1/3 des bots malveillants exploitent désormais des adresses IP résidentielles

La détection des mauvais robots représente un jeu du chat et de la souris incessant, dans lequel les exploitants des bots recherchent en permanence de nouveaux moyens de contourner les systèmes de détection.

Si la première génération de bots d’il y a quelques années s’appuyait sur des technologies différentes de celles des humains, ce qui en facilitait la détection, le trafic des bots malveillants est aujourd’hui devenu pratiquement indiscernable du trafic humain légitime.

Les bots rudimentaires incapables d’exécuter du code JavaScript ont été remplacés par des programmes sophistiqués qui exploitent des navigateurs sans en-tête hyper-évolués tels que Headless Chrome. De plus, les bots présentent activement des empreintes digitales faussées afin d’éviter la détection.

Mais les technologies de navigation et les empreintes digitales ne sont pas les seuls aspects qui ont été modifiés par les opérateurs de bots.

Dans la course au contournement des systèmes de détection, les adresses IP issues de centres de données, qui les rendaient trop faciles à identifier, sont désormais de plus en plus souvent délaissées au profit d’adresses IP résidentielles, qui permettent aux bots malveillants de se confondre encore plus aisément avec le trafic humain.

Sait-on comment évaluer la prévalence exacte de ce phénomène ?

Pour répondre à cette question, nous avons procédé à un examen approfondi des données de trafic recueillies durant la période commerciale de Noël, entre le 16 et le 29 décembre 2019. Les résultats sont édifiants.

Les adresses IP résidentielles représentent près de 30 % des requêtes de bots

À mesure que les solutions de protection contre le trafic automatisé malveillant se généralisent sur les sites et applications Web, les développeurs de bots privilégient les IP résidentielles pour camoufler leurs programmes sous des atours de trafic légitime.

Bien que l’offre plus limitée d’adresses IP résidentielles rende leur coût de souscription plus élevé que celui d’adresses hébergées en centres de données, leur obtention est relativement facilitée par les offres de proxys IP résidentiels commercialisées par certains prestataires tels que Luminati.

Parmi les milliards de requêtes de bots illégitimes que nous avons recensées au cours de la fin de l’année 2019, 29,55% utilisaient une adresse IP résidentielle. En d’autres termes, si l’on se réfère uniquement à l’adresse IP, près d’une requête de bot illicite sur trois est susceptible d’être considérée comme une activité humaine.

En outre, nous avons constaté que 20,55 % des bots illicites provenaient d’une adresse IP d’entreprise. Il s’agit probablement dans ce cas d’appareils infectés et exploités à l’insu du propriétaire de l’adresse IP. Les objets connectés mal sécurisés, notamment, comptent parmi les cibles de prédilection des opérateurs de bots malveillants.

Moralité : les solutions de sécurité qui reposent en grande partie sur la réputation des adresses IP ne tiennent désormais plus la route face aux bots illicites.

Les bots malveillants qui utilisent des adresses IP résidentielles mentent également sur leur nature

Si le blocage du trafic indésirable en fonction de la réputation de l’adresse IP n’est plus une stratégie viable, vaut-il mieux placer les user agents malveillants sur une liste bloquée ? Malheureusement, cela ne protègera pas davantage vos applications.

Les développeurs de bots prêts à payer pour acquérir des proxys IP résidentiels sont aussi prudents que motivés : souvent, ils modifient le user agent et les en-têtes HTTP envoyés par leurs bots afin de rester sous le radar.

Parmi les 5 agents les plus ainsi employés, aucun n’appartient à des bots connus, tels que Headless Chrome ou PhantomJS:

1. Mozilla/5.0 (user agent malformé)
2. Mozilla/5.0 (Windows NT 10.0; Win64; x64; WOW64; rv:67.0) Gecko/20100101 Firefox/67.0 (Firefox 67 sur Windows 10)
3. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/78.0.3904.108 Safari/537.36 (Chrome 78 sur Windows 10)
4. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/79.0.3945.88 Safari/537.36 (Chrome 79 sur Windows 10)
5. Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0 (Firefox 67 sur Windows 7)

À l’exception du premier de la liste, qui est malformé (il a été utilisé lors d’une attaque DDoS de la couche 7 contre l’un des sites Web de nos clients), les agents utilisateurs les plus couramment employés par les bots exploitant une adresse IP résidentielle que nous avons détectés, sont caractéristiques des utilisateurs humains.

Moralité : ne faites pas confiance aux user agents que vos visiteurs déclarent, et ne basez pas votre stratégie anti-bots sur une liste bloquée de user agents.

Les bots malveillants qui utilisent des adresses IP résidentielles ciblent les applications mobiles

Notre liste initiale des 5 premiers agents utilisateurs comprenait deux agents d’applications mobiles, mais nous les avons éliminés du classement dans la mesure où ils facilitent l’identification de l’application ciblée.

Or, le fait que deux des premiers agents utilisateurs de bots visaient les applications mobiles met en évidence un autre changement dans le mode de fonctionnement de ces derniers, à savoir que les API des applications mobiles sont de plus en plus souvent la cible d’attaques.

Comme la plupart des entreprises qui ont mis en œuvre des solutions anti-bots se concentrent principalement sur la protection des API de leurs sites web, les opérateurs de robots se sont tournés vers les API des applications mobiles.

Leur modus operandi est simple : tout d’abord, ils analysent le trafic émis entre l’application mobile et le serveur d’API. Puis, ils reprennent l’agent utilisateur et l’en-têtes HTTP utilisés par l’application mobile réelle afin d’accéder à ses API en échappant au moteur de détection.

Moralité : La protection anti-bots est tout aussi importante sur une API d’application mobile que sur celle d’un site Web.

Les bots malveillants exploitent des adresses IP résidentielles dans le monde entier

Examinons à présent la répartition géographique des bots qui exploitent des adresses IP résidentielles.

La carte ci-dessous illustre l’origine des adresses IP résidentielles employées par les bots que nous avons détectés durant la période de fin d’année.

Bien que nos statistiques soient biaisées en faveur de pays où la concentration des clients DataDome est plus élevée, cette cartographie illustre parfaitement notre propos, à savoir
qu’aucun lieu n’est sûr.

Chaque fois que nous activons notre solution de protection anti-bots sur un site Web ou une application dans un nouveau pays, nous observons que le trafic illégitime correspondant est acheminé par des adresses IP résidentielles sur ce territoire.

On remarque également que les bots ont tendance à utiliser des adresses IP résidentielles ayant la même origine géographique que leur cible, et non que celle de leur propre pays d’origine.

Les bots qui veulent scraper le contenu des sites web américains utiliseront des adresses IP résidentielles américaines ; les bots qui mènent des attaques de credential stuffing contre des sites web australiens utilisent des adresses IP résidentielles australiennes.

Moralité : la mise sur une liste bliquée du trafic issu de pays dans lesquels vous n’opérez pas est sans effet. Non seulement vous courez le risque de bloquer des utilisateurs légitimes qui ne font que passer ou se connectent via un VPN, mais cette stratégie ne vous prémunit en rien contre les attaques perpétrées par l’intermédiaire d’adresses IP résidentielles infectées depuis votre pays d’origine.

Les bots visent souvent une pluralité de cibles

Les adresses IP résidentielles utilisées par les bots illégitimes sont souvent fournies par des services de proxy ou des solutions de type « bot-as-a-service », ce qui implique généralement que plusieurs utilisateurs ciblent une gamme de sites Web et d’applications variés.

Au cours de la période de deux semaines analysée dans le cas présent, nous avons détecté plus de 1,2 million d’adresses IP résidentielles exploitées par des bots malveillants adressant des requêtes à deux sites Web ou applications, voire plus. Parmi celles-ci, plus de 105 000 adresses IP qui ont attaqué cinq cibles différentes ou plus.

Bien que les bots malveillants associés à des adresses IP résidentielles soient souvent utilisés à des fins d’usurpation d’identité, leur finalité ne se limite pas à cela. Nos données recensent en effet plus de 100 millions de tentatives de credential stuffing à partir de ces adresses IP, à la fois sur des sites Web et des applications mobiles.

Moralité : les attaques perpétrées au moyen de bots ne sont plus l’apanage des « script kiddies » et autres pirates du dimanche. Les bots malveillants actuels sont les produits d’une industrie florissante, laquelle consacre à cette activité des ressources humaines, financières et techniques considérables. Toute protection efficace doit donc prendre ce paramètre en ligne de compte.

Une protection efficace contre les bots exige une détection comportementale

Récapitulons : les bad bots s’appuient sur des méthodes de plus en plus sophistiquées pour contourner les systèmes de détection. Ils exploitent des navigateurs réels ou sans en-tête, modifient leurs empreintes digitales, déclarent un user agent factice et dépendent de plus en plus d’adresses IP résidentielles situées dans le même pays que leur cible, afin d’être confondus avec des utilisateurs humains.Sur le nombre total de requêtes émanant de bad bots, pas moins d’un tiers proviennent désormais d’adresses IP résidentielles.

Dès lors, les stratégies de sécurité autrefois de mise, telles que les limitations de taux, la mise sur une liste bloquée d’agents utilisateurs ou le blocage du trafic issu de pays étrangers, sont désormais inopérantes. Sans une véritable expertise en matière de détection des bots, il est pratiquement impossible de protéger efficacement vos applications contre des robots aussi évolués.

Pour déterminer si une requête provenant d’une adresse IP résidentielle est issue d’un utilisateur humain réel ou d’un robot, la solution anti-robots DataDome s’appuie sur un moteur de détection sophistiqué qui fait largement appel à l’intelligence artificielle et à l’apprentissage machine.

Les bots connus sont détectés grâce à leur empreinte digitale côté serveur en moins de 2 millisecondes. Le véritable défi réside dans la détection des nouvelles menaces, qui sont identifiées par une analyse statistique et surtout comportementale, en utilisant les données des empreintes digitales côté serveur, un moteur de rendu JS, les données provenant des SDK et le tracking des sessions.

La solution DataDome est utilisée par des sites web de premier plan situés dans le monde entier, ce qui profite à tous nos clients : chaque fois qu’un nouveau bot est détecté sur l’un des plus de 10 000 domaines que nous protégeons, notre algorithme se met à jour pour que tous nos clients soient automatiquement protégés contre la nouvelle menace en moins de 50 millisecondes. Les données d’une attaque que nous détectons sur un site web allemand, par exemple, aideront à protéger une application mobile américaine contre la même menace, en temps réel.

Prêt à essayer ? Commencez votre essai gratuit dès aujourd’hui (cela prend 10 minutes et vous n’avez pas besoin de carte de crédit), ou contactez-nous pour demander une démo.