Comment détecter les bots d’infox

17 Mai 2019

Vous pouvez devenir riche ou sauver votre vie en ayant les bons renseignements au bon moment, mais la triste réalité est que les infox envahissent les champs d’informations du monde entier. De nos jours, les gens réussissent en créant de toute pièce de fausses informations et en les diffusant en ligne, mais ce n’est pas suffisant. En plus d’avoir de réelles personnes, ce secteur emploie aussi des milliers de bots sur les réseaux sociaux afin d’exploiter l’effet au maximum. Lors du Security Analyst Summit de cette année, les chercheurs de Recorded Future ont présenté plusieurs méthodes permettant de dévoiler ces bots.

Pourquoi les bots d’infox existent encore

Personne n’aime les bots, mais les entreprises qui travaillent avec les réseaux sociaux les détestent ; les bots rendent les réseaux sociaux moins attrayants. Par exemple, Twitter identifie régulièrement un nombre considérable de bots et les bannit, et c’est pourquoi les personnes réelles se plaignent de perdre des abonnés. Cela signifie que les réseaux sociaux disposent de leurs propres méthodes pour détecter les bots. Leurs efforts ne sont pourtant pas suffisants puisque certains bots ne sont pas supprimés.

Les réseaux sociaux ne divulguent pas leurs algorithmes mais nous pensons pouvoir dire qu’ils consistent à détecter un comportement anormal. Voici l’exemple le plus évident : si un compte essaie de publier une centaine d’annonces à la minute, alors il s’agit certainement d’un bot. Ou si un compte ne retweete que des publications faites par d’autres comptes et ne publie jamais rien lui-même, alors il s’agit sûrement d’un bot.

Les créateurs des bots en savent toujours plus et arrivent à modifier leurs bots pour qu’ils contournent les techniques des services des réseaux sociaux. Ces derniers ne peuvent pas se permettre d’avoir trop de faux positifs ; si beaucoup de personnes sont bannies par erreur, les utilisateurs vont être outrés. Ils doivent donc faire attention, et c’est pourquoi certains bots passent inaperçus.

Pour en savoir plus sur le comportement des bots, Recorded Future a décidé de se concentrer sur une caractéristique afin de révéler un certain groupe de bots. Dans ce cas, il s’agit d’attaques terroristes qui n’apparaissent que sur Twitter. Si vous voyez qu’un compte se comporte de cette façon alors il s’agit probablement d’un bot, ou d’un compte qui retweete un bot. Voyons maintenant quels sont les points communs entre tous ces comptes.

Comportement des bots d’infox

Tout d’abord, les événements terribles mentionnés par ses comptes avaient bel et bien eu lieu puisque certains articles ont été publiés à ce sujet sur des sites Internet assez respectables ; des pages qui n’ont manifestement pas diffusé d’infox. Un détail pourtant important : ces événements ont eu lieu il y a des années, mais les comptes ne l’ont pas mentionné. Ils associent ainsi ces comptes à des médias respectables, ce qui apaise les algorithmes de détection des bots, et encourage le cerveau qui se cache derrière ces bots a adopté cette stratégie.

Ensuite, dans ce cas de réseau de bots, les propriétaires du compte disent se trouver aux États-Unis mais parlent principalement de pays européens. Ces informations ont permis à Recorded Future d’identifier plus de 200 comptes ayant un comportement similaire, et à analyser de plus près les autres ressemblances et connexions qu’il y avait entre eux.

Par exemple, les chercheurs ont établi un modèle d’activité et se sont rendu compte que beaucoup de ces bots ne sont actifs qu’à certaines périodes. Certains de ces comptes ont été bannis en mai de cette année, mais d’autres sont apparus, avec le même comportement, et sont encore opérationnels.

Une autre similarité est que tous ces comptes utilisent certains services de réduction d’URL pour publier ces informations. Ils se servent de ces services de réduction d’URL pour fournir certaines analyses de données à ceux qui se cachent derrière les bots ; par exemple, combien de personnes ont cliqué sur chaque lien. Il ne s’agit pas de services de réduction d’URL que n’importe quelle personne pourrait utiliser normalement, comme t.co ou goo.gl ; ces URL non publiques sont uniquement créées pour recueillir des données. D’ailleurs, tous ces services de réduction d’URL ont un design minimaliste orange et blanc étrangement similaire. L’utilisation de ces services permet aussi de lier les comptes entre eux.

Les données WHOIS relatives aux sites Internet de ces services de réduction URL montrent que tous sont hébergés sur la plateforme Cloud Microsoft Azure et enregistrés anonymement. Pure coïncidence ? Nous en doutons. Il y a bien d’autres ressemblances entre ces comptes même si les campagnes sont évidemment différentes. En général, vous pouvez détecter des réseaux de bots en examinant un compte de bot, en recherchant certaines particularités, et en voyant si d’autres comptes ont les mêmes caractéristiques. Cette méthode est particulièrement efficace.

Caractéristiques du bot d’infox

Nous avons préparé une petite liste des fonctions propres aux bots. Les comptes utilisés sur un réseau, ou pour une campagne, ont plusieurs caractéristiques en commun. Par conséquent, les comptes d’un réseau social sont probablement des bots s’ils :

  • Ont des noms et pseudonymes similaires ;
  • Ont été créés exactement le même jour ;
  • Publient des liens qui vous dirigent vers les mêmes sites ;
  • Utilisent les mêmes constructions de phrases ;
  • Commettent les mêmes erreurs de grammaire ;
  • Se suivent ou suivent un autre compte similaire ;
  • Utilisent les mêmes outils, comme les services de réduction d’URL ;
  • Ne sont actifs en même temps qu’à certaines périodes ;
  • Ont des biographies similaires ;
  • Ont des images génériques ou le visage d’autres personnes comme photo de profil (facilement trouvables sur Google).

Bien sûr, cela ne signifie pas que si plusieurs comptes se ressemblent ce sont des bots. Certainement pas. En revanche, s’il y en a plus d’un, voire plus de quatre ou cinq (vous évitez ainsi les faux positifs), alors il est fort probable que vous soyez en train de consulter un réseau de bots sur les réseaux sociaux.

Am-stram-bot

L’équipe de recherche de Recorded Future montre qu’il est encore possible d’identifier les bots en utilisant une analyse du comportement. Les chercheurs ont trouvé plusieurs bots, ont détecté quelque chose d’étrange dans leur comportement, puis ont cherché d’autres comptes qui avaient la même attitude. Cela leur permet d’identifier d’autres bots et de détecter d’autres ressemblances qu’ils peuvent ajouter à leurs critères de recherche afin de trouver d’autres comptes utilisés lors de campagnes annexes.

Ce travail est continu et sûrement interminable puisque de nouveaux bots apparaissent tous les jours et ont leurs propres modèles de comportement. Personne ne peut détecter tous les bots avec un seul ensemble de règles de comportement ; grâce à l’analyse du comportement les experts peuvent au moins identifier toutes les parties de certains réseaux de bots, aider les réseaux sociaux à faire fermer ces sites et ainsi créer un lieu d’échange beaucoup plus agréable sur les réseaux sociaux.

Enfin, toute personne utilisant les réseaux sociaux doit savoir que les bots existent, qu’ils sont nombreux, et qu’ils ne sont pas fiables.