Les 5 menaces de robots malveillants les plus graves pour l’e-commerce
Environ 30 % du trafic web global est constitué de robots malveillants. Les entreprises d’e-commerce sont les cibles constantes d’attaques de logiciels malveillants de type denial of inventory, scalping, scraping, credential stuffing et attaques DDoS de la couche 7. Ces logiciels malveillants gagnant en complexité et en sophistication, leur détection et leur blocage sont de plus en plus compliqués.
Leurs attaques diminuent les performances des sites web, interrompent les activités des sites, exposent les données sensibles des clients et font chuter les revenus. Pour les commerçants en ligne, il est donc impératif de mettre en œuvre et d’appliquer des mesures de sécurité robustes contre ces logiciels malveillants.
Dans cet article, nous vous présentons les 5 menaces de logiciels malveillants les plus graves pour les commerçants en ligne et nous vous expliquons comment les arrêter.
1. Attaque de type « Denial of inventory »
Dans ce type d’attaque, le robot sélectionne des articles dans la boutique en ligne et les ajoute au panier, sans jamais terminer l’achat. Ainsi, les stocks sont bloqués et le message « article épuisé » s’affiche lorsque des acheteurs légitimes tentent d’acheter le produit.
Un robot malveillant de ce type ajoutera régulièrement les mêmes articles au panier pour que ce dernier soit tout le temps rempli, même après avoir été vidé automatiquement. Des concurrents peu scrupuleux ont parfois recours à ce type d’activité abusive pour tenter de gagner un avantage concurrentiel.
Pour se protéger, les commerçants en ligne peuvent limiter la durée de conservation des articles dans le panier et la quantité d’articles identiques pouvant être ajoutés au panier. Cependant, ces mesures sont inutiles face aux nouvelles attaques qui utilisent de très nombreuses adresses IP pour se faire passer pour différents acheteurs individuels.
Pour lutter efficacement contre ces attaques, il est plus judicieux d’utiliser une solution spécialisée qui les identifie et les bloque avant même qu’ils accèdent à la boutique.
2. Attaque de type « scalping »
Comme les trafiquants de billets de spectacles, les robots de scalping achètent des articles en édition limitée pour les revendre à un prix plus élevé.
Il peut s’agir par exemple d’une console de jeux vidéo dont la sortie est très attendue. Le jour de la sortie, les robots s’appuient sur la puissance du calcul informatique pour acheter très rapidement autant de stock que possible. Lorsque des clients tentent d’acheter l’article, le message «stock épuisé» s’affiche, parfois quelques secondes seulement après la sortie du produit. Ils n’ont alors pas d’autre choix que de payer le prix fort proposé par l’opérateur du logiciel malveillant.
Par exemple, le jour de son lancement, la console Super Nintendo Entertainment System Classic Edition à 80 $ a été vendue en moyenne 165 $ sur eBay – soit plus du double du prix d’origine.
Lutter contre les robots de scalping est très difficile. Seule une solution de protection spécialisée est capable de les détecter et de les bloquer. Ce type de solution détecte automatiquement les tentatives d’attaque 24 h/24, 7 j/7, et les cartographie parfois sur un tableau de bord pour faciliter le suivi des activités malveillantes en temps réel. Les meilleures solutions font aussi en sorte que dès qu’un nouveau robot est identifié sur le site web d’un de leurs clients, tous les clients sont automatiquement protégés.
3. Attaque de type « scraping »
Les robots de scraping lancent des attaques massives pour voler le contenu des sites web des commerçants en ligne. Des concurrents malhonnêtes peuvent ensuite ajouter le contenu volé à leurs propres annonces sans demander l’accord des utilisateurs finaux. Parfois les données sont vendues sur le Deep Web. Pour la victime, ce type de vol se traduit par une baisse du nombre de visites authentiques sur son portail d’e-commerce, une baisse des revenus et une perte de valeur de la marque.
TheFork (TripAdvisor) enregistrait des pics de trafic inexpliqués qui ne correspondaient pas aux pics normaux d’activité (fêtes, offres spéciales, etc.). L’entreprise savait que des robots malveillants tentaient de lui voler du contenu à valeur ajoutée, comme des avis d’utilisateurs ou la disponibilité des tables.
Pour contrer ces logiciels malveillants et s’assurer que seuls les visiteurs humains et les logiciels autorisés ont accès au site, TheFork a mis en œuvre la solution de protection contre les logiciels malveillants de DataDome. Depuis, le vol de contenu n’est plus un problème pour TheFork, qui par la même occasion a réduit ses coûts d’hébergement et de maintenance.
4. Attaques de type « credential stuffing » et « credential cracking »
Lors des attaques par credential stuffing, les robots utilisent des informations d’identification volées sur un site (noms d’utilisateurs et mots de passe) pour tenter de se connecter sur d’autres sites. Ces informations d’identification sont généralement obtenues par le biais de fuites massives de données qui sont ensuite publiées en ligne ou revendues. Les attaques les plus sophistiquées s’appuient sur un grand nombre de robots pour que les tentatives de connexion proviennent de différents appareils.
Les attaques par credential cracking, ou attaques par force brute, s’appuient sur une quantité massive de tentatives de « craquage » des informations d’identification. Par exemple, une attaque de type dictionnaire utilise un par un tous les mots d’un dictionnaire (une liste de mots) pour tenter d’obtenir l’accès. Pour pouvoir lancer ces très nombreuses tentatives, les hackers ont recours à des robots.
Le credential cracking et le credential stuffing ont toutefois la même finalité : accéder aux comptes utilisateurs pour les exploiter en usurpant leurs informations d’identification.
Avec 40 millions de membres, BlaBlaCar est la plus grande communauté de covoiturage au monde. La gigantesque base de données de l’entreprise est une cible de choix pour les hackers souhaitant accéder aux données personnelles à des fins criminelles. BlaBlaCar a un jour détecté des pics de charge intenses et anormaux qu’elle a identifiés comme des attaques par force brute. Les hackers tentaient d’accéder aux comptes d’utilisateurs pour voler des numéros de carte bancaire et récupérer des bons d’achats en vue de les utiliser ou de les revendre.
Une technologie avancée de protection contre les logiciels malveillants permet à BlaBlaCar de bloquer les menaces connues et nouvelles, et protège en permanence ses utilisateurs. Surtout, son équipe technique n’a nul besoin d’intervenir quotidiennement pour que cela soit possible.
5. Attaque DDoS de la couche 7
Les attaques DDoS de la couche 7 sont conçues pour cibler la couche d’applications du modèle OSI (Open Systems Interconnection). Leur objectif est de surcharger et bloquer les sites web en les inondant de trafic.
Celio est une grande marque de prêt à porter pour hommes présente dans plus de 50 pays avec plus de 1 100 magasins. L’équipe de Celio gérait auparavant les robots au cas par cas, en surveillant le trafic et en bloquant manuellement les menaces. Cela leur demandait beaucoup de travail et s’avérait en plus inefficace contre les attaques utilisant de très nombreuses adresses IP différentes.
Un jour, l’entreprise a subi une attaque DDoS de la couche 7. Le trafic des robots a percé ses défenses manuelles, surchargé les journaux des disques durs et bloqué la plate-forme.
Grâce à la solution de protection anti-robot de DataDome, Celio a pu éliminer le trafic non sollicité, réduire la charge des serveurs et arrêter les incidents d’interruption de service. Une fonction de règles personnalisées lui permet également de bloquer le trafic humain provenant de pays spécifiques ou de gérer l’accès des robots de partenaires. Surtout, l’équipe de Celio ne s’inquiète plus des robots.
Découvrez la solution de protection anti-robot de DataDome
Prêt à mettre un terme définitif aux problèmes de sécurité liés aux robots ? Essayez DataDome gratuitement pendant 30 jours !
Installez tranquillement la version d’essai (généralement en moins d’une heure) et commencez à observer votre trafic automatisé en temps réel dès aujourd’hui.
Articles liés
Qu’est-ce qu’une solution anti-bot et comment fonctionne-t-elle ?
En savoir plus
Comment DataDome a bloqué une attaque de scraping de 80M de requêtes visant une plateforme d'avis de premier plan
En savoir plus
Scalping de billets : définition, impact et prévention des bots de billetterie
En savoir plus
Loveholidays protège ses API et améliore ses conversions grâce à une défense anti-bot en temps réel
En savoir plus
