DataDome

Pourquoi les plateformes de streaming et d’abonnement payantes ont besoin d’une protection anti-bot

Table des matières
Paige Tester, Director of Content Marketing
21 Apr, 2022
|
min

De nombreux services par abonnement—du streaming audio et vidéo aux publications en ligne, applications de fitness et abonnements de jeux—partagent une caractéristique commune : un modèle de frais récurrents. En raison de ce modèle payant, ces plateformes sont particulièrement ciblées par certains types de bots et de fraudeurs, bien plus que les plateformes « gratuites ».

Avec l’essor des services de streaming, il devient essentiel pour les fournisseurs de bien comprendre les principales menaces de sécurité qui ciblent leurs plateformes et les solutions pour les contrer, afin de rester compétitifs sur un marché à la fois saturé et de plus en plus vulnérable aux attaques.

Pour les décideurs du secteur du streaming et des services par abonnement qui souhaitent en savoir plus sur les menaces auxquelles ils font face, cet article explore les points suivants :

  1. Les principales menaces pour les services de streaming et d’abonnement payants :
  2. Bots vs. services de streaming et d’abonnement : exemples concrets
  3. Comment les fournisseurs de services de streaming et d’abonnement payants peuvent-ils lutter contre les bots ?

Principales menaces pour les services de streaming et d’abonnement payants :

Account Takeover / Credential Stuffing

Les menaces les plus courantes pour les plateformes par abonnement incluent l’account takeover (ATO) et le credential stuffing. Comme l’accès au service n’est pas gratuit, certains utilisateurs cherchent à obtenir des accès bon marché via des comptes volés disponibles sur des marchés parallèles.

Autrefois, l’achat de détails de connexion volés se limitait aux forums clandestins de hackers. Aujourd’hui, il devient de plus en plus courant de voir des vidéos et publicités sur les réseaux sociaux (comme Instagram, TikTok et Facebook) vantant des services fournissant des identifiants de comptes piratés.

Comme nous le verrons dans la section suivante, les attaquants sont prêts à développer des bots sophistiqués pour voler (et revendre) massivement des comptes d’utilisateurs. Les développeurs de bots malveillants utilisent des techniques avancées, telles que :

  • Empreintes numériques falsifiées
  • Proxies résidentiels « propres »
  • Fermes CAPTCHA

Ainsi, les techniques traditionnelles, telles que la limitation de fréquence et les CAPTCHAs, sont inefficaces face à ces attaquants sophistiqués.

Fraude de paiement / Carding

Les plateformes par abonnement, disposant d’un point de paiement, font face à une menace supplémentaire : la fraude de paiement. La plupart de ces plateformes offrent une période d’essai gratuite qui nécessite une carte de crédit valide, mais aucun frais n’est facturé avant la fin de cette période.

Pour effectuer du carding (test de validité de cartes de crédit volées), les fraudeurs créent souvent de faux comptes et les inscrivent à un essai gratuit. Lors de cette inscription, les plateformes effectuent généralement un micro-prélèvement sur la carte pour en vérifier la validité, avant de le rembourser. Malheureusement, ce processus confirme aux fraudeurs que la carte est active, tout en générant des frais de transaction importants pour le fournisseur.

Face à ces attaques, de nombreuses entreprises recherchent des méthodes plus efficaces pour empêcher la création de faux comptes et limiter les pertes liées au carding.

Manipulation des statistiques de streaming

Certaines plateformes par abonnement, notamment les services de streaming musical, se basent sur les évaluations des utilisateurs et le nombre de lectures pour recommander des contenus. Des bots sont parfois utilisés pour manipuler ces algorithmes de recommandation.

Les développeurs de bots exécutent des milliers de bots en parallèle pour générer de fausses « écoutes » de musique et « vues » de vidéos, trompant ainsi l’algorithme de recommandation en lui faisant croire que certains artistes ou créateurs de contenu sont plus populaires qu’ils ne le sont en réalité. Cela entraîne une concurrence déloyale pour les autres artistes, des recommandations moins pertinentes pour les utilisateurs légitimes, et des données biaisées pour les analystes.

Bots vs. Services de Streaming et d’Abonnement : Enjeux et Attaques Réelles

Les attaquants déploient des efforts considérables pour voler des comptes payants sur les plateformes de streaming et d’abonnement. Par exemple, le graphique ci-dessous montre le nombre de requêtes bloquées par DataDome sur une plateforme d’abonnement américaine. L’attaquant a mené une attaque de credential stuffing pendant environ 24 heures, ciblant les comptes d’utilisateurs payants.

Streaming Subscription Number of Bot Requests Per 10 Min on Login Endpoint Graph

Pendant cette attaque, l’attaquant a généré environ 1 million de tentatives de connexion malveillantes.

L’opérateur du bot a massivement distribué l’attaque sur environ 45 000 adresses IP résidentielles uniques.

Streaming Subscription Number of IPs on Login Endpoint Graph

En moyenne, chaque adresse IP a réalisé 25 tentatives de connexion au cours de l’attaque, soit environ une tentative par heure.

Ce type d’attaque massivement distribuée et progressive (“low and slow”) rend les techniques traditionnelles de limitation de débit inopérantes et ne peut être contré qu’avec des technologies avancées de détection de bots. Heureusement, DataDome a acquis une expertise approfondie pour protéger les entreprises basées sur des abonnements et leurs utilisateurs contre ces menaces sophistiquées, leur assurant une sécurité renforcée face à ces tactiques de plus en plus répandues.

Comment les entreprises de streaming et d’abonnement payant peuvent-elles se protéger contre les bots ?

Monétiser du contenu est déjà un défi dans un monde où l’accès gratuit à l’information est omniprésent. La situation se complique encore lorsque des attaques automatisées, telles que l’account takeover, le credential stuffing, la fraude de paiement, le carding ou la manipulation des votes, menacent la performance, l’intégrité et la pérennité de votre plateforme.

Les marchés parallèles et la demande constante d’identifiants volés encouragent les développeurs de bots à poursuivre leurs attaques. Ne laissez pas votre essai gratuit devenir une porte d’entrée pour les fraudes par carding. Ne permettez pas que les identifiants de vos utilisateurs payants soient volés et revendus sous votre surveillance.

Les services de streaming et d’abonnement payants doivent au minimum évaluer les types d’attaques qui ciblent leurs plateformes pour pouvoir y répondre de manière adaptée. Si vous recherchez une solution anti-bot performante, nous proposons un essai gratuit pour évaluer les menaces qui pèsent sur votre service. Aucun renseignement de carte de crédit requis, aucun engagement, aucun changement d’infrastructure, et un investissement minimal en temps et en ressources.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés