Comment protéger votre site Web ou application de coupons contre les bots malveillants

Les bons d’achat numériques représentent aujourd’hui une activité florissante. Les sites Web et applications de coupons fournissent aux marques partenaires un outil marketing et promotionnel unique, tout en permettant aux consommateurs de réaliser des économies et de découvrir de nouvelles enseignes.

Malheureusement, dès qu’une activité devient lucrative, les cybercriminels font surface. Parallèlement aux simples chasseurs de bonnes affaires, ces sites et applications de bons de réduction attirent également des fraudeurs qui tentent de détourner le système à leur profit.

Dans cet article, nous examinerons de plus près les 5 menaces automatisées les plus courantes (et les plus dangereuses) qui visent les sites Web et applications de bons d’achat. Nous verrons également pourquoi les solutions de sécurité traditionnelles sont inefficaces, ainsi que les mesures préconisées pour permettre aux propriétaires de sites Web d’enrayer ces menaces.

Types courants d’attaques de bots contre les sites Web de bons d’achat

Les bots malveillants s’attaquent aux sites de coupons par plusieurs biais :

Scraping des données de coupons
Fraude publicitaire
Attaques DDoS de la couche 7
Usurpation de comptes
Scanning de vulnérabilités

Scraping des données de coupons

La plus grave menace pour les sites de bons d’achat est le « Web scraping », qui est généralement le fait d’entreprises concurrentes.

Les cybercriminels utilisent des bots pour scraper, c’est-à-dire dérober les coupons de votre site Web, de manière à détourner les liens affiliés à leur profit, puis les republier sur leurs propres sites avec un minimum d’effort.

Les propriétaires de sites de coupons peu scrupuleux peuvent, moyennant un investissement réduit, se procurer aisément des solutions logicielles or des services de scraping de coupons qui leur permettent de « racler » tous les contenus de votre site. Des projets de scraping de coupons sont également courants sur les sites d’offres d’emploi en freelance.

En plus de subtiliser vos commissions d’affiliation, ces bots de scraping peuvent dégrader les performances de votre site Web. Les plus nocifs d’entre eux sont capables de frapper plusieurs centaines de milliers de pages chaque jour, entraînant la surcharge de vos serveurs et le ralentissement de l’affichage pour les utilisateurs humains légitimes, lesquels risquent de se lasser et d’aller chercher leur bonheur ailleurs.

En savoir plus : Scraping : comment protéger votre site Web contre les robots scrapers et crawlers

Case study: CouponCabin vs PriceTrace

Dans le cadre d’une affaire judiciaire récente, le très populaire site de coupons CouponCabin a assigné son concurrent PriceTrace auprès d’un tribunal de district de l’État de l’Illinois au titre du détournement illicite de son site. CouponCabin accusait en effet PriceTrace de recourir à des techniques de scraping invasif pour intercepter et republier des codes de coupon sur son propre site Web.

Pourtant, le tribunal a rejeté l’allégation de CouponCabin selon laquelle PriceTrace enfreignait la Loi sur la fraude et les abus informatiques (LFAA) par cette pratique, au motif que CouponCabin n’avait produit aucune preuve du montant des dommages infligés par ce scraping.

Suite à ce délibéré, le débat reste ouvert sur la légitimité de l’interdiction du scraping indésirable dans le langage des accords clickwrap. Ce cas illustre à quel point il peut être difficile d’empêcher le scraping indésirable dans la pratique ; d’où l’urgence de lutter contre les bots qui en sont responsables.

Fraude publicitaire

La fraude publicitaire est un type d’attaque automatisée qui consiste à utiliser un bot pour falsifier le nombre de clics sur une publicité ou son nombre d’apparitions.

L’objectif des pirates ou de vos concurrents indélicats est, par le biais de cette fraude publicitaire, de nuire à la relation qui vous unit à vos partenaires affiliés (de la même manière que les liens de spam vers votre site peuvent nuire à votre réputation auprès de Google), ou de détourner à leur profit les recettes générées.

Certains sites de bons d’achat peuvent même aller jusqu’à publier des coupons factices ou non valides afin de générer une commission, puis s’arroger un avantage indu sur les diffuseurs de codes promotionnels valides associés aux marques légitimes.

L’étude d’un cas précis a ainsi permis de recenser 90 % de bons de réduction illicites, périmés ou non valides parmi 1 051 codes promotionnels commercialisés sur un site Web de coupons. Ce même site proposait des bons d’achat pour 28 annonceurs qui ne prenait même pas en charge ce type de remises.

Certains acteurs malfaisants lancent des sites ponctuels pour engranger des commissions alimentées au moyen de codes de remise factices, ce qui nuit à la réputation de tout le secteur économique des bons d’achat.

Use case : Diwanee combat la fraude publicitaire avec DataDome

Attaques par déni de service de la couche 7

Les attaques par déni de service (DoS) peuvent submerger de trafic votre site de coupons et occasionner des délais de chargement considérables pour les visiteurs, voire mettre votre site complètement à genoux.

Les attaques dites DoS de la couche 7 désignent un type de comportement malveillant par lequel les cybercriminels ciblent la « couche supérieure » (L7) du modèle OSI. Contrairement aux attaques plus connues qui visent les couches réseau, celles-ci sont généralement plus lentes et de plus faible ampleur, ce qui les rend par ailleurs plus difficilement détectables. En tout cas, du point de vue des entreprises qui génèrent d’importants revenus en ligne, elles peuvent se révéler tout aussi dévastatrices.

Des attaques DoS de la couche 7 peuvent donc être perpétrées par des cybercriminels, mais aussi par des concurrents de votre propre secteur, dans le seul but de perturber la disponibilité de votre site.

Usurpation de comptes

L’usurpation de comptes, ou ATO (« account takeover »), implique l’accès non autorisé aux comptes de vos utilisateurs en vue de perpétrer différents types de fraude.

Pour parvenir à leurs fins, les cyberattaquants récupèrent des listes d’identifiants associées aux comptes des clients sur le dark net, ou par le biais du hameçonnage. Ils reprennent ensuite les noms d’utilisateur et les mots de passe ainsi dérobés pour accéder aux comptes des membres du site de coupons.

Une fois connectés, les auteurs des menaces peuvent effectuer des transactions non autorisées, puis revendre les données de paiement et de compte détournées à des pirates opérant sur le marché parallèle.

Lorsqu’une prise de contrôle de compte aboutit, elle peut nuire à votre réputation, faire fuir vos clients et vous exposer à de lourdes pénalités au regard des réglementations RGPD ou CCPA.

En savoir plus : Credential stuffing, credential cracking et usurpation de comptes : comment protéger votre site e-commerce

Scanning de vulnérabilités

Le scanning de vulnérabilités est un type de menace consistant à employer des bots pour identifier les failles de sécurité de votre site de coupons. La finalité recherchée est de mettre à profit les vulnérabilités décelées pour planifier encore davantage d’attaques.

À titre d’exemple, des pirates peuvent, après avoir analysé votre site, y découvrir une faille permettant l’injection de code SQL. Le procédé consiste alors à insérer des requêtes d’injection SQL dans le code promotionnel lors du paiement afin de révéler les codes de réduction valides, ou encore à exposer l’ensemble de votre base de données de codes promotionnels.

En savoir plus : Scanners malveillants de vulnérabilités : comment protéger vos sites Web, applications mobiles et API

Méthodes de lutte contre les bots malveillants adoptées par les sites de bons d’achat

Les entreprises spécialisées dans les bons d’achat tentent généralement de se protéger contre les menaces liées aux robots malveillants par les moyens suivants :

Affichage de codes destinés aux utilisateurs authentifiés plutôt que du code HTML vulnérable au scraping
Limitation du nombre de fois où un utilisateur peut rechercher des codes de coupon valides
Protection contre les tentatives d’injection SQL avec validation de la saisie
Mise en place d’une authentification bifactorielle ou d’une vérification d’identité des comptes utilisateur
Création d’une liste de blocage d’utilisateurs pour bannir les bots récurrents

Bien que l’impact des attaques visant vos sites de coupons soit atténué par les tactiques de défense précitées, de nombreux défis subsistent : il peut en résulter des frictions pour les clients authentiques, une difficulté de gestion ou la mise en œuvre d’une solution seulement une fois le préjudice causé.

Pour se débarrasser une fois pour toutes des problèmes de sécurité liés aux bots, le moyen le plus simple consiste à instaurer une solution de protection efficace et spécifiquement dévolue à cette tâche.

Protection anti-bots en temps réel pour les sites Web, applications et API de coupons

DataDome est une véritable solution SaaS qui détecte et bloque 100 % des menaces automatisées OWASP, y compris le scraping de coupons, les attaques DDoS de la couche 7 et toutes les autres menaces évoquées plus haut.

Notre moteur de détection de bots compare chaque requête adressée à votre site avec une base de données massive de modèles hébergée en mémoire, et utilise à la fois l’IA et l’apprentissage machine pour déterminer en moins de 2 millisecondes si le visiteur est un visiteur ou un bot.

DataDome fonctionne en mode de pilotage automatique en interceptant les menaces connues et nouvelles sans nécessiter aucune intervention de la part de votre équipe.

Profitez de notre offre d’essai gratuite ou demandez une démonstration pour découvrir comment DataDome peut protéger votre entreprise de coupons contre les attaques de bots automatiques.