Alerte de sécurité : de faux comptes menacent les ventes de jeux du Black Friday

À l’approche du Black Friday 2024, les détaillants en ligne se préparent à une augmentation de la demande, notamment pour des offres, remises et packs sur des consoles de jeux populaires comme la PS5, la Xbox et la Nintendo Switch, ainsi que leurs accessoires.

Cependant, cet engouement attire également des fraudeurs sophistiqués qui utilisent des bots pour tirer parti de la disponibilité limitée de ces produits convoités.

Les opérateurs de bots et les scalpers ont perfectionné leurs tactiques, exploitant la création de faux comptes comme principal outil pour contourner les limites d’achat. En déployant des bots à grande échelle, ils créent rapidement plusieurs comptes pour accaparer les stocks, empêchant ainsi les clients légitimes de se procurer ces produits à forte demande. Ces comptes permettent ensuite d’acheter des consoles en masse, les scalpers réalisant des profits en les revendant à des prix gonflés sur des marchés secondaires.

L’analyse récente de DataDome met en lumière la menace croissante posée par les bots, révélant que de nombreux détaillants en ligne ne sont pas suffisamment préparés à ces attaques. Sans une protection efficace contre les bots, les plateformes e-commerce risquent de perdre le contrôle de leur inventaire et de leurs revenus, tandis que la confiance des consommateurs et la réputation des marques en pâtissent.

Pour les détaillants, une protection proactive contre les bots est essentielle afin de garantir que les passionnés de jeux vidéo puissent avoir accès aux consoles ce Black Friday, pas les scalpers.

Évaluation de la sécurité des sites e-commerce

À l’aide de frameworks de bots open-source avec une configuration minimale, DataDome a testé 14 grands sites e-commerce aux États-Unis, au Royaume-Uni et dans l’Union européenne pour évaluer leur préparation face aux attaques de bots.

Principaux constats :

• 100 % des sites testés permettent la création de faux comptes

• Près d’un tiers des sites testés permettaient aux bots de créer un compte sans utiliser de techniques avancées.
• Presque les trois quarts autorisaient les bots à créer un compte en utilisant des techniques avancées comme le contournement de CAPTCHA ou la gestion de MFA (authentification multifactorielle).
• Cela révèle une lacune sérieuse dans la prévention de la création massive de comptes, une tactique fréquemment utilisée par les fraudeurs pour contourner les limites d’achat.

• La plupart manquent de mesures de sécurité élémentaires

• 57,2 % des sites n’ont pas déployé de CAPTCHA pour protéger le processus d’enregistrement.
• 64 % des sites n’ont pas validé les adresses e-mail fournies, permettant la création de comptes à l’aide d’e-mails temporaires, d’alias ou de techniques de points. Ces failles sont facilement exploitées par les bots pour créer plusieurs comptes.

• Pratiques d’authentification faibles

• La moitié des sites testés permettaient à un bot de se connecter à un compte sans utiliser de techniques avancées.
• 35,7 % des sites autorisaient un bot à se connecter à un compte en utilisant des techniques avancées comme le contournement de CAPTCHA ou la gestion de MFA.
• Même les sites ayant mis en œuvre un MFA pouvaient être contournés à l’aide de tactiques courantes comme des numéros de téléphone loués ou l’accès SMTP.

Implications et risques

• Credential stuffing : les attaquants utilisent des bots pour tester des combinaisons volées de noms d’utilisateur et de mots de passe sur plusieurs sites, afin de voler des données personnelles, des points de fidélité ou des crédits inutilisés.

• Création massive de faux comptes : les attaquants utilisent des bots pour créer des milliers de faux comptes, leur permettant de passer de grosses commandes sous différentes identités. Même si les détaillants mettent en place des contrôles plus stricts par la suite, ces comptes peuvent être réutilisés lors d’attaques futures.

• Atteinte à la réputation et perte de confiance des clients : les failles de sécurité peuvent gravement nuire à la réputation, érodant potentiellement la confiance des clients.
• Implications financières : les pertes financières dues aux activités frauduleuses et aux rétrofacturations peuvent être substantielles pour les détaillants.

Recommandations

Pour atténuer ces risques, les détaillants peuvent prendre des mesures pour renforcer leur posture de sécurité :

• authentification renforcée : déployez une authentification multi-facteurs pour toutes les interactions critiques des utilisateurs, telles que la création de comptes, les connexions et les transactions, afin d’ajouter une couche de protection contre les accès non autorisés ;
• validation des e-mails : validez les adresses e-mail lors de la création de comptes pour empêcher l’utilisation de services d’e-mails temporaires et d’alias. Mettre en place un processus de vérification, comme les étapes « confirmez votre adresse e-mail », permettra de réduire la création de faux comptes ;
• protection avancée contre les bots : utilisez des solutions sophistiquées de gestion des bots offrant une détection en temps réel et une atténuation des menaces automatisées. En particulier, la protection contre les bots doit être résistante face à des attaquants capables de résoudre des CAPTCHA via des fermes à CAPTCHA, détecter des attaques provenant de milliers d’adresses IP utilisant des proxys, et identifier les bots imitant un comportement humain.

Conclusion

Pour renforcer leurs attaques, les fraudeurs modifient souvent les frameworks de bots open-source afin de contourner les systèmes de détection. Ces modifications rendent les bots plus difficiles à détecter par les méthodes traditionnelles. Nos tests, avec des modifications minimales, ont pu contourner la plupart des systèmes de protection contre les bots, ce qui souligne l’ampleur des dégâts qu’un attaquant plus expérimenté pourrait causer.

Alors que les opérateurs de bots partagent leurs méthodes et techniques dans des forums clandestins, leurs attaques continueront de gagner en sophistication, dépassant les capacités de détection des sites utilisant des solutions de protection basiques.

Les détaillants doivent prioriser la protection contre les bots pour sécuriser leurs activités et leurs clients lors d’événements à fort trafic comme le Black Friday. Les bots ciblent les produits populaires et en édition limitée, provoquant des pénuries de stock et des clients frustrés. En déployant une détection des bots en temps réel et une prévention complète contre la fraude, les entreprises peuvent garder le contrôle de leur inventaire et protéger leur chiffre d’affaires.