Un groupe de chercheurs grecs en sécurité a créé un outil pour transformer Facebook en une plate-forme d’attaque. Ces scientifiques font partie de l’Institute of Computer Science de la Fondation Hellas pour la Recherche et la Technologie, et travaillent en collaboration avec un chercheur de l’Institut de Singapour pour Infocomm Research.
Dans un document intitulé Antisocial Networks (disponible en fichier PDF), ces chercheurs ont fait la démonstration d’une application obligeant les utilisateurs Facebook à participer à leur insu à des attaques de déni de service contre d’autres sites.
L’outil « Facebot » a été maquillé en application « Image du jour » de National Geographic, que les utilisateurs peuvent installer sur leur page de profil Facebook, ce qui permet d’accéder à des informations de compte et de demander de nouvelles photos.
Lorsque les utilisateurs accèdent à l’application pour visualiser une nouvelle photo, ils deviennent des pirates sans le savoir. Avec la demande de nouvelle photo, Facebot envoie une série de requêtes HTTP à une cible externe. Les multiples requêtes par utilisateur s’additionnent pour représenter jusqu’à 600 Ko de données par clic.
Si un nombre suffisant d’utilisateurs s’inscrivent à cette application, Facebook pourrait devenir la rampe de lancement d’attaques de déni de service majeures. Facebot pouvant être maquillée en élément non menaçant, les utilisateurs pourraient participer à leur insu à des attaques de grande échelle.
Les chercheurs ont précisé que Facebot n’existe que comme preuve de concept, et qu’ils ne disposent pas d’éléments démontrant l’usage effectif de ce type d’outil. En revanche, ils estiment que le risque est très réel.
Facebot n’exploite aucune vulnérabilité de Facebook. L’application se contente d’utiliser ses composants de services de réseau social, comme sa vaste base utilisateurs et les plates-formes ouvertes pour l’échange de code et de contenu.
« Les réseaux sociaux disposent de certaines propriétés intrinsèques qui en font le vecteur idéal pour une exploitation par un pirate », déclarent les chercheurs dans le rapport. « Toutes ces caractéristiques donnent aux pirates l’opportunité de manipuler une large base d’utilisateurs Internet et les obliger à commettre des actes anti-sociaux contre Internet sans en avoir connaissance ».
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.