Sécurité à la Facebook

La protection interne du réseau Facebook et de ses utilisateurs est une tâche qui est peu enviable. Les membres de ce réseau social sont menacés en permanence par des attaques de phishing, des programmes malveillants et autres inconvénients. Quant au réseau de la société elle-même, il représente une cible de choix pour les individus malintentionnés. Afin de renforcer la protection, le service de sécurité de Facebook a créé une plateforme baptisée ThreatData qui absorbe et traite un volume considérable de données sur les menaces en ligne et qui aide la société à réagir plus vite face aux nouveaux incidents.

Bon nombre de grandes entreprises créent leurs propres systèmes de protection et d’analyse et en général, les détails de ces solutions sont couverts par le plus grand secret. La majorité des sociétés préfèrent garder le silence sur leurs réalisations en matière de sécurité car comme le dit l’adage : le trop est l’ennemi du bien. Toutefois, Facebook a quelques fois levé le rideau sur les méthodes adoptées pour garantir la sécurité du réseau interne et celle des utilisateurs du réseau social. Ainsi, lors de la conférence CanSec West de l’année dernière, deux experts en sécurité des informations de la société ont présenté les leçons tirées d’un exercice mené contre un opposant imaginaire dans le but de vérifier l’état de préparation du personnel de Facebook face à des attaques de pirates réelles.

Cette fois-ci, la société nous invite dans les coulisses de ThreatData, le système mis en place par ses experts afin de résister aux nouvelles attaques de phishing ou de programmes malveillants qui apparaissent chaque jour. Le système vise principalement à importer des flux de données (URL suspectes, caches de programmes malveillants et autres informations), à les enregistrer dans une base dotée d’une fonction de recherche et de les traiter à l’aide d’une conversion dans un format unique sophistiqué, pratique pour la protection des systèmes en temps réel et pour l’analyse ultérieure.

Comme l’explique Mark Hammel, expert chez Facebook : « ThreatData contient trois parties principales : les mécanismes d’alimentation automatique en données, l’enregistrement et la réaction en temps réel. La collecte de données s’opère depuis des sources définies. Ces flux arrivent via une interface simplifiée. Nous sommes capable de transformer presque n’importe quel format de ces données en un schéma simple que nous avons baptisé ThreatDatum. Il permet de conserver non seulement les informations de base relatives à la menace (par exemple, le domaine malveillant .biz), mais également le contexte de son apparition. Les informations relatives au contexte sont utilisées dans d’autres composants de la plateforme en tant que fondation pour les solutions de traitement automatiques ».

ThreatData importe des données depuis VirusTotal, depuis des référentiels d’URL malveillantes et utilise les abonnements payants d’éditeurs et d’autres sources. Les données récoltées sont envoyées aux bases Hive et Scuba de la société. Les chercheurs utilisent Hive pour répondre aux requêtes rétrospectives, par exemple, pour savoir si ce module avait été remarqué antérieurement dans un programme malveillant. Scuba intervient dans des tâches plus urgentes comme l’identification de nouveaux groupes de sites de phishing. Après ce traitement, l’équipe Facebook est en mesure d’appliquer n’importe quelle solution, par exemple, ajouter les nouvelles URL malveillantes à la liste noire utilisée par le réseau social.

Ce système de centralisation des informations relatives aux menaces sous un même toit a déjà justifié son existence : le service de sécurité de Facebook a réussi à identifier quelques cyberattaques en cours qui touchaient non seulement les utilisateurs du réseau social, mais également d’autres utilisateurs. Ainsi, l’été dernier, le service a détecté une campagne de diffusion de messages non sollicités dans le cadre de laquelle des liens vers un programme malveillant développé pour un smartphone particulier étaient diffusés depuis de faux comptes Facebook. Ce programme malveillant était capable de voler les données du carnet d’adresses et d’envoyer des SMS vers un numéro surtaxé. Mark Hammel explique : « Suite à cette découverte, nous avons pu analyser le code malveillant, interrompre la diffusion des messages non sollicités et travailler avec nos partenaire pour démanteler l’infrastructure du réseau de zombies.

Nous sommes conscients que bon nombre d’aspects de cette démarche n’ont rien d’innovants, mais ils donnent des résultats et nous l’évoquons dans l’espoir de donner naissance à de nouvelles idées. Nous avons découvert que cette plateforme permet d’accepter facilement les nouveaux types de données et de se connecter rapidement aux systèmes internes, neufs ou déjà en place, quel que soit la technologie appliquée ou le mode de présentation de la menace »

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *