ILes réseaux sociaux en ligne comme Twitter, Facebook et Google+ sont omniprésents dans le quotidien de nombreux internautes, et les cybercriminels en profitent.
Comme tous les utilisateurs, les criminels ont besoin de comptes pour accéder à ces services virtuels et y mener à bien leurs stratégies d'extorsion. On assiste donc à une prolifération de comptes frauduleux : des authentifiants générés automatiquement servent à créer des comptes pour diffuser des canulars, des messages de hameçonnage et des programmes malveillants.
La Securities and Exchange Commission (SEC) de Twitter estime que moins de 5 pour cent des comptes Twitter sont frauduleux. De même, Facebook estime que 1,5 pour cent de ses utilisateurs actifs ont un compte frauduleux. Le problème ne touche pas uniquement les réseaux sociaux, mais pratiquement tous les services offerts sur le Web.
Le présent article relate une enquête menée par une équipe de chercheurs de l'Université de Californie à Berkeley, de l'International Computer Science Institute et de l'Université George Mason sur le marché clandestin de la création massive d'authentifiants pour Twitter, son fonctionnement, son incidence sur la quantité de pourriels expédiés via Twitter et la façon dont les vendeurs arrivent à contourner les obstacles visant à éliminer les inscriptions automatisées.
Les chercheurs ont infiltré le marché des comptes et contrôlé 27 fournisseurs de grandes quantités d'authentifiants pour Twitter sur des sites vitrines, dans des forums pour pirates informatiques et sur des sites de travail à la pige. Ces vendeurs demandent généralement 40 $ pour 1000 comptes.
Après avoir obtenu l'autorisation expresse de Twitter, l'équipe a réalisé une étude longitudinale et acheté 121 027 comptes Twitter frauduleux toutes les deux semaines pendant dix mois, soit de juin 2012 à avril 2013.
L'équipe a découvert que les fournisseurs clandestins comprennent bien les dispositifs utilisés par Twitter pour éviter les inscriptions automatisées (comme les captchas, qui exigent la reconnaissance de caractères) et peuvent créer des millions de comptes sans que la quantité des comptes ou l'instabilité de leur prix ne pose problème.
Les 27 fournisseurs surveillés par les chercheurs ont recours à des services de mise en échec de captchas, à des authentifiants frauduleux de Hotmail, Yahoo et mail.ru et à des dizaines de milliers d'hôtes partout dans le monde qui leur fournissent des adresses IP diversifiées leur évitant d'être inscrits sur une liste noire ou de voir limité le nombre de courriel qu'ils peuvent envoyer simultanément.
Globalement, les fournisseurs avaient créé automatiquement de 10 à 20 pour cent de tous les comptes qui ont plus tard été désignés par Twitter comme étant des pourriels. La vente des comptes leur a donc permis de toucher un revenu annuel de 127 000 $ à 459 000 $.
En collaboration avec Twitter, les cher-cheurs ont contribué à désactiver 95 pour cent de tous les comptes détenus par les fournisseurs contrôlés avant que les authentifiants tombent entre les mains de polluposteurs.
Contre-mesures
Au cœur du système des pourriels et des programmes malveillants à but lucratif évolue un marché clandestin où des cybercriminels traitent avec des vendeurs de produits et services spécialisés tels que la mise en échec des captchas, les mandataires IP et les comptes de courriel en grandes quantités. Les chercheurs ont découvert que les criminels utilisaient bon nombre de ces produits et services afin de créer massivement des comptes Twitter.
Mise en échec des captchas : Twitter s'efforce de limiter le nombre d'inscriptions provenant d'une même adresse IP à l'aide de captchas. Après avoir étudié les tentatives des fournisseurs, les chercheurs ont conclu que seulement 8 pour cent des captchas étaient décodés.
Ce pourcentage montre que des services de mise en échec de captchas peuvent être achetés clandestinement. Même si les captchas ont permis de bloquer 92 pour cent des fausses inscriptions à Twitter, les fournisseurs sont parvenus à créer des millions de comptes au fil du temps, en misant simplement sur le hasard.
Confirmation par courriel : Twitter exige que les titulaires des nouveaux comptes répondent à une question de sécurité ou confirment leur adhésion par courriel immédiatement après leur inscription. Twitter envoie alors une adresse URL à l'adresse de courriel fournie. Si le titulaire clique sur l'adresse URL, l'adhésion est confirmée. Certains titulaires de comptes n'ont pas à franchir l'étape de la confirmation, mais leur capacité d'interagir avec d'autres utilisateurs de Twitter est réduite.
Les chercheurs ont découvert que 77 pour cent de tous les comptes qu'ils avaient achetés avaient été confirmés à partir d'une même adresse de courriel. Les fournisseurs généraient des inscriptions sur Twitter grâce à leurs multiples adresses provenant de Hotmail, Yahoo et mail.ru et demandaient entre 4 $ et 6 $ pour 1000 inscriptions sur le marché clandestin.
Bien que la capacité des commerçants de vérifier les adresses de courriel puisse remettre en cause la validité du processus, les chercheurs ont conclu que la confirmation par courriel avait une incidence positive sur le prix des comptes : les fournisseurs demandent un prix 20 pour cent plus élevé pour les comptes Twitter confirmés que pour ceux qui n'ont pas été confirmés. Ainsi, le coût d'un compte de courriel est absorbé dans le coût d'un nouvel authentifiant pour Twitter.
Adresses IP : Les adresses IP uniques sont fondamentales pour la création massive de comptes. Sans bassin d'adresses IP, les comptes frauduleux seraient facilement repérables et destinés à une liste noire ou à une limitation du nombre de courriels pouvant être envoyés.
Les chercheurs ont établi que les fournisseurs majeurs de faux comptes disposaient chaque jour de dizaines de milliers d'adresses IP uniques appartenant à des hôtes compromis situés partout dans le monde. Même les plus petits fournisseurs disposaient de milliers d'adresses IP afin d'éviter toute détection sur le réseau. Les pays d'où provenait le plus grand nombre d'adresses IP exploitées étaient l'Inde, l'Ukraine, la Turquie, la Thaïlande et le Mexique. Les adresses IP de ces régions du monde comptent parmi les moins chères sur le marché clandestin, leur prix variant de 6 $ à 10 $ par millier.
Mesurer les répercussions
Afin d'estimer l'incidence du marché des faux comptes sur l'envoi de pourriels sur Twitter, les chercheurs se sont servis des connaissances qu'ils avaient acquises grâce à l'infiltration pour produire l'« empreinte digitale » du logiciel qu'utilisent les fournisseurs pour la création automatisée de comptes.
En combinant apprentissage automatique et heuristique automatisé, l'équipe a conçu un système capable de détecter 95 pour cent des comptes frauduleux enregistrés sur le marché clandestin avec un taux de précision de 99,9942 pour cent.
En collaboration avec Twitter, les chercheurs ont appliqué leur cadre de détection à chaque compte Twitter créé entre avril 2012 et avril 2013. Le système a décelé plusieurs millions de comptes frauduleux (leur nombre exact est une donnée protégée et privée). De ces comptes, 73 pour cent avaient été achetés puis avaient servi à diffuser des pourriels, tandis que les 27 pour cent restants n'avaient toujours pas été achetés.
Les chercheurs ont coordonné avec Twitter l'évaluation des répercussions des activités des fournisseurs sur l'expédition de pourriels sur Twitter à long terme. Conclusion : au plus fort de ses activités, le marché clandestin était à l'origine de l'enregistrement de 60 pour cent des comptes qui seraient plus tard suspendus par Twitter pour avoir été utilisés à mauvais escient.
En période normale, les fournisseurs créaient de 10 à 20 pour cent des comptes ayant été détectés par Twitter pour l'envoi de pourriels. Les chercheurs estiment que les 27 vendeurs de comptes contrôlés empochaient en un an des revenus combinés de 127 000 $ à 459 000 $. Puisqu'un grand nombre des fournisseurs vendaient également des comptes de Google, Facebook et Hotmail, entre autres, ces chiffres ne représentent qu'une fraction de leurs revenus.
Passer à l'action
En vue d'ébranler le marché clandestin des comptes, les chercheurs ont collaboré avec les équipes de Twitter chargées de la lutte contre les pourriels et de la sécurité du réseau pour désactiver les millions de comptes ciblés par les chercheurs.
Tout au long du processus, l'équipe de recherche a contrôlé le marché clandestin pour détecter tout signe de reprise des activités, que ce soit l'incapacité d'acheter des authentifiants valides ou une hausse des prix.
Immédiatement après l'offensive de Twitter, buyaccs.com – l'un des principaux fournisseurs de comptes Twitter – a affiché sur son site Web un avis en russe disant « Временно не продаем аккаунты Twitter.com », ce qui signifie qu'ils suspendaient temporairement la vente de comptes Twitter.com.
Un autre fournisseur, à qui l'équipe de recherche a demandé de lui vendre des comptes, a répondu que tous les comptes avaient été suspendus, pas seulement les siens, mais ceux de tous les vendeurs, et qu'il ne savait pas ce que Twitter avait fait.
Bien que cette opération de Twitter ait porté ses fruits, le marché a commencé à remonter. Tout de suite après que Twitter a suspendu tous les stocks des fournisseurs, les chercheurs ont tenté d'acheter 14 067 comptes et découvert que 90 pour cent d'entre eux avaient été invalidés par l'intervention de Twitter. Après avoir acheté 6879 comptes deux semaines plus tard, les chercheurs ont découvert que seulement 54 pour cent des comptes étaient non valides, ce qui indiquait que les fournisseurs avaient recommencé à créer des comptes afin de regarnir leurs stocks.
Étant donné que la suspension massive de comptes n'a eu lieu qu'une seule fois, les vendeurs ont pu simplement reprendre leurs activités et continuer d'exploiter les mêmes failles du système de détection des enregistrements automatisés de Twitter pour créer des comptes frauduleux.
Bref, la perturbation à long terme du marché des comptes nécessite, d'une part, l'amélioration des systèmes empêchant la création de comptes en série, ce qui ferait augmenter les coûts d'inscription, et d'autre part, l'intégration du nouveau cadre qui permettrait de détecter en temps réel tout faux compte créé sur Twitter.