Guide de protection des applications mobiles contre les bots et la fraude en ligne

Les bots malveillants ne se limitent pas aux sites web. Ils se rendent là où les attaquants les envoient, c’est-à-dire aux points d’extrémité les plus populaires de votre application mobile, de votre site web et de vos API. Dans un monde où plus de 50 % du trafic en ligne mondial provient des appareils mobiles, il n’est pas surprenant qu’au moins 40 % du trafic des bots frappe les applications mobiles.

En tant que partie intégrante de votre écosystème en ligne, votre application mobile et vos API doivent être protégées aussi efficacement que votre site web. Malheureusement, tous les fournisseurs de protection contre les bots n’ont pas donné la priorité à la protection des applications mobiles, ce qui peut s’avérer être une erreur extrêmement coûteuse lorsqu’une violation de données se produit. Par conséquent, il est important d’ajouter la détection de bots aux applications mobiles et aux API.

Nous voulons nous assurer que vous savez ce qu’il faut rechercher dans une protection contre les bots et la fraude en ligne, qui protégera votre application mobile et vos API aussi bien que votre site web et vos applications web.

L’essor des attaques de bots sur les applications mobiles

Les attaquants envoient de plus en plus leurs bots vers les applications mobiles pour plusieurs raisons. Premièrement, parce que la plupart des smartphones dans le monde fonctionnent sous Android, considéré comme un système d’exploitation plus vulnérable que iOS. Tout le monde ne met pas à jour son smartphone dès qu’une nouvelle version d’Android est disponible, ce qui donne aux attaquants la possibilité d’exploiter les vulnérabilités de millions d’appareils.

Deuxièmement, parce que les applications mobiles utilisent souvent des API faiblement protégés pour extraire des informations précieuses et souvent sensibles de leurs bases de données internes. Dans son rapport sur la sécurité et la gestion des API, Gartner prévoyait que les API deviendraient le vecteur d’attaque le plus fréquent d’ici 2023. Il peut en résulter des violations de données, des vols de données et toutes sortes de fraudes.

De telles attaques sont possibles car les attaquants ont accès à des bots de plus en plus sophistiqués qui sont bon marché, faciles à configurer et à entretenir. Vous n’avez plus besoin d’être un génie de la programmation pour envoyer une nuée de bots vers une application mobile ou une API. Des connaissances de base d’un langage de script facile à apprendre suffisent.

Comprendre les bots : leur fonctionnement et leur impact sur les applications mobiles

La manière dont un bot attaque une application mobile ou une API dépend de ce pour quoi il est programmé. Certains bots scrapent continuellement tout le contenu disponible de votre application. D’autres bots tentent de submerger votre application ou même des smartphones entiers avec des attaques DDoS. Certains bots tentent de s’introduire dans les comptes utilisateurs ou de voler des informations sensibles de vos bases de données internes via votre API. Le fait est que les bots peuvent fonctionner de différentes manières en fonction de leurs objectifs.

Voici comment de telles attaques peuvent impacter votre application mobile :

• Expérience utilisateur : les bots détériorent considérablement l’expérience utilisateur. Un trafic de bots élevé entraîne des temps de réponse lents ou même des arrêts. Cela frustrera les utilisateurs légitimes et les éloignera de votre application.
• Violations de données : les bots peuvent exploiter les vulnérabilités de votre application ou de ses API pour accéder sans autorisation à des données sensibles. Cela peut entraîner de graves violations de données, avec des conséquences allant de la perte de confiance des utilisateurs à des amendes réglementaires.
• Transactions frauduleuses : les bots peuvent réaliser des transactions frauduleuses, telles que des achats avec des détails de carte de crédit volés. Cela peut entraîner des rétrofacturations, nuire à votre réputation et entraîner une perte de revenus.
• Scraping de contenus : les bots peuvent scraper du contenu précieux de votre application, comme des détails de produits ou du contenu généré par les utilisateurs. Ce contenu scrapé peut ensuite être utilisé par des concurrents ou des acteurs malveillants pour nuire à votre entreprise.
• Coûts d’infrastructure accrus : un trafic élevé de bots entraîne une augmentation de la charge des serveurs et de l’utilisation de la bande passante. Cela se traduit par une augmentation des coûts d’infrastructure, car vous devrez peut-être augmenter vos ressources pour gérer le trafic supplémentaire.

Applications mobiles vs. sites web : en quoi la protection des applications mobiles diffère-t-elle de celle des sites web ?

Protéger une application mobile contre les bots malveillants est très différent de la protection d’un site web car les entrées et les déclencheurs sont différents. Un algorithme doit être spécialement conçu pour collecter et analyser plusieurs capteurs et événements sur une variété d’appareils mobiles afin de reconnaître efficacement les intrus.

Puisque la plupart des applications mobiles utilisent des API pour interagir avec des services et des informations de back-end, les API doivent également être protégés. Malheureusement, les hackers, les voleurs de contenu et autres opérateurs de bots malveillants adorent les API et leur accès facile à des informations stables et structurées. C’est probablement pourquoi ⅔ des leaders du commerce en ligne ont déclaré que la protection des applications mobiles et des API était une priorité clé pour 2022.

Selon nos données clients, 70% du trafic sur les API mobiles les plus ciblés est généré par des bots !

Mais les outils de protection des API sont limités et rarement assez sophistiqués pour les menaces avancées. Par exemple, les pare-feu d’applications web (WAF) et les passerelles API sont impuissants à protéger les API mobiles contre les bots qui utilisent les bonnes clés API, l’authentification et les protocoles.

Vulnérabilités courantes que les bots exploitent dans les applications mobiles

Les cybercriminels disposent de multiples moyens d’exploiter et d’attaquer les API des applications mobiles avec leurs bots de fraude mobile, notamment :

• le reverse-engineering de l’API ;
• l’utilisation de l’application avec un émulateur ;
• l’utilisation de logiciels d’automatisation et d’une ferme mobile.

Le reverse-engineering de l’API, la méthode la plus évidente, est simple. En installant un proxy entre l’application mobile et l’API, les cybercriminels enregistrent quels points de terminaison l’application appelle pour récupérer du contenu, se connecter et effectuer d’autres actions. Ils automatisent ensuite ces mêmes actions à l’aide de bots.

Faire fonctionner l’application mobile avec un émulateur duplique à la fois le matériel et le logiciel d’un vrai appareil afin d’imiter parfaitement le comportement de l’appareil original. Certaines actions de l’application réelle peuvent alors être automatisées pour, par exemple, extraire des données ou tenter une attaque de credential stuffing.

L’utilisation de logiciels d’automatisation sur une ferme de vrais appareils mobiles comprend l’installation de votre application sur des appareils qui peuvent cliquer, défiler, copier, etc., semblable à des bots exécutant des scripts sur des pages web.

Comment mettre en place une protection des applications mobiles contre les bots : Guide étape par étape

• Détection côté serveur et côté client
• SDK ultra-légers pour une intégration rapide et facile
• Surveillance vigilante et support réactif

La plupart des solutions de protection contre les bots se concentrent principalement sur le web ; les applications mobiles ne sont pas vraiment une priorité. DataDome a coché toutes les cases.

–Bala Reddy, VP de l’ingénierie chez Poq

Pour détecter les trois types d’accès non autorisés à l’API (appel API sans application, vraies applications sur des émulateurs Android/iOS, et applications automatisées sur de vrais appareils), une solution doit s’appuyer sur une combinaison d’intégrations côté serveur et côté client.

1. Détection côté serveur

Un module côté serveur est installé sur l’API pour collecter les informations HTTP et appliquer les décisions de blocage prises par la solution.

La solution DataDome est compatible avec la grande majorité des architectures et propose un choix de 15 modules, de Apache et Node.js à Java et F5 iRules. Vous en saurez plus sur la protection contre les bots F5 iRules dans notre article de blog dédié.

2. Détection côté client

Un module côté client collecte les propriétés des appareils et les données comportementales lorsque les utilisateurs interagissent avec l’application. Il affiche également un CAPTCHA aux visiteurs dont l’appel API a été bloqué par le module côté serveur.

Le module côté client de DataDome s’intègre de manière transparente directement dans votre application mobile via des SDK Android, iOS et React Native extrêmement légers (moins de 100 kB), qui peuvent être intégrés à votre application mobile en quelques secondes.

3. SDK ultra-légers

Les SDK de DataDome ont été testés avec tous les frameworks standards et versions mobiles. Par conception, nos SDK prennent en charge toutes les bibliothèques réseau tierces, telles qu’Alamofire ou Moya.

L’intégration est sans code et il n’y a pas de couplage de code. (Mais si, pour une raison quelconque, vous préférez une intégration manuelle, cela reste possible également.) Sur Android, nous fournissons une dépendance Gradle pour intégrer notre SDK. Sur iOS, une dépendance CocoaPods injectera le SDK DataDome dans l’application. Pour React Native, utilisez le gestionnaire de paquets npm.

Lorsque nous avons évalué le SDK de DataDome, nous avons été époustouflés. Il ne fait que quelques kB et ne provoque aucun problème de latence. Vous ne savez même pas qu’il est là. C’est un système magnifique et élégant.

–Mike Anderson, CTO chez Tap Global

La mise en œuvre obfusquée garantit que le reverse-engineering du code DataDome et la compréhension du fonctionnement de la protection sont suffisamment difficiles pour les hackers pour que leur effort n’en vaille pas la peine.

4. Surveillance vigilante et support réactif

Un autre aspect à considérer lors du choix d’une protection contre les bots pour votre application mobile est la supervision des menaces, le support et la réactivité de la solution. Les attaquants opèrent 24h/24 et 7j/7, et bien que l’apprentissage automatique (ML) soit un excellent outil pour aider à automatiser et à échelonner la protection, des personnes réelles doivent rechercher les menaces, analyser les rapports et mettre à jour fréquemment les modèles de ML pour rester vigilants.

Elles doivent également être prêtes à répondre à vos questions. Par exemple, bien que DataDome offre des notifications de menaces en temps réel et des rapports par email quotidiens aux clients, nous savons que certaines questions nécessitent une réponse humaine. Notre équipe d’assistance est disponible 24h/24 et 7j/7 pour aider les clients à tirer le meilleur parti de notre solution.

Nous avons comparé différents fournisseurs (entreprises et PME), et DataDome est arrivé en tête en raison de la fonctionnalité, de l’efficacité, de l’assistance et du prix… DataDome était le plus efficace pour protéger notre site et offrait la plus grande personnalisation et la meilleure qualité d’assistance. Leur équipe est incroyable et toujours prête à aider.

–Avis G2, Henry S, CTO

Agir contre les bots avec DataDome

Ce ne sont pas seulement vos sites web qui sont menacés par les attaques de bots ; vos applications mobiles et vos API le sont probablement encore plus, car de nombreuses solutions de sécurité les oublient.

DataDome, non.

Notre solution de protection contre les bots protège vos applications mobiles et vos API tout autant que vos sites web. DataDome fournit à ses utilisateurs des SDK Android, iOS et React Native extrêmement légers. Vous n’avez rien à changer à l’architecture existante de votre application pour intégrer DataDome et offrir à vos utilisateurs une application bien plus sécurisée. Si vous êtes curieux d’en savoir plus, réservez une démo du produit dès aujourd’hui.

FAQ

Comment protéger mon application mobile contre les bots ?

Protégez votre application mobile contre les bots et les cyberattaques en mettant en place un logiciel de gestion des bots puissant qui fonctionne sur tous les points de terminaison et protège votre site web, vos applications mobiles et vos API. Recherchez des solutions avec détection à la fois côté client et côté serveur, des SDK ultra-légers pour préserver les performances, une surveillance vigilante et une assistance 24/7.

Qu’est-ce que la protection anti-bot ?

La protection anti-bot inclut tout logiciel ou outil destiné à détecter et à empêcher les bots d’effectuer des actions malveillantes sur internet en les stoppant dès la première requête. Dans le passé, les principaux outils étaient les pare-feux d’applications web, la limitation de débit, et même les CAPTCHA. Aujourd’hui, la protection contre les bots la plus efficace est un logiciel hautement spécialisé capable de détecter les bots sophistiqués d’aujourd’hui et de suivre l’évolution des bots.