DataDome

Les attaques de bots contournent votre WAF

Table des matières
Account fraud
Paige Tester, Director of Content Marketing
3 Jan, 2023
|
min

2023 a été l’année où l’IA est devenue grand public—pour les humains avec ChatGPT, et pour les mauvais bots et les fraudeurs. Mais il n’y a pas de quoi s’inquiéter si vous avez un WAF en place, n’est-ce pas ? Malheureusement, pas tout à fait. À mesure que les bots continuent d’augmenter en nombre et en sophistication (y compris leur capacité à imiter le comportement humain grâce à l’IA), les outils de sécurité basés sur des règles comme les WAF sont obsolètes et inefficaces contre la plupart des types d’attaques de bots.

Un WAF, ou pare-feu d’application web, est un outil de sécurité conçu pour détecter et filtrer le trafic malveillant à l’aide d’un ensemble de règles binaires. Bien que les anciens bots et les menaces connues puissent être liés par les règles désignées dans votre WAF, les attaquants peuvent désormais trouver facilement des bots sophistiqués capables de se métamorphoser pour se faufiler à travers les contrôles de sécurité basés sur des règles. Pour se protéger contre des bots en constante évolution, les sites de commerce électronique et autres entreprises en ligne doivent faire preuve d’une vigilance constante et bénéficier d’une sécurité évolutive en temps réel.

Lisez la suite pour comprendre pourquoi et comment les WAF ne font plus le poids face aux bots, notamment :

Comment fonctionnent les WAF

Les WAF sont conçus pour protéger les applications web contre les attaques qui tentent d’exploiter les vulnérabilités logicielles courantes. Ils analysent le trafic entrant (requêtes HTTP basées sur les méthodes GET et POST) et appliquent un ensemble de règles prédéfinies (ou « politiques ») pour filtrer le trafic suspect avec des signatures d’attaque familières.

Les WAF sont souvent déployés via un proxy inverse et peuvent être basés sur le cloud, l’hôte, ou le réseau. Ils sont généralement centrés sur les IP.

Les WAF peuvent être utiles pour bloquer les menaces connues et les attaques provenant d’agents utilisateurs classés comme indésirables. Voici quelques exemples d’attaques courantes atténuées par les WAF :

  • Le script de site à site (XSS) : les attaquants injectent et exécutent des scripts malveillants dans le navigateur d’un autre utilisateur.
  • L’injection de langage de requête structuré (SQL) : les attaquants accèdent aux données sensibles situées dans les bases de données SQL et peuvent les modifier.
  • Le piratage de session web : les attaquants détournent un identifiant de session (normalement stocké dans un cookie ou une URL) et se font passer pour un utilisateur autorisé.

Le WAF parvenait assez bien à identifier les bots, mais il doit analyser le trafic pendant qu’il arrive. Comme il lui faut quelques minutes pour pouvoir bloquer quoi que ce soit, nous avions plusieurs fois par semaine des pannes de 5 minutes.

Will Brown, président d’eTool Developers

eTool Developers DataDome Helps Customer Story

Comment les bots ont dépassé les WAF

Les bots sont de plus en plus capables de se faufiler à travers votre WAF, car les attaquants utilisent des ressources de meilleure qualité (capacité à paraître humain ou à passer les contrôles de sécurité) et plus abondantes (disponibilité des bots en tant que service et distribution de proxies). Avant de nous pencher sur la grande qualité des bots malveillants d’aujourd’hui, abordons d’abord le problème de la quantité croissante de mauvais bots et d’attaques automatisées.

Les chiffres parlent d’eux-mêmes :

  • Plus de 47 % du trafic en ligne aujourd’hui est composé de bots. Cette hausse du trafic automatisé a largement contribué à l’essor de la fraude par bots, touchant des secteurs allant de l’e-commerce aux services financiers.
  • Environ 40 % des bots ciblent les applications mobiles. (Les bots ciblent toujours tous les points de terminaison.)
  • Entre 2019 et 2021, les attaques d’account takeover (ATO), souvent exécutées par des bots, ont augmenté de 307 % !
  • Le marché mondial des services de bots devrait passer de 1,6 milliard de dollars en 2022 à 6,7 milliards de dollars d’ici 2027, avec un taux de croissance annuel composé (CAGR) de 33,2 %.

Les bots en tant que service (BaaS) rendent les bots de haute qualité et sophistiqués plus faciles et moins chers d’accès pour les fraudeurs, et ce, chaque seconde.

Qu’est-ce qui rend les bots plus sophistiqués ?

Les développeurs de bots les perfectionnent en utilisant les techniques suivantes :

  • Le comportement qui imite celui d’un humain : reproduit les mouvements de la souris, la vitesse de frappe, etc.
  • Les attaques distribuées : les bots exploitent des proxies pour accéder à des millions d’adresses IP.
  • Les IP de haute qualité : les proxies résidentiels permettent de garder l’anonymat des bots et de ne pas se faire bloquer.
  • Les fausses empreintes digitales et les CAPTCHA : les bots utilisent des navigateurs sans tête et des outils comme Puppeteer Extra Stealth et des fermes de CAPTCHA pour contourner la sécurité.
  • Améliorations basées sur l’IA : Les outils d’IA offrent aux développeurs de bots des moyens faciles d’augmenter la sophistication des mauvais bots, conduisant à des attaques plus importantes, plus rapides et plus difficiles à atténuer.

La liste ne s’arrête malheureusement pas là. De nouvelles techniques sont développées chaque jour pour améliorer les bots, et les cybercriminels sont toujours prêts à les mettre en œuvre pour en tirer profit.

Nous étions attaqués depuis des mois … ce qui causait des problèmes de performance et des pannes, et augmentait nos coûts d’infrastructure. Nous passions également beaucoup de temps à essayer de les bloquer avec notre WAF, mais les attaquants changeaient de tactique ou nous bloquions le trafic légitime.

Mathew Samuel, vice-président de la technologie chez Ladders, Inc.

Ladders DataDome Customer Story

Lors de sa période d’essai gratuite de DataDome, Ladders, Inc. a pu stopper une attaque de bot en cours avec le WAF d’AWS après avoir repéré la menace dans son tableau de bord DataDome. Même si la version d’essai gratuite fonctionne en mode surveillance (sans bloquer ni interagir avec le trafic, mais en analysant et en classant toutes les demandes entrantes), l’équipe de Ladders a pu voir le moteur de détection avancé de DataDome en pleine action.

Même si nous avions tous les ingénieurs nécessaires, nous n’aurions jamais une perspective globale de ce que font les acteurs malveillants. DataDome peut voir ce qui se passe ailleurs et appliquer de manière proactive les bonnes mesures pour nous.

Mathew Samuel, vice-président de la technologie chez Ladders, Inc.

Pourquoi les WAF ne font pas le poids face aux bots avancés

Les WAF analysent les requêtes HTTP entrantes basées sur les méthodes GET et POST et appliquent des règles prédéfinies pour filtrer le trafic suspect avec des signatures d’attaque familières. Mais de nombreux bots ne portent pas de signatures d’attaque ou ne ciblent pas les vulnérabilités logicielles.

De plus, les WAF sont centrés sur les IP alors que les botnets, les déploiements IoT et l’IPv6 permettent aux opérateurs de bots malveillants d’alterner facilement des centaines, des milliers, voire des millions d’IP différentes pour contourner les filtres WAF.

Par conséquent, un WAF est inefficace contre divers types d’attaques utilisant des bots avancés. Il est impossible d’adapter les opérations de sécurité pour gérer ces attaques de bots distribuées en établissant manuellement de nouvelles règles.

5 attaques qui exploitent des bots sophistiqués

Vous trouverez ci-dessous quelques-uns des nombreux types d’attaques connus pour utiliser des bots sophistiqués.

  1. La fraude publicitaire ou la fraude au clic : les bots falsifient le nombre de clics sur une publicité en ligne ou le nombre de fois où elle est affichée.
  2. Account takeover (ATO) : les bots permettent aux criminels d’accéder au compte en ligne d’une personne (par des attaques comme le credential stuffing).
  3. Credential cracking : les bots utilisent la force brute , et testent un grand nombre de noms d’utilisateur et de mots de passe différents pour tenter de deviner les identifiants de connexion utilisables.
  4. Credential stuffing : les bots tentent d’accéder aux comptes des utilisateurs en utilisant des paires de noms d’utilisateur et de mots de passe volés ou divulgués.
  5. Scraping : les bots collectent les données de votre site web à des fins malveillantes, notamment la revente de contenu et la sous-cotation des prix.

Comment détecter les mauvais bots sophistiqués

Détecter les bots est la première chose à faire pour prévenir les menaces de sécurité les plus graves dans le monde en ligne d’aujourd’hui. Et en matière de cybersécurité et d’activité des bots malveillants, les secondes comptent.

Votre rapidité à identifier le trafic de robots malveillants détermine l’efficacité de votre défense contre la fraude, l’account takeover, les DDoS et tout autre type d’attaque. En plus d’avoir une solution efficace de protection contre les bots et la fraude en ligne, vous pouvez aussi prendre les mesures suivantes pour détecter avancée des bots malveillants sophistiqués sur vos sites web, vos applications et vos API.

Les signes avant-coureurs d’un trafic de bot à rechercher

Ces indicateurs signalent qu’il se passe quelque chose de grave sur votre site :

  • Un nombre anormalement élevé de pages consultées : Certaines attaques de bots tentent de submerger vos serveurs. Qu’il s’agisse d’une attaque DDOS ou d’un grand nombre de scrapers, vous verrez apparaître dans votre logiciel d’analyse un pic soudain et inexplicable de pages consultées.
  • Un taux de rebond anormalement élevé : Dès qu’un bot malveillant atteint son objectif ou réalise qu’il ne peut pas l’atteindre, il abandonne immédiatement. Comme les bots fonctionnent en millisecondes plutôt qu’en secondes, vous pourrez constater un taux de rebond anormalement élevé et rapide.
  • Des durées de session anormales : Les sessions de quelques millisecondes ou anormalement longues sont suspectes. Les humains ont tendance à rester au moins quelques secondes, mais ne restent pas souvent sur une page pendant plus de quelques minutes. Gardez un œil sur les anomalies de durée de session dans votre logiciel d’analyse.
  • Des pics de trafic provenant d’endroits inconnus : Les requêtes provenant de pays non pertinents pour votre entreprise sont souvent des requêtes de robots. Par exemple, si votre entreprise n’opère pas au Vietnam mais que vous recevez soudainement un afflux de requêtes provenant de ce pays, il est fort probable qu’il s’agisse d’une attaque de bot.
  • Des conversions indésirables : Vous recevez des soumissions de formulaires de contact qui n’ont ni queue ni tête ? Certains utilisateurs placent constamment des articles dans leur panier sans les acheter ? Votre newsletter gratuite a soudainement un grand nombre de rebonds ? Toutes ces conversions inutiles indiquent la présence de robots.

Dans un monde idéal, vous (ou plus probablement votre solution de gestion de bots) verriez et arrêteriez toujours le trafic des bots sur votre site avant qu’une fraude ne se produise. Cependant, si votre plateforme traite des paiements en ligne, vous devez reconnaître les signes avant-coureurs d’une fraude de paiement, et rester vigilant.

Les signes avant-coureurs d’une fraude de paiement en ligne à rechercher

Les entreprises de commerce électronique sont particulièrement concernées. Voici quelques-uns des signes les plus courants de fraude de paiement en ligne à rechercher :

  • Plusieurs commandes à partir de plusieurs cartes de crédit : lorsqu’un compte (ou plusieurs comptes ayant des signatures similaires, par exemple la même adresse IP) effectue plusieurs achats avec plusieurs cartes de crédit, cela indique clairement une fraude, notamment une fraude par test de carte.
  • Les incohérences de données : Recherchez toute incohérence, notamment une ville et un code postal qui ne correspondent pas. Par exemple, un acheteur avec une adresse IP singapourienne effectue un achat sur une carte bancaire ayant une adresse de facturation américaine.
  • Les comportements d’achat inhabituels : Si le propriétaire de la carte bancaire a déjà fait des achats sur votre site, vous pouvez vérifier son historique d’achats pour détecter toute activité suspecte. Par exemple, si le compte passe soudainement une commande bien plus importante que ce que le client dépense habituellement.
  • Un endroit inhabituel : Vous pouvez vérifier l’activité des clients récurrents à partir d’endroits différents ou inhabituels. Si le client achète habituellement à partir d’une adresse IP au Japon, mais qu’il effectue soudainement un achat à partir d’une adresse IP en Angola, il est possible qu’il soit simplement en vacances, mais il vaut mieux être prudent.
  • Plusieurs commandes provenant d’endroits inhabituels : si vous n’avez jamais reçu de commande en provenance d’Indonésie mais que vous en recevez soudainement plus d’une dizaine, examinez la situation de plus près.
  • Plusieurs adresses d’expédition : Lorsqu’un acheteur demande à expédier des marchandises à une adresse autre que l’adresse de facturation de la carte, méfiez-vous. Par exemple, si un acheteur effectue plusieurs achats avec une seule carte bancaire et une seule adresse de facturation, mais expédie les produits à plusieurs adresses différentes.
  • Les transactions refusées : bien que les acheteurs légitimes puissent parfois oublier leur code secret ou dépasser leur plafond, s’ils font plus de cinq tentatives sans fournir les bons identifiants de la carte bancaire (numéro, date d’expiration, nom, CVV), méfiez-vous.
  • Les transactions rapides dos à dos : si un même client peut effectuer plusieurs achats consécutifs, il peut aussi s’agir d’une carte qu’un fraudeur teste sur votre site.

Les mesures de protection à prendre contre les attaques de bots sophistiqués

Auditer régulièrement la sécurité de votre plateforme

Un cybercrime se produit lorsque des fraudeurs, des attaquants et des bots trouvent des failles dans votre système avant vous. Identifier vos vulnérabilités avant que les attaquants ne les découvrent vous permettra de garder une longueur d’avance.

Les audits de sécurité peuvent être assez complexes, mais voici quelques éléments importants que vous devriez évaluer régulièrement :

  • Mises à jour : veillez à ce que tout soit toujours à jour. Idéalement, tout le monde devrait installer les mises à jour dès qu’elles sont disponibles, surtout s’il s’agit d’un correctif de sécurité.
  • Certificat SSL (HTTPS) : si vous n’avez pas mis en œuvre le protocole HTTPS, vous devriez le faire sans tarder et vérifier régulièrement si votre certificat SSL fonctionne bien.
  • Chiffrement de bout en bout : veillez à ce que toutes les transmissions de données et les communications entre votre entreprise et vos clients soient chiffrées de bout en bout.
  • Maintenir la conformité : si votre site ou votre appli traite des paiements (e-commerce par exemple), assurez-vous de sa conformité à la norme PCI-DSS.
  • Sauvegardes régulières : assurez-vous que vos données sont sauvegardées régulièrement.
  • Analyse régulière : cherchez régulièrement les logiciels malveillants sur votre site web à l’aide de solutions antivirus/antimalware appropriées.
  • Surveiller les activités malveillantes : suivez les activités des bots malveillants et bloquez-les immédiatement pour empêcher les tentatives de piratage de compte et d’autres menaces liées aux bots.

Mettre en œuvre une solution adéquate de détection de la fraude

Pour vraiment protéger votre site Web, votre application mobile et/ou vos API contre les attaques sophistiquées de bots et la fraude en ligne, mettez en œuvre une solution robuste de détection de la fraude qui identifiera les signaux d’alarme en pilote automatique et bloquera les activités suspectes. Vous éviterez ainsi efficacement les dommages.

Par exemple, le logiciel avancé de détection des bots et des fraudes de DataDome identifie rapidement le comportement inhabituel des visiteurs sur votre plateforme qui montre des signes d’activité automatisée et/ou malveillante. DataDome bloque automatiquement la source avant que les attaques ne se produisent pour prévenir efficacement la fraude sans affecter négativement l’expérience client.

Le moteur de détection de bots de DataDome exploite l’intelligence artificielle (IA) et l’apprentissage automatique (ML) pour analyser chaque jour des milliards d’événements (3 000 milliards de signaux par jour) et mettre à jour en permanence la protection chez tous les clients afin que la solution puisse détecter et prévenir efficacement les nouvelles tactiques de bots et de fraude en temps réel.

La protection la plus efficace contre les bots, la fraude et les menaces

La détection et l’identification des bots sont des tâches très complexes. Une gestion efficace des bots nécessite une analyse beaucoup plus granulaire que celle que peut fournir un WAF pour détecter les bots en fonction de leur comportement et de leurs intentions respectives. Les requêtes des bots peuvent désormais être distribuées massivement, et les développeurs de bots sont de plus en plus avisés et évoluent en permanence, concevant délibérément leurs bots pour contourner les WAF standards. Même les WAFs avec une protection de base contre les bots ne peuvent pas suivre l’augmentation de la sophistication des bots.

La solution ? Grâce au suivi des événements en temps réel et à la détection comportementale, DataDome protège vos sites web, vos API et vos applications mobiles contre les bots les plus sophistiqués. C’est la seule solution de protection contre les bots et la fraude en ligne fournie en tant que service.

DataDome est compatible avec toutes les infrastructures Web, et fonctionne principalement en pilote automatique. Le moteur de détection des bots alimenté par l’IA identifie, classe et bloque toutes les menaces automatisées en temps réel. Vous recevrez une notification chaque fois que votre site sera attaqué, mais n’aurez rien à faire.

Nos chercheurs experts en menaces et nos scientifiques des données surveillent et atténuent de manière proactive votre trafic automatisé afin de garantir en permanence une sécurité et des performances optimales. L’équipe SOC est disponible pour enquêter sur toute activité suspecte ou analyser les attaques atténuées, 24 heures sur 24 et 7 jours sur 7.

Prêt à enfin empêcher les bots de contourner votre WAF ? Commencez votre essai gratuit ou contactez-nous pour demander une démonstration.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés