DataDome

Pourquoi les plateformes de crypto et NFT ont-elles besoin de protection anti-bot ?

Table des matières
Paige Tester, Director of Content Marketing
24 Mar, 2022
|
min

Le monde de la crypto est captivant, des blockchains et tokens aux NFT, réseaux sociaux et bien au-delà. Les débats font rage sur les avantages et inconvénients des différents écosystèmes crypto et sur la question de savoir si le Web3 ouvrira la voie à des opportunités infinies ou finira en immense déception.

Il est certain que la crypto offre un monde de possibilités… et les attaquants l’ont bien compris.

Poursuivez votre lecture pour découvrir comment les attaquants ciblent l’univers de la monnaie numérique, en commençant par un bref aperçu de ce que recouvrent réellement les termes « crypto », « NFT » et « Web3 ».

Dans cet article, vous trouverez des réponses aux questions suivantes :

  1. Qu’est-ce que la crypto ? Que sont les NFT et le Web3 ?
  2. Quelles sont les principales menaces pour les sites et applications orientés crypto/Web3 ?
  3. Quels sont les éléments clés pour une protection anti-bot efficace dans le secteur crypto ?
  4. Quelles mesures anti-bot les entreprises crypto devraient-elles adopter ?

Qu’est-ce que la crypto ?

La cryptomonnaie (ou « crypto ») est une monnaie numérique conçue pour fonctionner via un réseau informatique sans autorité centrale, comme un gouvernement ou une banque. Toutes les transactions en crypto sont enregistrées sur une blockchain, un grand registre numérique décentralisé qui conserve en toute sécurité l’historique des transactions.

Qu’est-ce qu’un NFT ?

Contrairement aux cryptomonnaies, qui sont interchangeables (ou « fongibles »), un NFT (ou « non-fungible token », jeton non fongible) a une valeur unique. Pensez aux cryptomonnaies comme de l’argent et aux NFTs comme des objets numériques variés que l’on peut acquérir avec cette monnaie.

Qu’est-ce que le Web3 ?

Le Web3 est le terme couramment utilisé pour désigner un internet de nouvelle génération basé sur des blockchains décentralisées. Selon The New York Times, Packy McCormick (investisseur ayant contribué à populariser le concept de Web3) le décrit comme « un internet appartenant à ses créateurs et utilisateurs, orchestré grâce aux jetons ».

Principales menaces pour la crypto/Web3 :

Credential Stuffing, Account Takeover (ATO) et Fraude de Paiement

Une grande partie de l’écosystème blockchain/Web3 repose sur les cryptomonnaies, qui sont plus difficiles à tracer que les monnaies fiduciaires traditionnelles. Cette difficulté de traçabilité rend le secteur particulièrement attractif pour les fraudeurs.

Lorsqu’une cryptomonnaie est volée, il est presque impossible de la récupérer. Il est donc essentiel de sécuriser tous les points d’accès susceptibles de permettre à un attaquant d’accéder à un portefeuille ou de transférer des fonds. C’est pourquoi la plupart des plateformes crypto ont recours à plusieurs formes d’authentification à deux facteurs (2FA), telles que les codes SMS et les mots de passe à usage unique basés sur le temps (TOTP) via des applications mobiles.

Cependant, le 2FA n’est pas infaillible, comme l’a expliqué Coinbase lors d’une conférence récente à Black Hat (cliquez ici pour voir la vidéo). Les bots peuvent distribuer leurs attaques via un vaste réseau de proxies résidentiels, testant des combinaisons d’identifiants et de codes TOTP et rendant les règles traditionnelles de limitation de débit inefficaces.

Une solution pourrait être de limiter les requêtes par compte utilisateur, mais cela présente le risque de bloquer des utilisateurs légitimes lors d’une attaque. Par ailleurs, des techniques simples telles que les CAPTCHA s’avèrent souvent inefficaces face aux attaquants sophistiqués qui peuvent utiliser des fermes CAPTCHA pour les contourner.

Augmentation des coûts liés au SMS 2FA et Fraude au péage

L’utilisation du SMS pour l’authentification à deux facteurs (2FA) sur les sites crypto peut générer des coûts importants pour les opérateurs. Chaque tentative de connexion générée par un bot déclenche l’envoi d’un SMS payant, ce qui peut rapidement représenter des milliers de dollars en frais supplémentaires par mois.

Certains attaquants exploitent également le 2FA par téléphone pour générer des appels vers des numéros surtaxés, une pratique appelée fraude au péage. Des fournisseurs comme Twilio offrent des conseils pour se prémunir contre ces attaques, mais la mise en œuvre de ces mesures de sécurité peut être complexe.

De plus, les utilisateurs de crypto, souvent très soucieux de leur vie privée, utilisent fréquemment des VPN. Par conséquent, les méthodes simples de détection de bots basées sur le blocage des adresses IP de centres de données ne sont pas adaptées : elles nuisent à l’expérience utilisateur et sont inefficaces face aux bots sophistiqués, qui exploitent largement des proxies résidentiels pour contourner les restrictions des plateformes crypto.

Scalper Bots

Certains actifs numériques, comme les NFTs, sont produits en éditions limitées. En conséquence, les scalper bots, qui ciblaient autrefois les sneakers, les billets de concert, les cartes graphiques et les consoles de jeu, se tournent désormais vers les crypto-actifs et NFTs. Ces bots accaparent les stocks limités, créant une concurrence déloyale pour les utilisateurs humains et empêchant de nombreux acheteurs légitimes d’accéder aux actifs recherchés.

En plus de perturber l’expérience des utilisateurs, les scalper bots peuvent générer une charge considérable sur les serveurs, ralentissant les performances du site et affectant l’ensemble des utilisateurs.

Reward Fraud

Sur les plateformes crypto, il est courant de proposer des récompenses en crypto-monnaie ou en monnaie fiduciaire aux utilisateurs qui s’inscrivent ou parrainent d’autres personnes. Bien que ces récompenses puissent être abusées manuellement, les fraudeurs préfèrent souvent automatiser le processus grâce à des bots pour créer massivement de faux comptes, renseigner des informations fictives et envoyer des invitations en rafale. Cette fraude à grande échelle incite de nombreuses entreprises à mettre en place des solutions pour empêcher la création de faux comptes.

Éléments Clés pour la Protection Anti-Bot dans le Secteur Crypto

Protection des Applications Mobiles et des APIs

Toute application traitant des données confidentielles doit impérativement placer la sécurité en tête de ses priorités. Pourtant, selon un rapport de CoinDesk basé sur l’analyse de 2 000 applications sur Google Play :

  • Plus de 93 % des applications crypto comportaient au moins trois vulnérabilités de « risque moyen ».
  • 90 % présentaient au moins deux vulnérabilités de « haut risque ».

Avec la croissance de la valeur et de la popularité des cryptomonnaies, la probabilité que ces vulnérabilités soient exploitées augmente elle aussi (voir OWASP mobile top 10). En réponse, de nombreuses plateformes crypto rejoignent les 65 % des leaders du commerce en ligne qui placent la protection des applications mobiles et des APIs parmi leurs priorités cette année.

La gestion des bots est un élément essentiel de cette protection, car près de 40 % du trafic mondial de bots cible les applications mobiles. Qu’ils cherchent à commettre des fraudes, scraper des données, pirater des comptes ou scalper des NFTs, les opérateurs de bots attaquent les applications mobiles et les APIs à un rythme alarmant.

Expérience Utilisateur (UX)

Les utilisateurs s’attendent à une expérience fluide et homogène sur tous les canaux et points d’accès, y compris sur les applications mobiles et les APIs. En 2022, 86 % des entreprises en ligne priorisent la performance et la disponibilité de leurs applications, tandis que 84 % placent l’UX au cœur de leurs préoccupations.

Dans le secteur volatil des crypto-monnaies, les utilisateurs d’applications crypto misent énormément sur la rapidité pour acheter et vendre instantanément. Dans un monde où l’UX est reine, quelques faux positifs ou un ralentissement des performances suffisent à faire fuir les utilisateurs.

Conscientes de l’importance de préserver l’UX, 62 % des entreprises attendent de leur solution de protection contre la fraude et les bots qu’elle améliore l’expérience utilisateur. Voici quelques façons dont une bonne gestion des bots peut optimiser (ou nuire à) l’UX d’une application crypto :

Faux Positifs

Dans un monde idéal, aucun utilisateur humain ne devrait voir de CAPTCHA. Une solution anti-bot efficace bloque uniquement les bots malveillants, sans impacter les utilisateurs légitimes.

Si votre gestion des bots a un taux de faux positifs élevé (c’est-à-dire un pourcentage important de cas où un utilisateur humain est bloqué ou voit un CAPTCHA), vous risquez de perdre des clients et de créer du mécontentement. Un taux de faux positifs faible (par exemple, inférieur à 0,01 %) indique un bon équilibre entre UX et sécurité pour les utilisateurs et votre entreprise.

Vitesse de Détection et Réactivité

Plus le moteur de détection de bots met du temps à analyser et répondre aux requêtes, plus il est susceptible de ralentir votre application. Un délai d’une seconde peut suffire à réduire vos conversions de 7 %.

La détection en temps réel (répondant en moins de 2 millisecondes, par exemple) est donc cruciale pour assurer une UX optimale sur tous les points d’accès.

Performance et Disponibilité

Pour garantir une disponibilité constante et en temps réel, une solution de gestion des bots doit disposer de 25 points de présence (PoPs) ou plus, répartis dans différentes régions. Plus il y a de PoPs, meilleure est la latence entre vos serveurs et les points d’accès de la solution. Chaque région doit offrir une haute disponibilité grâce à l’auto-scalabilité, et vous devriez pouvoir consulter facilement le statut des serveurs en temps réel depuis n’importe où.

Que devraient faire les entreprises crypto face aux bots ?

Le secteur de la crypto regorge d’opportunités avec un afflux constant de nouveaux clients, mais il attire également de nombreux concurrents et attaquants. Les bots malveillants exploitent l’automatisation et le volume pour perturber le trafic légitime (dans le « meilleur » des cas) et, dans le pire, réaliser des activités de scalping, de fraude et de prise de contrôle de comptes.

À mesure que l’univers de la crypto continue d’évoluer, les plateformes et entreprises crypto doivent redoubler de vigilance pour protéger tous leurs points d’accès et offrir une expérience utilisateur de qualité. Adoptez une approche proactive pour prévenir les attaques de bots avant qu’une violation de sécurité inattendue ne pousse vos utilisateurs vers la concurrence.

Commencez par identifier les types de menaces qui vous ciblent—credential stuffing, scalping, fraude, etc.—puis mettez en place une stratégie pour protéger votre activité et vos utilisateurs (à la fois leurs données/confidentialité et leur expérience). Vous pouvez débuter par un audit gratuit pour évaluer les attaques qui vous ciblent.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés