Facebook conteste l’étude universitaire censée démontrer la vulnérabilité de la plate-forme communautaire en cas d’attaque par des « bots sociaux ».
Des étudiants-chercheurs de l’University of British Colombia (UBC, Vancouver, Canada) ont récemment publié le résultat de leurs travaux.
Et le bilan n’est guère honorable pour Facebook malgré son système de « défense immunitaire » (sécurité IT).
En huit semaines et avec seulement 102 robots, l’équipe de chercheurs serait parvenue à compromettre plus de 3000 comptes utilisateurs et à télécharger 250 Go de données personnelles.
Mais Facebook contre-attaque. La plate-forme communautaire conteste la méthodologie retenue.
Selon eWeek UK, un porte-parole de Facebook exprime des doutes sérieux sur l’approche de cette étude.
« Nous allons en parler directement avec les auteurs », commente-t-il.
« Comme d’habitude, nous invitons les gens à entrer en contact qu’avec le cercles de personnes connues et à nous faire remonter les comportements jugés suspects que l’on pourrait observé sur le site. »
Le test de l’UBC fondé sur des « social bots » a été réalisé à partir d’une adresse mail rattachée à l’université. Ce qui a donné aux chercheurs un « avantage inéquitable » pour accomplir ce piratage.
Facebook argue que, généralement, la plupart des vrais assauts sont menés avec des adresses e-mail anonymes ou biaisées susceptibles de faciliter le contournement des mesures de sécurité du réseau social.
Néanmoins, cet argument est à double sens. Dans la réalité, il serait possible qu’un hacker compromette une véritable adresse mail et s’en serve pour attaquer Facebook.
Le porte-parole du réseau social indique également que ce test de l’UBC est à la limité de la légalité.
Il aurait pu avoir des conséquences pour d’autres étudiants authentiques de l’établissement (adresses IP blacklistées).
Notons tout de même que les chercheurs avaient pris le soin de consulter le comité éthique de l’université et qu’ils avaient obtenu son feu vert.
Toujours selon Facebook, les conclusions de l’étude universitaire pourrait se révéler fausses.
« Nous avons de nombreux systèmes conçus pour détecter des faux comptes et pour empêcher la propagation d’information non contrôlée, » explique ce porte-parole.
« Nous mettons à jour en permanence nos systèmes pour améliorer la sécurité et prévenir des attaques nouvelles. »
Et le porte-parole de poursuivre tout de même en expliquant que les faux comptes auraient été supprimés plus rapidement que les chercheurs ne le suggèrent.
« Nous avons de nombreux systèmes conçus pour détecter les faux comptes et empêcher l’extraction d’informations. Nous mettons constamment à jour ces systèmes pour les améliorer, » ajoute-t-il.
Le réseau précise aussi que « comme toujours, nous encourageons les gens à ne se connecter qu’à des personnes qu’ils connaissent réellement, et à rapporter tout comportement suspect qu’ils observent sur le site. »
Des déclarations qui n’ôtent pas tous les doutes.
Logo : © xiaoliangge – Fotolia.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…