Voyage et tourisme en ligne : comment protéger rapidement votre site contre les attaques de bots

Les attaques par bots malveillants représentent une menace majeure pour la sécurité des sites de voyage. À mesure que ces attaques deviennent plus fréquentes et sophistiquées, la mise en place d’une protection efficace est devenue plus difficile que jamais. Les entreprises du secteur du voyage doivent reconnaître et atténuer les risques, car les conséquences peuvent être très coûteuses.

Dans cet article, nous examinerons comment les cybercriminels ciblent les sites de voyage en utilisant des bots malveillants pour donner un avantage déloyal à des concurrents malhonnêtes ou pour accéder à des données sensibles de clients. Nous apprendrons également à reconnaître les menaces de bots les plus dangereuses ainsi que les bonnes pratiques pour les contenir à l’aide de mesures de sécurité pratiques et puissantes sans compromettre l’expérience utilisateur.

Comment les mauvais bots affectent-ils l’industrie du voyage ?

En 2019, un rapport d’IBM montrait que le secteurs des voyages et des transports étaient le deuxième plus ciblé par les hackers en ligne. Aujourd’hui, ils est tombé à la sixième place 37 % de son trafic provenant de bots malveillants. Cependant, le pourcentage de bots sophistiqués attaquant les sites de voyage est plus élevé que dans tous les autres secteurs à l’exception du secteur juridique et du sites liés au gouvernement. Les sites de voyage et d’hôtellerie perdent des montants significatifs de revenus à cause de la fraude, et les compagnies aériennes voient souvent leur ratio de look-to-book grimper jusqu’à 20 fois leur taux normal en raison de l’activité malveillante des bots.

Les achats frauduleux de billets d’avion en ligne représentent souvent plus de la moitié de tous les achats, et plus de 850 millions d’euros de pertes annuelles selon l’Association du transport aérien international. Et les commandes frauduleuses et la perte de revenus ne sont pas les seuls risques que la cybercriminalité présente pour l’industrie du voyage. Par exemple, en 2019, British Airways a été condamnée à une amende de 183 millions de livres sterling pour des violations de données par le régulateur britannique de la protection des données, l’Information Commissioner’s Office (ICO). Naturellement, de nombreuses entreprises cherchent à savoir comment arrêter les attaques de bots.

Quelles sont les attaques de bots les plus courantes contre les sites de voyage ?

Scraping de prix

Les guerres de prix fait rage dans l’industrie du voyage, et certains acteurs peu scrupuleux envoient des bots pour scraper et vérifier les prix sur les sites concurrents. Ensuite, les pirates mettent à jour systématiquement et automatiquement leur propre site Web pour toujours afficher un prix inférieur.

Les sites d’e-commerce utilisent souvent des méthodes de tarification dynamique pour capturer le plus d’affaires possible compte tenu d’une large gamme d’attributs clients. Les bots de scraping annulent ces stratégies de tarification car les bots traquent les sites et réduisent systématiquement les prix.

Le volume de trafic de bots que nous avions était tout simplement incroyable », déclare Céline Lavoie, VP Operations chez Softvoyage, une entreprise de voyage. « Certaines personnes scrutaient nos données pour renforcer leurs propres bases de données de shopping, certains bots provenaient de concurrents, et nous soupçonnions même que certains clients nous scrutaient à des fins de comparaison de prix. Quoi qu’il en soit, nous ne voulions pas donner nos données gratuitement, nous devions donc arrêter cette activité.

– Céline Lavoie, VP Operations chez Softvoyage, Client de DataDome

Le scraping n’est pas seulement limité aux données de prix. Les bots de scraping peuvent en fait voler tout le contenu d’un site Web, pour réutiliser vos données à leurs propres fins ou les vendre sur le marché illégal.

Scalping & Spinning de sièges

Les bots de scalping sont envoyés pour acheter toute l’offre d’une proposition pour la revendre plus tard à un prix plus élevé – un mode opératoire très semblable à celui des revendeurs de billets. Ce type d’activité nuit à l’image de l’entreprise de voyage car cela annule toutes les offres spéciales utilisées pour générer de l’intérêt pour la marque.

Les bots de spinning de sièges retiennent ou bloquent de nombreuses réservations aériennes sans payer. Cela rend difficile pour les clients légitimes de faire une réservation ou de choisir le siège qu’ils préfèrent. Le résultat final est un mauvais service client et une perte de revenus.

Credential Stuffing & Cracking

Le credential stuffing implique l’utilisation de gigantesques bases de données d’identifiants volés pour tenter de se connecter à votre site de voyage. La raison pour laquelle cela fonctionne est que les gens utilisent souvent la même combinaison d’email et de mot de passe pour plus d’un compte. Le cracking de credentials (également connu sous le nom d’attaque par force brute) est une autre tentative à grand volume qui utilise l’essai et l’erreur pour “deviner” les bons credentials pour accéder à un compte.

Dans les deux cas, le succès dépend d’un grand volume et d’un camouflage de l’origine de l’attaque. Les bots malveillants accomplissent cela en lançant des attaques à partir d’une variété d’adresses IP. Le credential stuffing et le cracking sont utilisés pour prendre le contrôle de comptes et voler des ressources telles que des points de fidélité ou des miles. De plus, des informations sensibles telles que les numéros de carte de crédit peuvent être accessibles par ces types de menaces par bots.

Layer 7 DDoS

Les attaques Layer 7 DDoS inondent un site Web de niveaux élevés de trafic dans le but de causer des retards importants dans le temps de chargement ou un crash complet du site. Ainsi, au lieu de voir le site Web, les visiteurs pourraient obtenir un message de type ‘la connexion a expiré’. Typiquement, les pirates utilisent ce type d’attaques pour perturber les sites Web des concurrents, ce qui peut entraîner d’énormes pertes de revenus.

Comment les entreprises de voyage combattent les mauvais bots

Dans de nombreux cas, les marques de voyage remarquent d’abord les menaces de bots en raison de pics anormaux de trafic sur le site qui ne correspondent pas à l’activité normale. Certaines entreprises mettent en place des protections au niveau de l’infrastructure ou un filtrage manuel des bots dans une tentative de limiter le trafic illégitime.

Les défenses manuelles fonctionnent tant que les niveaux de trafic sont bas. Cependant, cela consomme beaucoup de ressources. De plus, les attaques majeures par bots peuvent provoquer d’énormes pics de trafic qui sont impossibles à gérer manuellement.

Certaines mesures de sécurité peuvent bloquer les tentatives de connexion échouées répétées provenant de la même adresse IP. Cependant, ces défenses primitives échouent à stopper les réseaux de bots qui donnent l’impression que les visiteurs viennent de nombreuses adresses IP et appareils différents.