Paris sur le Super Bowl ciblés par des attaques : une sécurité insuffisante menace les utilisateurs et leurs gains

À l’approche du Super Bowl, les sites de paris en ligne enregistrent une forte augmentation du trafic, attirant non seulement des parieurs enthousiastes, mais aussi des acteurs malveillants cherchant à exploiter les failles de sécurité. Les pics d’activité des utilisateurs offrent une opportunité idéale pour les attaques automatisées, les fraudeurs déployant des bots pour détourner des comptes, voler des gains et manipuler les paris à grande échelle.

Les dernières recherches menées par DataDome révèlent que les principales plateformes de paris et de jeux en ligne aux États-Unis manquent de protection suffisante contre les bots, ce qui expose les utilisateurs à des attaques de credential stuffing, compromettant leurs données personnelles et financières, ainsi qu’à des campagnes massives de création de comptes facilitant la fraude et les abus.

Sans mesures de sécurité renforcées, ces vulnérabilités pourraient entraîner des pertes financières majeures pour les utilisateurs et les opérateurs, ce qui saperait la confiance dans les plateformes de paris en ligne lors de l’un des plus grands événements de jeu de l’année.

Évaluation de la sécurité des sites de paris

DataDome a réalisé une évaluation des processus de création de compte et de connexion sur cinq grandes plateformes de paris. Les tests ont été effectués à l’aide d’un framework open-source de bots, sans configuration personnalisée, ce qui signifie que des attaquants utilisant des techniques plus avancées pourraient causer des dégâts encore plus importants.

Nos tests ont révélé une absence totale de défenses contre les techniques d’automatisation les plus basiques :

100 % des sites testés permettaient des tentatives automatisées de connexion ou de création de compte ; les chercheurs de DataDome ont pu se connecter et créer des comptes très facilement sur chaque plateforme.
Aucun CAPTCHA n’a été déclenché, même sur les sites affirmant utiliser reCAPTCHA.
Un seul site applique une limitation de débit sur le point de connexion pour décourager les attaques de credential stuffing, mais cette restriction est facile à contourner. Les chercheurs ont pu exécuter plusieurs tentatives de connexion consécutives, simulant efficacement une attaque à petite échelle.
Aucun des sites ne requérait de validation par e-mail avant d’autoriser l’accès aux comptes.
Un seul site utilisait l’authentification multi-facteurs (MFA), qui pouvait être contournée en utilisant un pool d’e-mails et de numéros de téléphone valides.
Des mesures d’authentification faibles ont laissé ces plateformes vulnérables à des exploitations via des techniques simples :
- Les chercheurs de DataDome ont pu créer des comptes en utilisant des services d’e-mails temporaires, la technique du point sur Gmail et des astuces d’alias.

Implications et risques

Credential stuffing : les attaquants peuvent voler des données personnelles ainsi que de l’argent, profiter de promotions ou simplement causer des ravages en changeant ou en plaçant des paris aléatoires au nom de l’utilisateur réel.
Création massive de comptes : les attaquants peuvent créer et revendre de faux comptes, qui pourront être exploités lors de futures attaques si les plateformes renforcent leurs mesures de sécurité.

Le CEO de DataDome explique comment les parieurs peuvent se protéger

Recommandations

Les risques financiers sont considérables, car les paris à forte valeur peuvent entraîner des gains importants. Protéger les utilisateurs contre la fraude et l’accès non autorisé doit être une priorité pour les plateformes de paris en ligne. Le renforcement des mesures de sécurité permet de limiter ces risques et de garantir à la fois la protection des fonds des utilisateurs et l’intégrité des plateformes.

Plateformes :

Mettre en place au minimum une première couche de protection : même un niveau de défense basique est essentiel pour empêcher les attaques automatisées. Pour les plateformes n’ayant aucune solution de lutte contre les bots, l’application d’un CAPTCHA sur les actions clés, comme la connexion et la création de compte, constitue une première étape indispensable.
Adopter une protection avancée contre les bots : passer des systèmes CAPTCHA classiques à des solutions de gestion des bots plus sophistiquées, capables de détecter et de bloquer les menaces automatisées en temps réel. Cela permet d’empêcher les attaques de bots à chaque étape du parcours utilisateur.
Renforcer les processus d’inscription : imposer une validation par e-mail ou une vérification par OTP (One-Time Password) lors de la création et de la connexion des comptes, et déployer une authentification multi-facteurs (MFA) robuste pour sécuriser les comptes des utilisateurs.
Sensibiliser les utilisateurs : encourager les utilisateurs à activer les fonctionnalités de sécurité (si disponibles) et à surveiller leurs comptes pour détecter toute activité suspecte.

Utilisateurs :

Les utilisateurs peuvent renforcer la protection de leur compte en utilisant un mot de passe unique et robuste généré via un gestionnaire de mots de passe, comme Bitwarden, Dashlane ou celui intégré à leur navigateur. Les attaques de credential stuffing fonctionnent parce que de nombreuses personnes réutilisent le même couple e-mail/mot de passe sur plusieurs sites et applications. Ainsi, si l’un de ces services est compromis, les attaquants peuvent tenter d’utiliser ces identifiants sur d’autres plateformes.

Conclusion

Avec des enjeux financiers élevés et une augmentation des menaces automatisées, les sites de paris doivent aller au-delà de la simple protection contre la fraude au paiement et renforcer la sécurité des comptes utilisateurs ainsi que l’intégrité de leur plateforme. Les attaquants exploitent activement les failles de sécurité en utilisant des bots pour détourner des comptes, voler des gains et créer de faux profils, qui peuvent ensuite être revendus ou utilisés pour d’autres fraudes.

La facilité avec laquelle ces attaques peuvent être menées, grâce à des outils disponibles en libre accès, souligne l’urgence pour les plateformes de renforcer leurs défenses. Sans action immédiate, les utilisateurs risquent de voir leurs informations personnelles et financières compromises, tandis que les entreprises s’exposent à des pertes financières, des dommages en termes de réputation et un risque de sanctions réglementaires. Le renforcement des processus d’authentification, la mise en place d’une détection avancée des bots et l’application de mesures de validation de compte plus strictes sont des étapes essentielles pour contrer ces menaces croissantes.

DataDome

Machine Learning Engineer

Florent Pajot est ingénieur en apprentissage automatique au sein de l'équipe de Data Science de DataDome. Outre son soutien aux efforts de R&D en apprentissage automatique pour la détection de la fraude en ligne, Florent se concentre sur les questions liées au MLOps afin d'améliorer les capacités de DataDome à déployer divers modèles d'apprentissage automatique en production. Florent a plus de 8 ans d'expérience dans le domaine de la science des données et a travaillé comme data scientist et chef d'équipe dans les secteurs du e-commerce et de l'automobile. Florent est titulaire de deux masters : l'un en ingénierie et l'autre en gestion d'entreprise, avec une spécialisation en gestion de l'innovation.

Articles liés

Comment DataDome a contré une attaque DDoS de 2,45 milliards de requêtes visant une plateforme de contenu à fort trafic

En savoir plus

Comment les nouvelles API Web AI de Chrome permettent le fingerprinting matériel

En savoir plus

Comment DataDome a bloqué une attaque de scraping de 80M de requêtes visant une plateforme d'avis de premier plan

En savoir plus

Rapport sur le trafic lié à l'IA : volume élevé, faible visibilité et risque croissant

En savoir plus