Réseaux sociaux : champ d’attaques sociales et techniques

Avec des milliards d’utilisateurs, 38 millions de français actifs et des centaines de plateformes disponibles, les réseaux sociaux sont omniprésents et font partie intégrante de la réalité d’une majorité d’individus. Plateformes de partage de contenus, de musique, produits commerciaux ou outils de rencontre amoureuse, leur utilité est devenue quotidienne. Phénomène inhérent à leur popularité, à l’étendue des fonctions disponibles et à leur usage quotidien, les réseaux sociaux hébergent de nombreux risques, sociaux, psychologiques et techniques. Nous nous attarderons ici sur les questions de sécurité et sûreté dans une approche à la fois technique et sociale.
L’approche utilisée se veut à la fois sociale et technique. La dualité réside d’une part dans le type d’attaque, utilisant soit une stratégie sociale et psychologique, soit des moyens techniques à l’aide de logiciels malveillants. La dualité réside également dans la combinaison d’outils techniques et sociaux dans chacune de ces stratégies. Pour l’approche technique, il a été choisi de s’intéresser aux différentes étapes décrites dans la Cyber Kill Chain® (https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html), un processus opérationnel, inspiré du monde militaire, décrivant les différents stades de compromission par un logiciel malveillant. Il est ainsi possible d’identifier, de manière non-exhaustive, quatre activités criminelles à travers les réseaux sociaux: appréhender la cible, influencer, répandre et enfin monétiser et partager.

1. Reconnaissance : appréhender la cible

Que ce soit pour une opération technique ou psychologique (PSYOP: opération ayant pour but de manipuler, influencer un groupe cible à travers des activités de communications), il est possible que la cible soit déterminée en fonction de certaines qualités comme le statut (par exemple, dans le cadre du spear-phishing ou la fraude PDG), de ses biens ou de sa naïveté. Ainsi dans une phase de reconnaissance, les réseaux sociaux offrent de nombreux renseignements : éléments d’identité, travail, relations amoureuses ou professionnelles, orientation sexuelle, idéologies, opinions, horaires et habitudes. La récolte d’informations peut être passive et particulièrement simple, par l’observation de profils : éléments apparents, comportement, relations. De manière plus élaborée et active, le criminel peut prendre contact avec la cible potentielle et amasser de plus amples informations ou déterminer le niveau de naïveté et d’ouverture de cette dernière. Plusieurs affaires notables illustrent la pertinence des réseaux sociaux à ce stade. La première fait rencontrer le monde militaire et Tinder. Un acteur étranger a tenté de récupérer du renseignement sur les F-35, à travers une rencontre virtuelle. La deuxième est issue d’une recherche. Le chercheur a créé l’identité d’une jeune femme séduisante, supposée analyste cyber et a ainsi pris contact, via Linkedin, avec des cadres et officiels du gouvernement américain, la plupart ayant accepté la prise de contact sans vérification préalable. Enfin, le “cas Happn” (Di Luzio, Mei, Stefa; 2018) a montré qu’il était possible de révéler l’entourage et les habitudes d’un sujet par l’observation des données de localisation journalières.

L’utilisation des réseaux sociaux est ainsi précieuse pour l’acteur malveillant dans l’identification de ces cibles et l’obtention de renseignements nécessaires au succès d’une attaque tant sociale que technique.

2. Confiance et tromperie : outils d’influence

Depuis 2018, la question de l’influence sur les réseaux sociaux est au coeur des préoccupations en matière de sécurité et de politique. Ils représentent en effet des outils de communication majeurs pour des interactions à petite échelle, interpersonnelles, ou de masse, comme le montre le phénomène des Fakes News et le scandale Cambridge Analytica.

Il est intéressant de s’interroger sur la confiance sur ce type de plateformes. Une étude baromètre réalisée par Edelman (The 2018 Edelman Trust Barometer Special Report: Brands and Social Media) montre que seulement 40% de la population mondiale a confiance en les réseaux sociaux. Toutefois, il est important de différencier plusieurs niveaux de confiance : la confiance en les entreprises qui administrent ces réseaux sociaux, le contenu présent sur ces plateformes et les personnes avec lesquelles on interagit. Si la défiance envers les sociétés telles que Facebook a fortement cru depuis 2018, il n’en reste pas moins que les utilisateurs ont tendance à faire davantage confiance sur les réseaux sociaux que dans la vraie vie. Ce phénomène s’explique d’une part par « l’effet cyber”; il semble que nos comportements changent selon que l’on se situe dans la réalité physique ou dans la réalité virtuelle. Pour la plupart, une sorte d’inhibition s’active en ligne, de par la dématérialisation de l’environnement. L’inhibition est marquée par une baisse de vigilance et une dépréciation du risque.

Ce biais connu en ligne n’est pas simplement lié à la perception erronée du contexte de réalité, il est aussi intrinsèque à l’organisation des réseaux sociaux : à la vitesse de génération du contenu et donc à la massification de l’exposition à ce dernier, auxquelles s’ajoutent l’ouverture sociale démesurée. En effet, le nombre de personnes compris dans le réseau d’un sujet est également bien plus important qu’en réalité. Combien d’amis Facebook sont en réalité des personnes connues et avec lesquelles le sujet entretient un contact plus ou moins régulier ? De plus, le sujet présent sur les réseaux sociaux doit gérer un nombre d’informations importantes en peu de temps. Seules quelques secondes voire millisecondes sont accordées à la lecture d’un post ou d’un profil d’application de rencontre, avant de swiper à droite ou à gauche. Il semble ainsi très simple de tromper un utilisateur.

L’exemple ci-dessus est celui de campagnes contenant un lien malveillant. Le post est envoyé par un contact connu, ce qui permet aux utilisateurs de baisser la garde et les encourage davantage à faire confiance que s’il était envoyé depuis un utilisateur au nom inconnu voire farfelu. En quelques secondes, même les sujets les plus avertis et éduquées sur le sujet manquent l’élément malveillant. Il s’agit ici du point situé sous une des lettres, caractéristique du “puny code”, un langage informatique permettant d’insérer des lettres d’alphabets internationaux dans un URL.

Les possibilités d’influences sur les réseaux sociaux croient avec les avancées technologiques. Par exemple, l’intelligence artificielle permet de créer des Deep Fake, des vidéos qui en réalité ont été modifiées. Des vidéos d’hommes politiques comme Barack Obama comptent parmi les exemples et inquiètent en ce que la recherche montre que les probabilités de croire en un fait sont accrues par la vue d’une image ou d’une vidéo; les deep fakes deviennent ainsi une des armes redoutables d’influence politique ou criminelle, des armes d’autant plus menaçantes qu’elles sont répandues.

3. Étendre le champ d’attaque : multiplier et renforcer

Il s’agit ici d’appréhender des aspects plus techniques de l’utilisation des réseaux sociaux par les acteurs malveillants.

Le premier concerne la capacité à distribuer de manière exponentielle un payload (Partie de data transférés qui contient un logiciel malveillant.) ou un message, voire de les rendre viraux grâce à l’utilisation de “botnets”. Un bot est un compte robot, automatisé, qui répond à un algorithme. Un botnet est un réseau de bots géré par un “berger”, “bot herder” qui commande un nombre en général important de systèmes infectés. Le but principal des botnets est de modifier le trafic organique d’un réseau social, tel que Twitter, afin de redéfinir les tendances principales (hastags ou utilisateurs). Il est possible de reconnaître un bot par le manque d’informations caractéristiques d’une identité, la concentration d’un sujet en particulier ainsi que les indicateurs de création du compte (lieu, heure). Le deuxième aspect technique est une étape de la Cyber Kill Chain® appelée “Command and Control”. A cette étape, le logiciel malveillant est installé sur le poste ciblé, a les autorisations d’accès de base et nécessite davantage de commandes pour poursuivre son activité. Il est possible d’utiliser les réseaux sociaux pour activer ces nouveaux ordres. Ils peuvent être contenus sur une publication Instagram, des commentaires Facebook ou bien même sur des hashtags via Twitter (voir illustration). Le logiciel permet le trafic vers le post en particulier qui ensuite recevra de nouveaux ordres pour poursuivre l’activité malveillante en cours. L’intérêt d’utiliser ces plateformes se trouve dans la capacité de camoufler l’activité par un trafic habituel et commun. En effet, les plateformes d’analyse du trafic et réseau utilisée en Threat Intelligence ne pourront que plus difficilement détecter l’activité, contrairement à une connexion vers un domaine lui-même malveillant et non-sécurisé.

4. Réseaux criminels : monétiser

Les réseaux sociaux jouent aussi un rôle a posteriori de l’attaque cyber, lorsque les acteurs, eux-mêmes utilisateurs monétisent et/ou partagent les informations ou data récoltées. Il est fréquent de retrouver des listes d’adresses mail et de mots de passe exposées sur Pastebin, une plateforme de stockage du texte, en ligne. Parmi les butins recherchés, on compte divers items comme les numéros de carte de crédit et les numéros de sécurité sociale. Alors que la plupart du marché noir se coordonne sur le Dark web, une partie est promue sur les réseaux sociaux communs voire directement en vente sur ces plateformes. A titre d’exemple, une carte de crédit peut se vendre autour de 30$, des accès aux comptes de plateformes sociales ou de commerce se vendent entre 2 et 30$, les informations de compte bancaire valent près de 300$ alors que des papiers d’identité se vendent à quelques dizaines de dollars (Valeurs actualisées en février 2019) (source : top10vpn.com). Fait a priori surprenant, les éléments d’identité des jeunes enfants ont plus de valeurs que celles des adultes, fait qui en réalité prouve l’objectif de vente de ces items : rendre l’accès aux crédits possible à des sujets qui n’ont pas une histoire financière correcte. Notons que l’échange ou l’achat d’informations préparant à une prochaine attaque est aussi possible. Il a été observé que des listes de “cibles naïves” pouvaient être achetées sur ces plateformes, permettant à l’auteur de sélectionner des cibles faciles. La vente de ce type de produits n’est pas le seul commerce réalisé sur les réseaux sociaux. Les activités de service sont également appréhendées, commerce que l’on nomme “criminality-as-a-service”. Il est possible d’acheter un pack permettant de commettre une attaque ou de recruter un hacker pour atteindre l’objectif attendu.

Les réseaux sociaux communs ou criminels permettent ainsi aux acteurs malveillants d’échanger, de vendre, acheter des outils ou services afin de commettre des attaques futures ou de compromettre un citoyen victime.

De par l’étendue du nombre d’utilisateurs et du nombre de plateformes existantes, les opportunités sur les réseaux sont particulièrement nombreuses : positives mais aussi négatives. L’approche socio-technique a permis de mettre en avant une dualité d’actions malveillantes permettant à l’auteur d’atteindre ses fins. Les stratégies sociales permettent de collecter du renseignement sur la cible, d’influencer et de mettre à profit les éléments obtenus a posteriori de l’attaque. Les stratégies techniques permettent de propager un message ou un payload, faire avancer l’attaque à des stades supérieurs ou de tromper plus facilement l’utilisateur. Ainsi, bien qu’une cyber attaque soit approchée de manière technique, il semble que le caractère social ou psychologique s’attache de manière systématique à la finalité recherchée. Cette conclusion doit s’étendre à une observation plus large, qui parait évidente mais n’est pas encore appréhendée par les utilisateurs : la réalité globale d’un sujet comprend désormais autant la réalité physique que la réalité en ligne. L’éducation à ce paradigme est nécessaire à la sécurité globale citoyenne dans un futur proche.

Biographie

Béatrice Cadet est diplômée de Sciences Po Lille et détient un Master en Stratégie Internationale, Intelligence et gestion des risques. Durant sa spécialisation en sécurité et sûreté sur Internet, la pertinence de l’implication de la psychologie dans ces domaines l’a amenée à s’orienter vers les problématiques humaines sur Internet. Depuis, Béatrice a fait valoir cette approche en tant qu’analyste cyber pour RedSocks Security/Bitdefender et désormais en tant que chercheure pour TNO (Organisation de recherche appliquée pour les Pays-Bas). Ses intérêts comprennent les problématiques de radicalisation, les aspects socio-techniques des attaques cyber, les réseaux sociaux et les risques concernant les jeunes.

Bibliographie

  • “Dark web market price index 2019”, top10vpn.com, février 2019
  • https://www.top10vpn.com/news/privacy/dark-web-market-price-index-2019-us-edition/
  • Di Luzio, Adriano & Mei, Alessandro & Stefa, Julinda. (2018). Uncovering hidden social relationships through location-based services: The Happn case study. 802-807. 10.1109/INFCOMW.2018.8406866.
  • Donara Barojan, “Comprendre les bots, botnets et trolls”, meta-media.fr, 24 décembre 2018
  • https://www.meta-media.fr/2018/12/24/comprendre-les-bots-les-botnets-et-les-trolls.html
  • Dr Forrester Bruce, Integrating Social Media Tools with Command and Control (C2): What are the Possibilities? DRDC – Valcartier Research Centre, Defence Research and Development Canada, Scientific Report DRDC-RDDC-2016-R073, May 2016
  • http://cradpdf.drdc-rddc.gc.ca/PDFS/unc229/p803913_A1b.pdf
  • Jackson Higgins Kelly , “’Robin Sage’ Profile Duped Military Intelligence, IT Security Pros”, darkreading.com, 6 juillet 2010.
  • https://www.darkreading.com/risk/robin-sage-profile-duped-military-intelligence-it-security-pros-/d/d-id/1133926
  • Ludwig Hervé, “Les 50 chiffres à connaître sur les médias sociaux en 2019”, CultureWeb, blogdumoderateur.com, 2 janvier 2019
  • https://www.blogdumoderateur.com/50-chiffres-medias-sociaux-2019/
  • Stamp, Mark & Singh, Ashutosh & H. Toderici, Annie & Ross, Kevin. (2013). Social Networking for Botnet Command and Control. International Journal of Computer Network and Information Security. 5. 11-17. 10.5815/ijcnis.2013.06.02.