerait qu’ils fassent preuve d’une certaine confiance envers les autres utilisateurs de ces sites et encore plus lorsqu’ils sont dans la catégorie « d’amis ». Or, cette étude prouve qu’il n’est pas difficile d’obtenir ce titre et ainsi accéder à un pan relativement large de la vie de la personne titulaire du compte, ainsi qu’aux données de ses amis, des amis d’amis et ainsi de suite.

L’étude conclut que le système de sécurité de Facebook n’est pas fiable pour détecter et bloquer des comptes fictifs, alors que les conséquences sur la vie privée des usagers, et plus spécialement sur leurs données personnelles, sont très sérieuses. Ils sont plus enclins à subir des infractions.

En réponse à cette étude qui souhaitait démontrer la vulnérabilité d’un site de réseau social, Facebook critique la méthodologie et l’éthique des chercheurs canadiens. En effet, le site remet en doute le sérieux de l’étude effectuée. Dans un premier temps, le fait qu’ils aient utilisé un courriel de l’université d’attache leur a permis plus facilement de créditer leur piratage et ainsi d’être accepté par les usagers. De ce fait, les mesures de sécurité du réseau social ont été contournées plus facilement. Dans un second temps, le porte-parole de Facebook énonce que cette étude est à la limite de la légalité, notamment elle aurait pu avoir des conséquences sur d’autres étudiants, eux bien réels, qui auraient pu se voir « blacklistés ». Enfin, toujours selon le porte-parole, « les conclusions de l’étude universitaire pourrait se révéler fausses », puisque « [n]ous avons de nombreux systèmes conçus pour détecter des faux comptes et pour empêcher la propagation d’information non contrôlée ». Dans tous les cas, même si le site de Facebook essaie d’améliorer son système de sécurité, il n’en reste pas moins que ce sont les utilisateurs eux-mêmes qui doivent être plus vigilants et ne pas accepter n’importe qui sur leur profil, sources d’innombrables données personnelles pouvant être employés à des fins criminelles.