Comprendre les bots, les botnets et les trolls

Par Donara Barojan, associée de recherche en criminalistique numérique à DFRLab . Billet invité originellement publié en Anglais sur le Digital Forensic Research Lab (DFRLab) du Conseil de l'Atlantique et republié sur IJNet avec autorisation. Il vous est présenté dans le cadre d’un partenariat éditorial entre IJNet et Méta-Media. © [2018] Tous droits réservés.

Au cours des deux dernières années, des mots tels que «bots», «botnets» et «trolls» sont entrés dans les discussions courantes sur les réseaux sociaux et leur impact sur les démocraties. Cependant, les comptes malveillants des médias sociaux ont souvent été mal étiquetés, faisant dérailler les discussions à leur sujet de substance à définition.

Cet article présente certaines des définitions et méthodologies de travail utilisées par DFRLab pour identifier, exposer et expliquer la désinformation en ligne.

Qu’est-ce qu’un bot

Un bot est un compte automatisé de réseau social géré par un algorithme plutôt que par une personne réelle. En d'autres termes, un bot est conçu pour créer des messages sans intervention humaine. Le DFRLab (Digital Forensic Research Lab) a précédemment fourni  12 indicateurs permettant d'identifier un bot . Les trois indicateurs clés du bot sont l'anonymat, les niveaux d'activité élevés et l'amplification d'utilisateurs, de sujets ou de hashtags particuliers.

Si un compte écrit des messages individuels et qu'il commente, répond ou engage de quelque manière que ce soit les messages d'autres utilisateurs, le compte ne peut pas être classé comme étant un bot.

Les robots se trouvent principalement sur Twitter et d'autres réseaux sociaux qui permettent aux utilisateurs de créer plusieurs comptes

Existe-t-il un moyen de savoir si un compte n'est * pas * un bot?

Le moyen le plus simple pour vérifier si un compte n'est pas un bot est de consulter les tweets qu'il a écrits. Un moyen simple consiste à utiliser une fonction de recherche simple dans la barre de recherche de Twitter.

Si les tweets renvoyés par la recherche sont authentiques (c'est-à-dire qu'ils n'ont pas été copiés par un autre utilisateur), il est hautement improbable que le compte en question soit un bot.

Quelle est la différence entre un troll et un bot ?

Un troll est une personne qui initie intentionnellement un conflit en ligne ou qui offense d’autres utilisateurs pour distraire et semer les divisions en publiant des articles incendiaires ou hors sujet dans une communauté en ligne ou un réseau social. Leur but est de provoquer les autres dans une réponse émotionnelle et de faire dérailler les discussions.

Un troll est différent d'un bot car il est un véritable utilisateur, alors que les bots sont automatisés. Les deux types de comptes s’excluent mutuellement.

L’activité du « trolling » ne se limite toutefois pas seulement aux trolls. DFRLab a observé que les trolls utilisaient des robots pour amplifier certains de leurs messages. Par exemple, en août 2017, les comptes des trolls amplifiés par des robots ciblaient le DFRLab après un article sur les manifestations de Charlottesville. À cet égard, les bots peuvent et ont été utilisés à des fins de « trolling ».

Troll et Bot : les deux types de comptes s’excluent mutuellement.

Qu'est-ce qu'un botnet?

Un botnet est un réseau de comptes bots gérés par le même individu ou le même groupe. Ceux qui gèrent des botnets, qui nécessitent une intervention humaine initiale avant leur déploiement, sont appelés des "éleveurs" ou des "bergers" de bots. Les bots fonctionnent dans des réseaux car ils sont conçus pour créer un engagement dans les réseaux sociaux qui fait en sorte que le sujet sur lequel le réseau de bot est déployé apparaît plus fortement engagé par de «vrais» utilisateurs qu'il ne l'est réellement. Sur les plateformes de médias sociaux, l'engagement engendre plus d'engagement, un botnet réussi place donc le sujet sur lequel il est déployé devant davantage d'utilisateurs réels.

Que font les botnets?

Le but d'un botnet est de faire en sorte qu'un hashtag, un utilisateur ou un mot clé paraisse plus utilisé (positivement ou négativement) ou plus populaire qu'il ne l'est réellement. Les bots ciblent les algorithmes de médias sociaux pour influencer la section des tendances, ce qui exposerait les utilisateurs peu méfiants à des conversations amplifiées par les bots.

Les botnets ciblent rarement les utilisateurs humains et lorsqu'ils le font, ils les spamment ou les harcèlent généralement, et ne tentent pas activement de changer leurs opinions ou leurs opinions politiques.

Comment reconnaître un botnet ?

À la lumière de la purge de bot et de la méthodologie de détection améliorée de Twitter, les éleveurs de botnet sont devenus plus prudents, rendant les bots individuels plus difficiles à repérer. Une alternative à l'identification de bot individuel consiste à analyser les schémas de grands botnets pour confirmer que ses comptes individuels sont des bots.

DFRLab a identifié six indicateurs qui pourraient aider à identifier un botnet. Si vous rencontrez un réseau de comptes que vous soupçonnez de faire partie d'un botnet, faites attention aux points suivants.

Lors de l'analyse de botnets, il est important de se rappeler qu'aucun indicateur n'est suffisant pour conclure que des comptes suspects font partie d'un botnet. Ces déclarations doivent être appuyées par au moins trois indicateurs de botnet.

1. Modèles de discours

Les robots gérés par un algorithme sont programmés pour utiliser le même schéma de parole. Si vous rencontrez plusieurs comptes utilisant exactement le même schéma de parole, par exemple en tweetant des articles de presse utilisant le titre du texte du tweet, il est probable que ces comptes soient gérés par le même algorithme.

Avant les élections en Malaisie, DFRLab a découvert 22 000 bots, qui utilisaient tous le même schéma de parole. Chaque bot a utilisé deux hashtags destinés à la coalition d'opposition et marqué entre 13 et 16 utilisateurs réels pour les encourager à participer à la conversation.

Raw data of the tweets posted by bot accounts ahead of the elections in Malaysia (Source: Sysomos)

2. Postes identiques

Parce que la plupart des bots sont des programmes informatiques très simples, ils sont incapables de produire un contenu authentique. En conséquence, la plupart des bots tweetent des messages identiques.

L'analyse par DFRLab d'une campagne Twitter demandant l'annulation d'un concours de dessins animés islamophobes aux Pays-Bas a révélé des dizaines de comptes affichant des tweets identiques. Bien que les comptes individuels soient trop nouveaux pour avoir des indicateurs de bots clairs, leur comportement de groupe les a révélés comme faisant probablement partie du même botnet.

via GIPHY

3. Les pseudos

Une autre façon d'identifier les grands botnets consiste à examiner les modèles de traitement des comptes suspects. Les créateurs de bots utilisent souvent le même motif de traitement pour nommer leurs bots. Par exemple, en janvier 2018, DFRLab a rencontré un botnet probable, dans lequel chaque bot avait un numéro à huit chiffres à la fin de son pseudonyme.

(Source: Twitter / @jreichelt / Archived link)

Une autre astuce concerne les pseudos alphanumériques systématiques. Les bots d'un botnet découverts par DFRLab avant les élections en Malaisie utilisaient tous des poignées alphanumériques à 15 symboles.

4. Date et heure de création

Les bots qui appartiennent au même botnet ont tendance à partager une date de création similaire. Si vous rencontrez des dizaines de comptes créés le même jour ou au cours de la même semaine, cela signifie que ces comptes peuvent faire partie du même botnet.

Raw data showing the date of creation of Twitter accounts that amplified PRI party’s candidates in the state of Puebla (Source: Sysomos)

5. Activité Twitter identique

Si plusieurs comptes effectuent exactement la même tâche ou s’engagent de la même manière sur Twitter, ils font probablement partie du même botnet. 

Par exemple, le botnet qui ciblait le DFRLab en août 2017 avait suivi de près trois comptes qui n’étaient apparemment pas liés – le porte-parole de l’OTAN Oana Lungescu, le présumé bot-herder (@belyjchelovek), et un compte avec un chat comme photo de profil. 

Botnet targeting the DFRLab followed the same accounts (Source: Twitter)

Une telle activité unique, consistant par exemple à suivre les mêmes utilisateurs indépendants dans un ordre similaire, ne peut pas être une simple coïncidence si elle est effectuée par un certain nombre de comptes non connectés et constitue donc un indicateur puissant de botnets.

6. Lieu

Un dernier indicateur, particulièrement répandu parmi les botnets politiques, est un lieu partagé par de nombreux comptes suspects. Les "bergers" politiques ont tendance à utiliser le lieu où se présente le candidat ou le parti qu'ils promeuvent pour tenter de dégager une tendance de contenu dans cette circonscription particulière.

Par exemple, avant les élections au Mexique, un botnet faisant la promotion de deux candidats du parti PRI dans l'État de Puebla utilisait Puebla comme lieu d'implantation. Cela a probablement été fait pour que les vrais utilisateurs de Twitter de Puebla voient les tweets et les messages amplifiés par les bots.

Raw data showing the location of Twitter bots that amplified PRI party’s candidates in the state of Puebla (Source: Sysomos)

Est-ce que tous les bots sont des bots politiques ?

Non, la majorité des bots sont des comptes de bots commerciaux, ce qui signifie qu'ils sont gérés par des groupes et des individus qui amplifient le contenu qu'ils sont payés pour promouvoir. Des bots commerciaux peuvent être embauchés pour promouvoir du contenu politique.

Les bots politiques, en revanche, sont créés dans le seul but d’amplifier le contenu politique d’un parti, d’un candidat, d’un groupe d’intérêts ou d’un point de vue particulier. DFRLab a découvert  plusieurs botnets politiques faisant la promotion des candidats du parti PRI  dans l'État de Puebla avant les élections mexicaines.

Est-ce que tous les bots Russes sont affiliés à l’Etat Russe

Non, de nombreux botnets dotés de pseudos ou de noms d'utilisateur à consonance russe / cyrillique sont gérés par des Russes à l'esprit d'entreprise qui cherchent à gagner leur vie en ligne. De nombreuses entreprises et particuliers vendent ouvertement des abonnés Twitter, Facebook et YouTube, ainsi que des liens, des retweets et des actions sur l’internet russe. Bien que leurs services soient très bon marché ( 3 USD pour 1 000 abonnés ), un bot berger avec 1 000 bots pourrait gagner plus de 33 USD par jour en suivant quotidiennement 10 utilisateurs. Cela signifie qu'ils pourraient gagner 900 dollars par mois, soit deux fois le salaire moyen en Russie.

Par exemple, DFRLab a observé des botnets russes commerciaux amplifiant le contenu politique dans le monde entier. En prévision des élections au Mexique, par exemple, nous avons  trouvé un botnet amplifiant le Partido Verde au Mexique. Ces bots, cependant, n'étaient pas politiques et ont amplifié une variété de comptes allant de la mascotte du tourisme japonais au PDG d'une agence d'assurance.

Conclusion

Les bots, les botnets et les trolls sont faciles à distinguer et à identifier avec la méthodologie et les outils appropriés. La seule chose importante à retenir, cependant, est que le compte ne peut être considéré comme un bot ou un troll, jusqu'à la méticuleuse preuve du contraire.