Dans la droite ligne de ces édifiantes histoires Facebook, l’on imagine fort bien que les flibustiers de la carambouille cherchent à automatiser ces attaques contre l’élément humain plongé dans un bain de Web Deuzéro. Depuis l’aube des premiers logiciels de « stupidité artificielle » aux recherches pointues sur l’art de tromper les tests de Turing, les mafieux du Web cherchent à confier à des machines le soin de récupérer des informations d’ordre personnel avec le même niveau de persuasion qu’un professionnel : vendeur de brosses, homme politique, marchands d’encyclopédies ou fourgues spécialisés dans le Viagra d’opérette ou de la toquante « imitation Helvétique », tous ne poursuivent qu’un but, l’approbation du crédule… Et vite et de façon massive s’il vous plait ! Car le temps, c’est de l’argent, et là où un humain derrière un clavier peut « convaincre » une victime de communiquer un nom, une adresse et un numéro de téléphone, un logiciel devrait pouvoir faire le même travail mais auprès de plusieurs centaines de personnes simultanément.
Hélas, constatent quatre chercheurs d’Eurecom, les outils générateurs de « faux dialogues » sont rapidement éventés par les victimes potentielles. Réponses évasives, répétitions dans les réactions, interactivités douteuses ou décalées… Pour éviter ce genre d’écueil, ces chercheurs ont inventé une nouvelle technique : faire converser des humains avec des humains, histoire de ne plus succomber aux pièges de Turing. Oui, mais alors, où se trouve l’automate malicieux ? Mais entre les deux personnes réelles, bien sûr, dans une sorte de « Botnet in the middle attack ». Le fonctionnement est presque simple. Le Bot initie une conversation avec Bob et avec Alice :
-Bonjour, dit le Bot.
-Salut, répond Alice
-Salut envoie le Bot à destination de Bob
Le quel Bob rétorque avec à-propos
-«Vous habitez chez vos parents ? »
… phrase que retourne le Bot vers Alice
… laquelle Alice rétorque
-« J’en avais entendu parler, mais on ne me l’avait encore jamais faite ! »…
Et la conversation est engagée. Le rôle du Bot in the middle est de choisir le moment le plus approprié pour glisser dans la conversation un « lien intéressant à cliquer » ou un fichier à récupérer (en fait, le « payload » de l’attaque), actes dont les conséquences seront plus que bénéfiques pour le « Bot herder » qui contrôle ainsi la communication.
Avec une telle technique, le taux de fiabilité et d’efficacité dépasse les 76%, affirment les chercheurs de Sophia, qui ont modélisé ce genre d’assaut sur des canaux IRC de conversations estudiantines et sur… Facebook, à tout hasard. 76% : De quoi rendre vert de rage les barons du scareware et les princes du scam Nigérian, qui ne se battent que sur des taux de retour ne dépassant pas 1 à 5 pour 1000 dans le meilleur des cas. Ajoutons que le procédé est indétectable et pratiquement impossible à contrer. Est-ce là une approche purement universitaire du problème qui n’a aucune chance d’être exploitée ? C’est hélas peu probable. Il existe d’ores et déjà des réseaux (notamment des filières chinoises et indiennes de déchiffrement de « Captcha »), qui exploitent une méthode inverse : des réseaux de robots qui emploient un « homme au milieu » pour lire et interpréter le contenu d’un test de Turing et ainsi améliorer les performances d’attaques automatisées. Paradoxe étonnant, l’homme devient robot au sein d’un réseau de machines sensées imiter le comportement humain. Il n’y a donc aucune raison pour qu’un jour des humains collaborent, à leur corps défendant, à des escroqueries d’envergure reposant sur ce principe du « botnet in the middle ».