Blackhat 2016, Las Vegas. Qui donc mieux qu’un réseau social possède le plus d’informations possible sur une personne ? Si l’on élimine les fiches des barbouzes sur quelques personnages publics, il ne reste que les réseaux sociaux. Et c’est précisément ce que démontre John Seymour, alias Delta Zero, chercheur au sein de ZeroFox. Un visage poupin d’étudiant de premier cycle, mais un esprit d’un vieux renard de la sécurité, Seymour explique : Statistiquement, le « rendement au clic » d’un courriel d’hameçonnage frise les 40 %. Encore faut-il que l’email en question soit lu, que le fichier d’adresse soit conséquent pour espérer un bon ROI… en s’appuyant sur un réseau social, cette limite imposée du nombre de contacts potentiels disparaît. Plus de barrière antispam, un fichier qui s’accroît de manière exponentielle au rythme des contacts de chaque victime, et un contexte parfois assez limité pour que des maladresses de formulation puissent passer pour des contraintes d’écriture. C’est le cas notamment avec Twitter et ses 140 caractères très réducteurs. Voilà pour l’image générale. En adressant plusieurs milliers de personnes d’un coup et surtout quasi instantanément, la rentabilité explose, quand bien même le taux de clics tombe parfois en deçà des 30 %.
Mais n’importe quel utilisateur de Tweeter parvient aisément à détecter un bot… il suffit généralement de jeter un coup d’œil aux messages qu’il a l’habitude d’émettre. « Pas si le robot parvient à établir un dialogue sensé » rétorque Seymour. C’est là qu’intervient Snap_R (pour Social Network Automated Phishing with Reconnaissance), un outil inspiré de Tay, le compte Twitter de l’I.A. de Microsoft qui compte près de 156 000 followers. En combinant un peu d’analyse linguistique et textuelle avec un moteur d’I.A., Snap_R parvient à rendre le dialogue homme-machine relativement plausible. C’est là le premier pas d’un Black Hat virtuel capable de franchir les premières épreuves du test de Turing. Snap_R peut être téléchargé sur Github, à des fins purement technique et scientifique cela va sans dire. Ce code risque d’inspirer toute une génération de professionnels de la vente et de la promotion.