Black Friday 2021: Comment vous assurer que les hackers ne ruinent pas vos profits

Quel est le niveau de préparation de votre site Web et de votre application mobile face à l’afflux massif du trafic robotisé illicite durant le Black Friday ?

Aussi sûrement que Noël tombe un 25 décembre, les cybercriminels sont d’ores et déjà en train de préparer l’une de leur journées les plus actives de l’année.

Si rien que cette idée suffit à éveiller votre inquiétude, lisez la suite. Replongeons-nous dans les données du trafic de bots relevées lors du Black Friday de l’an passé afin de voir quelles surprises les pirates et fraudeurs pourraient vous réserver en 2021, ainsi que les mesures à votre disposition pour contrecarrer leurs velléités.

Les bots tenteront de prendre le contrôle de vos comptes d’utilisateur

L’usurpation de compte, ou « ATO » (Account Takeover), représente l’une des atteintes à la sécurité les plus sérieuses auxquelles sont actuellement confrontées les entreprises d’e-commerce. Comme vous le savez sans doute, ce type d’attaque consiste pour les cybercriminels à utiliser les informations d’identification des utilisateurs authentiques afin d’obtenir la mainmise sur leurs comptes en ligne et réaliser ainsi des transactions non autorisées.

Chez DataDome, nous constatons parfois que le plus grand nombre de tentatives de prise de contrôle de compte sur les sites Web de nos clients a lieu dans les quelques jours qui précèdent le Black Friday. Ce phénomène reflète sans doute le fait que des pirates informatiques sont occupés à tester des informations d’identification dérobées sur les pages de connexion de sites Web connus, de manière à exploiter abusivement tous les identifiants valides le jour J.

Figure 1 : triplement des tentatives d’usurpation de compte sur le site Web d’un détaillant de mode durant les jours qui ont précédé le Black Friday 2019. 

Le graphique ci-dessus met en évidence un quasi-triplement des tentatives d’usurpation de compte sur le site Web d’un détaillant de mode et de décoration d’intérieur durant les quelques jours qui ont précédé le Black Friday (vendredi 29 novembre) 2019, comparativement aux niveaux « normaux ».

Sur d’autres sites, le volume des tentatives d’usurpation de compte atteint son pic le jour du Black Friday lui-même. Les assaillants peuvent plus facilement se fondre dans la masse et dissimuler leurs traces lors d’une journée marquée par une hausse du trafic supplémentaire d’origine humaine, d’autant que le niveau de vigilance est alors souvent réduit.

Figure 2 : une chaîne majeure de distribution d’appareils électroniques grand public a été bombardée par des tentatives d’usurpation de compte lors du Black Friday 2019.

En l’absence d’une protection efficace contre les bots, des attaques de cette nature sont susceptibles de causer des alertes liées à des échecs de connexion qui appellent une intervention. Pire encore, les tentatives d’usurpation de compte réussies peuvent porter gravement atteinte à la réputation de votre entreprise. De surcroît, si vous avez affaire à une clientèle européenne, vous vous exposez à des pénalités au regard du règlement RGPD qui peuvent s’élever à 4 % de votre chiffre d’affaires mondial.

Le trafic de bot ralentira votre site et/ou alourdira votre facture de cloud

Que leurs intentions soient bonnes ou mauvaises, les robots génèrent beaucoup de trafic sur votre site. En moyenne, 50 % du trafic Web mondial est généré par des robots logiciels. Sur certains sites, notamment ceux liés au commerce électronique, la part du trafic non humain peut même atteindre 60, voire 70 %.

Tout ce trafic supplémentaire sollicite significativement les ressources de vos serveurs et ce, tout particulièrement durant les pics d’activité d’origine humaine. Vos acheteurs du Black Friday peuvent alors se trouver face à des temps de chargement plus longs, voire un site indisponible, auquel cas ils s’impatientent et vous quittent pour un site concurrent plus rapide.

Du reste, même si la mise en échelle automatique de votre infrastructure vous met à l’abri des problèmes de performance, êtes-vous vraiment disposé à supporter le surcoût lié à la présence de milliers de visiteurs supplémentaires qui n’ont aucune intention d’acheter quoi que ce soit ?

Les robots de scraping, notamment, peuvent engendrer des volumes faramineux de trafic non désirable. Contrairement aux visiteurs humains qui consultent un nombre limité de pages et surfent à un rythme tranquille, ces moissonneurs de données automatisés peuvent parcourir l’intégralité de votre site à grande vitesse lors de chaque visite, parfois plusieurs fois par jour.

Figure 3 : tentatives de scraping de données intensif sur une marketplace lors du Black Friday 2019

Le graphique ci-dessus illustre la très forte augmentation des tentatives de scraping sur une marketplace au cours du Black Friday 2019. En parallèle, le trafic légitime d’origine humaine a été pratiquement multiplié par deux, d’où un poids supplémentaire énorme sur les infrastructures de ce site.

The graph above shows a steep rise in scraping attempts on an online marketplace leading up to Black Friday 2019. In parallel, the website’s legitimate human traffic nearly doubled, which already put a heavy toll on its infrastructure.

Outre le ralentissement de votre site et la frustration des chasseurs de bonnes affaires qui perdent patience, le scraping peut également menacer vos profits du Black Friday par d’autres biais.

Certaines entreprises de veille concurrentielle telles que Price2Spy et Minderest utilisent des bots de scraping pour extraire massivement vos données de prix. Une fois en possession de ces informations, vos concurrents peuvent sous-côter automatiquement et dynamiquement vos prix, vous faisant perdre des ventes. Et le comble, c’est que c’est vous qui paierez la facture pour le trafic supplémentaire des scrapeurs qui leur permettent de le faire !

Au demeurant, même les bots légitimes peuvent contribuer à la baisse des performances du site Web et à l’inflation des coûts d’infrastructure, du fait que les moteurs de recherche et les réseaux sociaux bataillent pour fournir à leurs utilisateurs des informations actualisées sur vos offres spéciales du Black Friday.

Figure 4 : le trafic de bots légitime pointe sur le site Web d’un détaillant de mode à l’imminence du Black Friday 2019.

Pour atténuer ces effets néfastes, rien de tel qu’une bonne solution de protection anti-bots. DataDome, par exemple, bloque par défaut tous les robots scrapeurs. Toutefois, vous pouvez très facilement donner accès aux robots que vous souhaiterez conserver dans votre écosystème, tels que les comparateurs de prix qui amène de nouveaux acheteurs à votre site.

De même, vous pouvez bloquer temporairement ou définitivement les bots légitimes qui ne sont pas pertinents pour votre activité, tels que ceux des moteurs de recherche de pays lointains. Enfin, vous pouvez définir des fenêtres temporelles et appliquer une limitation de débit de manière à déterminer quand et comment les bots légitimes sont autorisés à parcourir votre site.

Les bots tenteront de saboter vos ventes du Black Friday

Parmi les autres types de menaces pilotées par bot qui visent vos bénéfices du Black Friday, citons la bonne vieille attaque par déni de service, ou DDoS.

Il existe une multitude de raisons pour lesquelles des acteurs malveillants peuvent tenter de mettre à bas votre site Web durant l’un des événements commerciaux les plus importants de l’année. Cela peut être pour éliminer la concurrence, pour demander une rançon, ou pour des raisons politiques (hacktivisme anti-consumériste), entre autres.

De nombreux clients de DataDome ont pu éviter des catastrophes potentielles lors du Black Friday grâce à nos capacités de protection contre les attaques DDoS.

Figure 5 : attaques DDoS sur une marketplace majeure à la veille du Black Friday 2019

Le graphique ci-dessus indique un impressionnant pic du volume de tentatives d’attaques DDoS ayant visé une marketplace majeure le 28 novembre 2019, c’est-à-dire la veille du Black Friday. Comme souvent dans pareil cas, les impétrants ont assez rapidement lâché prise après s’être rendus à l’évidence : la solution de sécurité à laquelle ils faisaient face était impossible à contourner.

Figure 6 : attaques DDoS sur le site Web d’un détaillant de produits électroniques grand public avant, puis le jour du Black Friday 2019

Dans notre deuxième exemple, qui concerne un détaillant d’électronique grand public, les attaquants ont fait preuve d’un peu plus de persévérance. Sans plus de succès pour autant : la protection DataDome a en effet prémuni les serveurs de ce détaillant contre les requêtes malveillantes, de sorte que ses remises spéciales du Black Friday ont pu continuer à satisfaire ses clients.

Mais ce n’est pas tout !

Si les attaques d’usurpation de compte, scraping et DDoS représentent es plus graves menaces robotisées sur votre site Web lors du Black Friday et au-delà, le danger est en réalité encore plus étendu.

À supposer que la disponibilité de vos offres spéciales pour le Black Friday soit limitée, l’expérience de vos clients légitimes, qui ont patiemment attendu l’occasion, peut être ruinée par un type de robots dits scalpeurs. Les opérateurs de robots intelligents exploitent la puissance de feu des bots pour arracher vos bonnes affaires du Black Friday en une poignée de secondes, bien plus rapidement que ne peuvent le faire des acheteurs humains. Ils revendent ensuite ces produits très convoités à un prix parfois considérablement majoré, ce qui n’est bon ni pour vous, ni pour vos clients.