Quand Facebook laisse des douzaines de groupes de cybercriminalité fonctionner sur son réseau au grand jour

ATLANTICO : D'après plusieurs chercheurs, il y aurait un grand nombre de groupes criminels présents sur Facebook lesquels utiliseraient le réseau social pour vendre des cartes de crédit volées, des informations personnelles... Sait-on qui sont ces groupes, et comment ils opèrent sur Facebook ? 

Franck DeCloquement : On le constate toujours et encore, Facebook se régulièrement au cœur de polémiques liées à la sécurité de sa plateforme. On apprenait il y a quelques jours à peine que 150 Go de données - impliquant potentiellement les identifiants, mots de passe et autres informations privées de 540 millions d’utilisateurs - avaient fuité à l’extérieur… C’est à un nouveau scandale de taille auquel Facebook est aujourd’hui confronté à travers cette nouvelle affaire, au moment la multinationale met tout en œuvre pour se racheter une image respectable… À quoi avons-nous affaire cette fois ? Les chercheurs de « Talos » (la division cybersécurité du groupe Cisco), ont révélé dans une récente étude que la plateforme échouait visiblement à endiguer un problème pourtant bien connu des habitués d’Internet. Un problème en réalité vieux d’une décennie : soit la gestion de la cybercriminalité agissant « à l’ancienne » si l’on peut dire... 
Ceux-ci ont en effet indiqué vendredi dernier avoir découvert au moins 74 groupes criminels, agissant en toute quiétude sur Facebook. Certains d’entre eux existeraient sur le réseau social depuis 8 ans au moins. Leurs activités illicites consistent en réalité en la revente de données de cartes de crédit volées pour 5 dollars l’unité, d'informations d'identités subtilisées à leurs propriétaires légitimes, de listes de spam « prêt à l’emploi » pour être diffusés dans le cadre de campagne de spam ou de phishing sur internet. Ou encore, d'outils de piratage informatique faciles à mettre en œuvre par le tout-venant, n’ayant pas de connaissances informatiques spécifiques. Le tout, vendus le plus simplement du monde « en ligne », par une cybercriminalité « vieille école », agissant cette fois-ci très « classiquement » et à ciel ouvert ! Des données sensibles traditionnellement revendues sur le Dark Web, ou sur des forums dédiés au piratage, par le truchement de comptes protégés et dument verrouillés par mot de passe.
Les chercheurs de Talos ont déclaré à ce titre que ces groupes étaient parfaitement visibles en ligne sous les patronymes « Spam Professional » et « Spammer and Hacker Professional ». Tout le monde peut aisément les trouver sur Facebook grâce à une simple recherche sur le site, sous les vocables de base tels que « carding », « spam » ou « CVV ». Une nomenclature sémantique bien connue des spécialistes, faisant en réalité directement référence - par exemple - aux codes de sécurité communément inscrit au verso de nos cartes de crédit. 
« Nous avons découvert un nombre considérable de groupes agissant sur Facebook qui négocient ouvertement ces contenus illicites en lien avec la criminalité en ligne », a dernièrement mentionné Wired. Rapportant en cela les propos de Craig Williams, le directeur des relations extérieures de Talos chez Cisco. La base d'utilisateurs dans ces groupes correspondrait globalement à la taille d’une ville comme celle de Tampa en Floride indique le chercheur. Soit un total d’environ 385 000 membres à ce jour. D’ailleurs, les captures écrans explicites diffusées par cette division de Cisco sont à ce titre très parlantes, et résument parfaitement la teneur des propos tenus par les spécialistes de Talos. Craig Williams rapporte d’ailleurs que bon nombre des utilisateurs qu'il a vus agir dans ces groupes, semblaient même faire leurs affaires « à ciel ouvert », via le simple truchement de leur compte utilisateur réel...

Facebook, combattre la présence de ces groupes criminels est d'autant plus difficile, que lorsque l'un d'entre eux est supprimé, des dizaines d'autres apparaissent pour prendre le relai. Serait-ce due en partie à une négligence du réseau social en matière de protection ? Que fait-il au juste concrètement pour combattre ce fléau ?

Pour se défendre et clore rapidement la polémique naissante, le réseau social a tôt fait de communiquer sur la célérité de ses actions de remédiation, et de contre-mesures numériques pour endiguer le problème. Précisant sans ambages qu’il avait révoqué les droits utilisateurs des personnes indélicates qui géraient ces groupes criminels, pour qu’elles ne puissent plus agir à leur guise et en créer d’autres dans la foulée. 
Facebook a de plus supprimé certains comptes et pages qui avaient des liens directs avec ces groupes. Talos, l’entité à l’origine du rapport d’activité ayant mis à jour ces actions illicites, a depuis précisé de son côté que même si Facebook avait promptement et dument réagi face à cette affaire, d’autres groupes criminels continueraient d’apparaître, et que certains pointés du doigt dans la liste des 74 groupes étaient toujours actifs. Reste qu’une fois qu’un utilisateur Facebook est accepté dans l’un de ces groupes, les algorithmes de la plateforme elle-même vont automatiquement lui suggérer d’autres groupes « d’amis » similaires. Allant même jusqu’à possiblement lui faciliter sa recherche de lieux de rencontre entre cybercriminels… 
L’affaire est sérieuse et pose naturellement la question de la validité de la politique globale de sécurité adopté par la plateforme. Mais aussi celle de sa responsabilité pénale quand les failles de son système sont utilisées et mises à profit de la sorte par des groupes criminels. Ce marché de la cybercriminalité organisée infestant les méandres du site n’est en somme que le dernier avatar en date. Faisant indubitablement ressortir la négligence dont l'entreprise fait régulièrement  preuve en ce qui concerne la modération et la surveillance globale de ses milliards d'utilisateurs à travers le monde. Et certains aux Etats-Unis, à l’image de son ancien collaborateur Dipayan Ghosh, considèrent aujourd’hui que Facebook ne peut plus être laissé à sa propre réglementation qui ne sert en définitive que ses propres intérêts commerciaux. Ghosh estime qu'il est temps de modifier l'article 230 du « Communications Decency Act », qui protège les sites et médias sociaux tels que Facebook de toute responsabilité sur les contenus partagés par leurs utilisateurs. « Je pense que le temps est venu de repenser l’article 230, d'y apporter des modifications substantielles qui nous protègent mieux en ce qui concerne notre sécurité, y compris la protection de nos identités », a-t-il récemment indiqué dans les colonnes de Wired. 

Pour beaucoup, cela montre que Facebook est dépassé par son succès et semble incapable de s'autogérer. Quelles mesures pourraient-être prises en conséquence pour s'assurer que le réseau social contrôle davantage les activités criminelles se déroulant sur sa plateforme ?

Alors que nous apprenions il y a quelques semaines à peine, que des cybercriminels se servaient des plateformes d’Airbnb et d’Uber pour blanchir de l’argent sale gagné à travers leurs forfaits illicites, cette équipe de chercheurs de chez Cisco-Talos - spécialisée dans la sécurité - met aujourd’hui en évidence cette nouvelle action malfaisante. Suite à la publication de leur rapport d’enquête, Facebook a souhaité répondre et préciser : « il s’avère que ces groupes ont violé nos politiques en place contre le spam et la fraude financière, nous les avons donc supprimé pour éviter qu’ils ne puissent continuer d’agir illégalement sur notre plateforme. Nous savons qu’à l’avenir, nous devrons être plus vigilants. D’ailleurs, nous avons pris la décision d’investir davantage dans la lutte contre ce genre d’activité illicite. »
Les algorithmes ne font pas tout. Une fois de plus, cela soulève naturellement la question des investissements dans la sécurité de son dispositif que doit opérer un tel mastodonte. Mais aussi, celui des recrutements corrélatifs d’équipes dédiées, afin de contrôler ses dédales numériques. Ce qui pose évidemment le problème du délai pour agir, et celui de la formation expresse des équipes engagées pour intervenir et colmater les brèches. Ce qui obligera aussi Facebook à recruter un nombre grandissant de jeunes spécialistes pour remédier à ce type de commerce criminel, ou moment même où ces profils se font rares et chers. Pas sûr qu’une main-d’œuvre étrangère en la circonstance, agissant sur des plateformes délocalisées low-cost soit également une bonne option. Là aussi se nichent subrepticement d’autres problèmes de sécurité et d’ingérences criminelles, aujourd’hui encore latents… « L’avenir dure longtemps » et nous réserve d’ores et déjà de nombreuses surprises.