Un groupe de chercheurs grecs en sécurité a créé un outil pour transformer Facebook en une plate-forme d’attaque. Ces scientifiques font partie de l’Institute of Computer Science de la Fondation Hellas pour la Recherche et la Technologie, et travaillent en collaboration avec un chercheur de l’Institut de Singapour pour Infocomm Research.
Dans un document intitulé Antisocial Networks (disponible en fichier PDF), ces chercheurs ont fait la démonstration d’une application obligeant les utilisateurs Facebook à participer à leur insu à des attaques de déni de service contre d’autres sites.
L’outil « Facebot » a été maquillé en application « Image du jour » de National Geographic, que les utilisateurs peuvent installer sur leur page de profil Facebook, ce qui permet d’accéder à des informations de compte et de demander de nouvelles photos.
Lorsque les utilisateurs accèdent à l’application pour visualiser une nouvelle photo, ils deviennent des pirates sans le savoir. Avec la demande de nouvelle photo, Facebot envoie une série de requêtes HTTP à une cible externe. Les multiples requêtes par utilisateur s’additionnent pour représenter jusqu’à 600 Ko de données par clic.
Si un nombre suffisant d’utilisateurs s’inscrivent à cette application, Facebook pourrait devenir la rampe de lancement d’attaques de déni de service majeures. Facebot pouvant être maquillée en élément non menaçant, les utilisateurs pourraient participer à leur insu à des attaques de grande échelle.
Les chercheurs ont précisé que Facebot n’existe que comme preuve de concept, et qu’ils ne disposent pas d’éléments démontrant l’usage effectif de ce type d’outil. En revanche, ils estiment que le risque est très réel.
Facebot n’exploite aucune vulnérabilité de Facebook. L’application se contente d’utiliser ses composants de services de réseau social, comme sa vaste base utilisateurs et les plates-formes ouvertes pour l’échange de code et de contenu.
« Les réseaux sociaux disposent de certaines propriétés intrinsèques qui en font le vecteur idéal pour une exploitation par un pirate », déclarent les chercheurs dans le rapport. « Toutes ces caractéristiques donnent aux pirates l’opportunité de manipuler une large base d’utilisateurs Internet et les obliger à commettre des actes anti-sociaux contre Internet sans en avoir connaissance ».
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…