Impersonators : les bad bots qui piratent vos comptes

Un mardi du mois de mars, le site web d’un de nos clients enregistre une activité tout à fait inhabituelle sur son formulaire de login. Plus de 10 000 tentatives d’accès en moins de 5 minutes. Heureusement, la protection DataDome est activée et permet de bloquer l’offensive. Mais que s’est-il passé et que cherchaient ces milliers de robots en s’attaquant à la page de login d’un grand site de e-commerce ?

Imposture

Il s’agit là typiquement d’une attaque d’Impersonators. Dans cette famille de bad bots (pour un panorama général des différentes catégories de bots, voir ici), les comportements peuvent varier mais ils partagent un point commun : il s’agit pour le robot de se faire passer pour ce qu’il n’est pas.

La technique spécifique utilisée contre notre client trouve sa source dans d’autres affaires de piratage, bien connues du public. Ainsi, en 2012, LinkedIn se faisait dérober sa base d’utilisateurs. 167 millions de combinaisons login/mot de passe se retrouvaient dans la nature. Dans la nature ? si seulement…

A vendre! une base de 167 millions de comptes en parfait état de marche

4 ans plus tard, la base était disponible à la  vente sur le darkweb. Quel intérêt d’acquérir, pour quelques dollars ou quelques bitcoin, une base vieille de 4 ans ? Les utilisateurs concernés ont certainement déjà changé leur mot de passe LinkedIn ou vont le faire dès que l’information leur sera parvenue.

Certes, mais le cerveau humain est ainsi fait qu’il suit la voie de la plus grande facilité. Confronté à des demandes multiples de créations de comptes sur des sites divers et variés, il a tendance à s’appuyer sur quelques options restreintes de combinaisons login/mot de passe. Ne serait-ce que pour les retenir plus facilement. Et quand nous disons restreintes, nous parlons essentiellement de 1 ou 2 combinaisons. Et quand nous parlons de combinaisons, nous parlons de l’adresse mail généralement assez connue et d’un mot de passe de type 1234, poussé jusqu’à 5678 lorsque le site demande une longueur minimale.

Par ici les crédits

Le pari des acheteurs de la base LinkedIn (et des nombreuses autres bases de comptes) sur le darkweb est donc que les combinaisons sont utilisées sur d’autres sites que LinkedIn. L’heureux acquéreur de 167 millions de comptes n’a plus qu’à les tester un par un sur les formulaires d’accès des sites pour accéder aux précieuses données réservées aux utilisateurs identifiés. Et parmi ces données, il y en a une qui intéresse particulièrement l’heureux acquéreur : il s’agit des crédits, bons d’achats, promotions stockées sur le compte utilisateur et que celui-ci peut choisir de récupérer via un virement ou une utilisation pour des achats. Raison pour laquelle les sites de e-commerce, les sites de paris en ligne et… les sites des banques sont des cibles de choix.

L’heureux acheteur n’a plus qu’à élaborer un petit script qui vient tester chacun des 167 millions de comptes sur les formulaires de login des sites visés et, pour chaque combinaison gagnante, récupérer les crédits disponibles. Avec cette technique, le pirate parvient à s’identifier sur les sites visés comme un utilisateur légitime, raison pour laquelle nous la classons sous la famille des Impersonators.

Passage en force

Naturellement, l’heureux acheteur sait qu’il risque d’être détecté en testant les accès. Partant de là, il a deux possibilités :

1. soit lancer une attaque massive, pour tester le plus possible de comptes dans le laps de temps qu’il faudra aux systèmes de protection pour le détecter – c’est ce qui est arrivé à notre client en ce petit matin du mois de mars et qui aurait pu coûter très cher à ses utilisateurs s’il n’avait pas bénéficié de notre protection.
2. soit choisir de tester les accès au contraire de manière très subtile et distillée, afin de passer sous le radar des détections classiques. Ce faisant, il aura recours à d’autres techniques d’Impersonator sur lesquelles nous reviendrons dans un prochain billet.

En attendant, n’hésitez pas à nous faire part de vos commentaires et expériences au sujet des Impersonators, une famille de bad bots qui ne cesse d’évoluer et de se sophistiquer.