Protéger vos sites de jeux, de paris et de divertissement contre les bots malveillants

Sur les sites web de jeux et de paris, une part importante du trafic est générée par des bots malveillants. C’est le jeu du chat et de la souris : dès que vous mettez en œuvre des tactiques communes de défense, les cybercriminels trouvent des moyens de les contourner.

Dans cet article, nous vous faisons découvrir les méthodes utilisées par les cybercriminels pour cibler les sites de jeux et de paris et nous vous présentons les principales attaques par bot qui menacent votre activité.

Nous vous expliquons également pourquoi les tactiques de défense les plus courantes sont inefficaces, et comment éviter la prolifération des attaques en mettant en place une solution de protection contre les bots robuste et facile à déployer.

Dans cet article :

1. Impact des bots malveillants sur l’industrie des jeux et des paris
2. Types courants d’attaques de bots contre les sites Web de jeux et de paris
3. Solutions mises en place pour lutter contre les bots malveillants
4. Protection anti-bot en temps réel pour les sites Web, les applications et les API

Impact des bots malveillants sur l’industrie des jeux et des paris

Les bots malveillants exploitent ou attaquent vos sites Web de jeux et de paris en ligne en utilisant différentes méthodes : accélération des processus (expediting), extraction de contenu (scraping), usurpation de compte, attaques DDoS de la couche 7 et ainsi de suite. Les cybercriminels s’appuient par exemple sur des bots pour progresser plus vite dans un jeu et cumuler rapidement des gains et des victoires.

Pour Blizzard, développeur du MMORPG World of Warcraft, le coût indirect des attaques de bots de jeux s’élèverait à 18 millions de dollars par an, selon les estimations. Ce coût total global comprend les frais de service client, les frais techniques de détection et de blocage des bots et les lourdes sanctions financières.

Primedice, l’un des principaux sites de jeux en ligne à bitcoins, s’est fait dérober 1 million de dollars en bitcoins par un utilisateur qui est parvenu à exploiter le système RNG crypté du casino (conçu pour garantir l’authenticité des paris) pour placer des paris gagnants de 8 000 $ en bitcoins chaque seconde, pendant plusieurs heures. L’utilisateur a « trompé » le serveur de Primedice en lui envoyant plus de requêtes qu’il ne pouvait en gérer, obtenant ainsi l’accès à toutes les informations requises pour valider les résultats des paris à l’avance.

Types courants d’attaques de bots contre les sites Web de jeux et de paris

Attaques Expediting

Les attaques de type expediting impliquent des bots qui, selon l’observatoire OWASP, « exploitent la rapidité afin d’enfreindre les suppositions explicites ou implicites concernant l’utilisation normale de l’application, de manière à obtenir un gain individuel indu, souvent associé à la tromperie et perpétré au détriment d’une autre partie quelconque ».

Les processus d’accélération des bots de jeux s’exécutent jusqu’à ce que l’objectif soit atteint, qu’il s’agisse d’obtenir un article rare, d’engranger des devises et des marchandises ou de réussir des lancers de dés, par exemple. Les bots de jeux récoltent plus de devises et d’articles que les utilisateurs humains car ils jouent en continu sans faire de pauses, ne cessant jamais d’exécuter des tâches leur permettant de progresser dans les niveaux, d’augmenter leurs gains, etc.

L’exploitation de ces méthodes d’accélération des processus de jeu contrarie les joueurs et nuit à votre réputation de prestataire de services de jeux en ligne. Les bots de jeux de type expediting influencent l’économie du jeu en provoquant l’inflation ou l’effondrement des valeurs. Ces bots raccourcissent le cycle de vie du jeu et diminuent les revenus liés aux abonnements, en particulier lorsque les hackers utilisent des comptes de paiement frauduleux.

Globalement, les attaques de bots expediting diminuent votre attrait vis-à-vis des utilisateurs, poussant les joueurs authentiques à se tourner vers des prestataires de jeux et de paris concurrents.
Attaques

Scraping

Le scraping est une menace automatisée qui utilise des bots pour extraire des données des API, des sites Web et des bases de données afin de rechercher, puis d’exploiter des opérations de jeux et de paris.

Les bots dit “d’arbitrage” utilisent des attaques de type Web scraping pour identifier et tirer parti des déséquilibres de paris entre les différents bookmakers, évitant les pertes d’argent et augmentant les chances de gain grâce aux arbitrages de paris. Bien que les paris sur arbitrage ne soient pas illégaux, ce type d’attaque peut devenir un handicap pour les bookmakers de premier plan, leur coûtant des sommes importantes tous les mois.

Les scrapers créent également de forts niveaux de latence sur vos sites de jeux et de paris car ils consomment trop de bande passante avec leurs requêtes, rallongeant les temps de chargement pour les utilisateurs authentiques.

En savoir plus : Scraping : comment protéger votre site Web contre les robots scrapers et crawlers

Usurpation de compte

L’usurpation de compte consiste à accéder illégalement aux comptes d’utilisateurs pour procéder à des fraudes financières et des usurpations d’identité et dérober les ressources des joueurs. Pour prendre le contrôle des comptes, les cybercriminels récupèrent des listes d’informations d’identification des joueurs sur le dark web ou via des attaques par phishing. Ils utilisent ensuite ces données volées pour accéder aux comptes.

Une fois qu’un hacker a accès aux comptes des clients, il peut voler des informations de paiement et réaliser des transactions non autorisées à partir de cartes bancaires associées. Les cybercriminels peuvent également acquérir ou vendre des articles numériques de valeur récupérés à partir d’un compte compromis. Une fois qu’ils ont fini d’exploiter les comptes cibles, les hackers revendent les informations sensibles des comptes des joueurs sur le marché illégal.

Chaque mois, la plate-forme de jeux Steam subit plus de 77 000 attaques par usurpation de compte. Le programme malveillant Steam Stealer est à l’origine d’une bonne partie de ces usurpations. Les cybercriminels utilisent des bots automatisés pour leurrer les joueurs et voler leurs informations d’identification et de paiement en envoyant de nombreuses demandes d’amis, et en poussant les victimes à cliquer sur des liens malveillants via des propositions de promotions gratuites ou de marchandises uniques sur des forums et dans des messages directs.

En savoir plus : Credential stuffing, credential cracking et usurpation de comptes : comment protéger votre site e-commerce

Attaques DDoS

Les attaques DDoS (par déni de service distribué) inondent votre site avec de gros volumes de trafic pour déclencher des retards significatifs dans les temps de chargement des joueurs ou provoquer la panne complète du site. Les hackers utilisent les attaques DDoS pour perturber les sites Web de concurrents ou leurs adversaires de jeu.

Winamax, plate-forme de poker en ligne, a été l’un des sites de jeux européens ciblés par les attaques DDoS d’octobre 2019, provoquant des pannes majeures de service. Les joueurs s’attendent à pouvoir parier instantanément sans interruptions et les attaques DDoS perturbent les services de pari en temps réel.

Lorsque cela se produit, ils perdent confiance dans la fiabilité de la société de paris et se tournent vers les concurrents dont les pratiques de limitation des attaques DDoS sont plus avancées.

En savoir plus : Attaques DDoS de la couche 7 (applicative) : Comment protéger votre site web ?

Solutions mises en place par les sociétés de jeux et de paris pour lutter contre les bots malveillants

Les sociétés de jeux et de paris utilisent les moyens suivants pour se protéger contre les attaques de bots malveillants :

• Activation de l’authentification à deux facteurs sur les comptes de joueurs et d’administrateurs.
• Mise en place d’un délai avant l’autorisation des transactions relatives aux articles obtenus sur une plate-forme de jeux.
• Création d’une liste de blocage de joueurs afin d’exclure les attaques frauduleuses itératives.
• Identification de la méthode de jeu exploitée et modification de celle-ci afin d’éviter toute utilisation ultérieure.
• Analyse du comportement des utilisateurs pour détecter une activité utilisateur anormale.

Bien que les stratégies ci-dessus parviennent à réduire le problème dans une certaine mesure, elles présentent de nombreux inconvénients : elles créent des frictions supplémentaires pour les utilisateurs réels, sont longues à gérer ou peuvent uniquement être appliquées lorsque les dégâts sont déjà faits.

Le seul outil qui bloque efficacement les bots malveillants dès le départ est une solution performante de détection des bots capable d’identifier les bots les plus sophistiqués.

Protection anti-bot en temps réel pour les sites Web de jeux et de paris, les applications et les API

DataDome détecte et bloque 100 % des menaces automatisées OWASP, y compris les attaques de type expediting, scraping, prise de contrôle de compte, DDoS de la couche 7 et ainsi de suite.

Notre moteur de détection de bots compare chaque requête adressée à votre site Web à une base de données massive de modèles en mémoire, et combine l’intelligence artificielle et l’apprentissage automatique pour déterminer en moins de 2 millisecondes si l’accès à vos pages doit être octroyé ou non.

DataDome étant la seule solution de protection contre les bots fournie en tant que service, elle ne nécessite ni modification d’architecture, ni redirection DNS, et elle ne constitue jamais de point unique de défaillance.

Pour savoir comment DataDome peut protéger vos sites de jeux vidéo, de paris et de jeux d’argent en ligne contre les menaces de bots automatisés, activez votre essai gratuit ou demandez une démo dès aujourd’hui.