Verspieren met fin aux attaques de credential stuffing avec DataDome

Sécurité des données renforcée
Gain de 20-30 % de ressources d’infra
Une meilleure expérience utilisateur
DataDome
Table des matières
Credential stuffing Services financiers
9 Jul, 2021
|
min

Créée en 1880, Verspieren est un courtier en assurances d’envergure internationale. Une vague d’attaques de credential stuffing extrêmement distribuées a multiplié le trafic de son site par dix, dégradant la performance et générant des surcoûts significatifs. Activée en moins de 48 heures, la protection anti-robot DataDome a permis à Verspieren de sécuriser son endpoint de connexion et renforcer la protection des données de ses assurés, améliorer l’expérience utilisateur, et mettre fin à la surconsommation de ses ressources d’infrastructure

Verspieren Website

 

Le défi : Endiguer les attaques de credential stuffing qui submergeaient le site

C’était un jour frisquet de janvier. Steve Hocque, responsable de la sécurité des systèmes d’information chez Verspieren, vaquait à ses occupations quand l’alerte était déclenchée : la génération de logs du site web dépassait la capacité des disques, provoquant des ralentissements importants et une dégradation des performances proches du DOS.

« Une fois la production rétablie, nous nous sommes penchés sur ces logs » raconte Steve. « Et nous avons découvert un énorme volume d’appels de quelques IPs, venant de pays différents, qui parcouraient les pages de nos sites de façon très automatisée. » 

L’équipe a ajusté la configuration de son firewall next-generation et de son module anti-DDoS, et ne s’est pas inquiétée plus que ça. Cependant, les attaques ont continué, devenant de plus en plus distribuées, avec des IPs changeant en permanence et une logique de navigation qui permettait aux attaquants d’accéder aux sites sans être bloqués.

« Ça venait par vagues », se rappelle Steve. « En analysant les IPs associés à ces attaques, nous avons pu constater qu’ils appartenaient souvent à des plateformes cloud, hébergées un peu partout dans le monde, et c’est là que nous avons compris que nous étions sous le feu de robots. »

Ces attaques faisaient suite à une vague massive de fuites de données un peu partout dans le monde pendant les semaines précédentes. Les robots tentaient de se connecter aux plateformes de Verspieren avec des combinaisons de logins et de mots de passe trouvées sur internet : l’entreprise faisait l’objet d’attaques par credential stuffing.

« Avant ces attaques, nous avions probablement déjà du trafic automatisé, mais c’était invisible », remarque Steve. « Mais là, notre trafic a été multiplié par dix. Évidemment, nous avons mené des opérations en interne et avec notre SOC pour empêcher les robots d’accéder à nos systèmes d’information, mais c’était du curatif. À chaque fois que nous changions quelque chose, il y avait une phase d’accalmie, mais quelques jours plus tard nous étions à nouveau sous le feu. Nous avons vite compris qu’il fallait mettre en place une solution qui nous permettait de bloquer en amont ce flux de bots sur nos plateformes ».

Nous n’avons plus besoin de nous occuper des robots. Nous regardons les rapports quotidien pour vérifier que tout va bien, mais globalement, nous sommes tranquilles
Steve Hocque, RSSI de Verspieren

La solution : Efficacité démontrée, simplicité de mise en œuvre

Pour choisir leur solution anti-robots, l’équipe s’est appuyée sur l’expérience du SOC, qui avait déjà implémenté DataDome chez d’autres entreprises.

« DataDome s’est rapidement imposée comme la solution idéale pour nous », confirme Steve. « Le retour d’expérience de notre SOC et d’un confrère RSSI nous a permis de savoir exactement ce que nous allions obtenir. L’efficacité ayant été testée par nos partenaires, nous avons pu nous lancer en toute confiance. »

Autre critère de sélection : la simplicité de mise en œuvre.

« L’implémentation s’est faite le plus simplement du monde, quelques bouts de codes à mettre dans différentes pages », affirme Steve. « Nos flux passent par des reverse proxy sur lesquels nous avons installé le module correspondant pour monter les flux chez DataDome. Pour l’activation, il faut connaître les séquences d’authentification, les chemins particuliers et les IP à autoriser, mais c’est très intuitif, et la protection a été activée sur les premiers sites en moins de 48 heures. Les équipes de DataDome nous ont accompagnés pour les deux ou trois premiers sites, ensuite nous nous sommes débrouillés seuls. »

Enfin, la transparence et l’expérience des utilisateurs humains étaient également un critère très important.

« Si pour une raison ou une autre il y a un faux positif dans le trafic légitime, il ne faut pas que ce soit bloquant, pour préserver l’expérience de nos assurés », explique Steve. « DataDome avait un ensemble de réponses pour toutes ces problématiques, ce qui nous a permis de valider la solution assez simplement. »

Les résultats : Sécurité renforcée, performances restaurées

Comparé à la période des attaques les plus intenses, le trafic global des sites de Verspieren a été divisé par dix. Les sites ont retrouvé une activité normale, avec un trafic propre et lisse.

« Même si nous avons détecté la présence des bots assez récemment, il est fort probable que nous étions déjà auparavant sous le feu de certains bots sans le savoir », précise Steve. « Globalement, nous avons réduit d’au moins 20-30% le trafic sur nos environnements, et les temps de réponse sont très bons. Nous avons retrouvé un comportement sur nos applications, et une consommation de ressources, qui correspondent au profil et aux horaires de nos assurés. »

Un autre bénéfice, moins attendu, est la reprise du contrôle de l’IT sur les projets métier qui pouvaient solliciter les ressources d’infrastructure sans que l’équipe en soit informée.

« Certains partenaires ou fournisseurs venaient consommer des API, ou mettaient en place des bots pour chercher des données dans nos systèmes d’information, sans nous en informer », explique Steve. « Aujourd’hui, nous les détectons et ils sont obligés de passer par l’IT pour être autorisés, ce qui nous permet de maîtriser les accès. La prochaine étape est de travailler avec nos partenaires pour leur offrir une meilleure expérience avec nos outils, sans pénaliser les assurés et sans générer des surcoûts inutiles. » 

L’équipe envisage également de retirer les Captchas qui ont été implémentés un peu partout sur les sites de façon statique, pour s’appuyer uniquement sur DataDome et laisser l’algorithme choisir le moment pertinent pour positionner un Captcha en cas de besoin. Cela simplifiera le développement et améliorera l’expérience des utilisateurs, qui ne verront plus de Captcha sauf si leur comportement de navigation justifie une suspicion.

Finalement, le bénéfice peut-être le plus important est la tranquillité d’esprit.

« Nous n’avons plus besoin de nous occuper des robots. Dès lors qu’une activité sort du cadre qui a été fixé, c’est bloqué automatiquement », confirme Steve. « Nous regardons les rapports quotidiens pour vérifier que tout va bien, mais globalement, nous sommes tranquilles. »

Articles liés