{"id":11734,"date":"2019-05-17T12:34:17","date_gmt":"2019-05-17T12:34:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11734"},"modified":"2020-05-07T16:26:53","modified_gmt":"2020-05-07T16:26:53","slug":"fake-news-bots","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fake-news-bots\/11734\/","title":{"rendered":"Comment d\u00e9tecter les bots d’infox"},"content":{"rendered":"

Vous pouvez devenir riche ou sauver votre vie en ayant les bons renseignements au bon moment, mais la triste r\u00e9alit\u00e9 est que les infox envahissent les champs d\u2019informations du monde entier. De nos jours, les gens r\u00e9ussissent en cr\u00e9ant de toute pi\u00e8ce de fausses informations et en les diffusant en ligne, mais ce n\u2019est pas suffisant. En plus d\u2019avoir de r\u00e9elles personnes, ce secteur emploie aussi des milliers de bots sur les r\u00e9seaux sociaux afin d\u2019exploiter l\u2019effet au maximum. Lors du Security Analyst Summit<\/a> de cette ann\u00e9e, les chercheurs de Recorded Future<\/a> ont pr\u00e9sent\u00e9 plusieurs m\u00e9thodes permettant de d\u00e9voiler ces bots.<\/p>\n

Pourquoi les bots d\u2019infox existent encore<\/h2>\n

Personne n\u2019aime les bots, mais les entreprises qui travaillent avec les r\u00e9seaux sociaux les d\u00e9testent\u00a0; les bots rendent les r\u00e9seaux sociaux moins attrayants. Par exemple, Twitter identifie r\u00e9guli\u00e8rement un nombre consid\u00e9rable de bots et les bannit, et c\u2019est pourquoi les personnes r\u00e9elles se plaignent de perdre des abonn\u00e9s. Cela signifie que les r\u00e9seaux sociaux disposent de leurs propres m\u00e9thodes pour d\u00e9tecter les bots. Leurs efforts ne sont pourtant pas suffisants puisque certains bots ne sont pas supprim\u00e9s.<\/p>\n

Les r\u00e9seaux sociaux ne divulguent pas leurs algorithmes mais nous pensons pouvoir dire qu\u2019ils consistent \u00e0 d\u00e9tecter un comportement anormal. Voici l\u2019exemple le plus \u00e9vident\u00a0: si un compte essaie de publier une centaine d\u2019annonces \u00e0 la minute, alors il s\u2019agit certainement d\u2019un bot. Ou si un compte ne retweete que des publications faites par d\u2019autres comptes et ne publie jamais rien lui-m\u00eame, alors il s\u2019agit s\u00fbrement d\u2019un bot.<\/p>\n

Les cr\u00e9ateurs des bots en savent toujours plus et arrivent \u00e0 modifier leurs bots pour qu\u2019ils contournent les techniques des services des r\u00e9seaux sociaux. Ces derniers ne peuvent pas se permettre d\u2019avoir trop de faux positifs\u00a0; si beaucoup de personnes sont bannies par erreur, les utilisateurs vont \u00eatre outr\u00e9s. Ils doivent donc faire attention, et c\u2019est pourquoi certains bots passent inaper\u00e7us.<\/p>\n

Pour en savoir plus sur le comportement des bots, Recorded Future a d\u00e9cid\u00e9 de se concentrer sur une caract\u00e9ristique afin de r\u00e9v\u00e9ler un certain groupe de bots. Dans ce cas, il s\u2019agit d\u2019attaques terroristes qui n\u2019apparaissent que sur Twitter. Si vous voyez qu\u2019un compte se comporte de cette fa\u00e7on alors il s\u2019agit probablement d\u2019un bot, ou d\u2019un compte qui retweete un bot. Voyons maintenant quels sont les points communs entre tous ces comptes.<\/p>\n\n

Comportement des bots d\u2019infox<\/h2>\n

Tout d\u2019abord, les \u00e9v\u00e9nements terribles mentionn\u00e9s par ses comptes avaient bel et bien eu lieu puisque certains articles ont \u00e9t\u00e9 publi\u00e9s \u00e0 ce sujet sur des sites Internet assez respectables\u00a0; des pages qui n\u2019ont manifestement pas diffus\u00e9 d\u2019infox. Un d\u00e9tail pourtant important\u00a0: ces \u00e9v\u00e9nements ont eu lieu il y a des ann\u00e9es, mais les comptes ne l\u2019ont pas mentionn\u00e9. Ils associent ainsi ces comptes \u00e0 des m\u00e9dias respectables, ce qui apaise les algorithmes de d\u00e9tection des bots, et encourage le cerveau qui se cache derri\u00e8re ces bots a adopt\u00e9 cette strat\u00e9gie.<\/p>\n

Ensuite, dans ce cas de r\u00e9seau de bots, les propri\u00e9taires du compte disent se trouver aux \u00c9tats-Unis mais parlent principalement de pays europ\u00e9ens. Ces informations ont permis \u00e0 Recorded Future d\u2019identifier plus de 200 comptes ayant un comportement similaire, et \u00e0 analyser de plus pr\u00e8s les autres ressemblances et connexions qu\u2019il y avait entre eux.<\/p>\n

Par exemple, les chercheurs ont \u00e9tabli un mod\u00e8le d\u2019activit\u00e9 et se sont rendu compte que beaucoup de ces bots ne sont actifs qu\u2019\u00e0 certaines p\u00e9riodes. Certains de ces comptes ont \u00e9t\u00e9 bannis en mai de cette ann\u00e9e, mais d\u2019autres sont apparus, avec le m\u00eame comportement, et sont encore op\u00e9rationnels.<\/p>\n

Une autre similarit\u00e9 est que tous ces comptes utilisent certains services de r\u00e9duction d\u2019URL pour publier ces informations. Ils se servent de ces services de r\u00e9duction d\u2019URL pour fournir certaines analyses de donn\u00e9es \u00e0 ceux qui se cachent derri\u00e8re les bots\u00a0; par exemple, combien de personnes ont cliqu\u00e9 sur chaque lien. Il ne s\u2019agit pas de services de r\u00e9duction d\u2019URL que n\u2019importe quelle personne pourrait utiliser normalement, comme t.co ou goo.gl\u00a0; ces URL non publiques sont uniquement cr\u00e9\u00e9es pour recueillir des donn\u00e9es. D\u2019ailleurs, tous ces services de r\u00e9duction d\u2019URL ont un design minimaliste orange et blanc \u00e9trangement similaire. L\u2019utilisation de ces services permet aussi de lier les comptes entre eux.<\/p>\n

Les donn\u00e9es WHOIS relatives aux sites Internet de ces services de r\u00e9duction URL montrent que tous sont h\u00e9berg\u00e9s sur la plateforme Cloud Microsoft Azure et enregistr\u00e9s anonymement. Pure co\u00efncidence\u00a0? Nous en doutons. Il y a bien d\u2019autres ressemblances entre ces comptes m\u00eame si les campagnes sont \u00e9videmment diff\u00e9rentes. En g\u00e9n\u00e9ral, vous pouvez d\u00e9tecter des r\u00e9seaux de bots en examinant un compte de bot, en recherchant certaines particularit\u00e9s, et en voyant si d\u2019autres comptes ont les m\u00eames caract\u00e9ristiques. Cette m\u00e9thode est particuli\u00e8rement efficace.<\/p>\n

Caract\u00e9ristiques du bot d\u2019infox<\/h3>\n

Nous avons pr\u00e9par\u00e9 une petite liste des fonctions propres aux bots. Les comptes utilis\u00e9s sur un r\u00e9seau, ou pour une campagne, ont plusieurs caract\u00e9ristiques en commun. Par cons\u00e9quent, les comptes d\u2019un r\u00e9seau social sont probablement des bots s\u2019ils :<\/p>\n

    \n
  • Ont des noms et pseudonymes similaires\u00a0;<\/li>\n
  • Ont \u00e9t\u00e9 cr\u00e9\u00e9s exactement le m\u00eame jour\u00a0;<\/li>\n
  • Publient des liens qui vous dirigent vers les m\u00eames sites\u00a0;<\/li>\n
  • Utilisent les m\u00eames constructions de phrases\u00a0;<\/li>\n
  • Commettent les m\u00eames erreurs de grammaire\u00a0;<\/li>\n
  • Se suivent ou suivent un autre compte similaire\u00a0;<\/li>\n
  • Utilisent les m\u00eames outils, comme les services de r\u00e9duction d\u2019URL\u00a0;<\/li>\n
  • Ne sont actifs en m\u00eame temps qu\u2019\u00e0 certaines p\u00e9riodes\u00a0;<\/li>\n
  • Ont des biographies similaires\u00a0;<\/li>\n
  • Ont des images g\u00e9n\u00e9riques ou le visage d\u2019autres personnes comme photo de profil (facilement trouvables sur Google).<\/li>\n<\/ul>\n

    Bien s\u00fbr, cela ne signifie pas que si plusieurs comptes se ressemblent ce sont des bots. Certainement pas. En revanche, s\u2019il y en a plus d\u2019un, voire plus de quatre ou cinq (vous \u00e9vitez ainsi les faux positifs), alors il est fort probable que vous soyez en train de consulter un r\u00e9seau de bots sur les r\u00e9seaux sociaux.<\/p>\n\n

    Am-stram-bot<\/h3>\n

    L\u2019\u00e9quipe de recherche de Recorded Future montre qu\u2019il est encore possible d\u2019identifier les bots en utilisant une analyse du comportement. Les chercheurs ont trouv\u00e9 plusieurs bots, ont d\u00e9tect\u00e9 quelque chose d\u2019\u00e9trange dans leur comportement, puis ont cherch\u00e9 d\u2019autres comptes qui avaient la m\u00eame attitude. Cela leur permet d\u2019identifier d\u2019autres bots et de d\u00e9tecter d\u2019autres ressemblances qu\u2019ils peuvent ajouter \u00e0 leurs crit\u00e8res de recherche afin de trouver d\u2019autres comptes utilis\u00e9s lors de campagnes annexes.<\/p>\n

    Ce travail est continu et s\u00fbrement interminable puisque de nouveaux bots apparaissent tous les jours et ont leurs propres mod\u00e8les de comportement. Personne ne peut d\u00e9tecter tous les bots avec un seul ensemble de r\u00e8gles de comportement\u00a0; gr\u00e2ce \u00e0 l\u2019analyse du comportement les experts peuvent au moins identifier toutes les parties de certains r\u00e9seaux de bots, aider les r\u00e9seaux sociaux \u00e0 faire fermer ces sites et ainsi cr\u00e9er un lieu d\u2019\u00e9change beaucoup plus agr\u00e9able sur les r\u00e9seaux sociaux.<\/p>\n

    Enfin, toute personne utilisant les r\u00e9seaux sociaux doit savoir que les bots existent, qu\u2019ils sont nombreux, et qu\u2019ils ne sont pas fiables.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Comment d\u00e9tecter les bots d\u2019infox selon leur comportement et ce que nous pouvons en conclure<\/p>\n","protected":false},"author":675,"featured_media":11735,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1148],"tags":[2157,3514,58,602,3438,1038],"class_list":{"0":"post-11734","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-special-projects","8":"tag-bots","9":"tag-infox","10":"tag-reseaux-sociaux","11":"tag-sas","12":"tag-sas-2019","13":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-news-bots\/11734\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-news-bots\/15769\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-news-bots\/13298\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-news-bots\/17678\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-news-bots\/15825\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-news-bots\/14558\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-news-bots\/18440\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-news-bots\/17320\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-news-bots\/5989\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-news-bots\/26943\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-news-bots\/11846\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fake-news-bots\/10741\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-news-bots\/19231\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-news-bots\/23225\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-news-bots\/22606\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-news-bots\/22540\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11734"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11734\/revisions"}],"predecessor-version":[{"id":14820,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11734\/revisions\/14820"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11735"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}