Comment DataDome a protégé des chaînes de supermarchés contre une attaque de credential stuffing sur application mobile

Dans cet article, nous examinerons en détail une attaque agressive de credential stuffing qui a visé la branche e-commerce de plusieurs chaînes de supermarchés à l’échelle mondiale. À la fin de l’attaque, qui a duré cinq jours, plus de 42 millions de requêtes avaient été bloquées grâce à la protection de DataDome.

Chiffres clés

Pendant cinq jours — du 13 juillet à 15h40 CEST au 18 juillet à 12h00 — l’API de l’application mobile utilisée par plusieurs chaînes de supermarchés mondiales a été ciblée par une attaque de credential stuffing.

Vue d’ensemble de l’attaque de credential stuffing

Le graphique ci-dessous (image 1) illustre le trafic des bots géré par notre moteur de détection tout au long des cinq jours de l’attaque. L’attaque a atteint un pic d’environ 2,3 millions de requêtes en 30 minutes à la fin du premier jour.

Image 1 : nombre de requêtes de bots traitées par le moteur de détection de bots de DataDome au cours de l’attaque

Répartition de l’attaque

Au cours de l’attaque, l’attaquant a utilisé plus de 1,3 million d’adresses IP provenant de différents systèmes autonomes (AS). L’image 2 montre la répartition des adresses IP utilisées par type de système autonome.

Image 2 : Nombre d’adresses IP utilisées pour les requêtes malveillantes par type de système autonome impliqué dans l’attaque

Indicateurs de compromission de l’attaque (IoC)

Bien que l’attaquant ait principalement utilisé des adresses IP résidentielles américaines et que les en-têtes ne présentaient pas d’incohérences flagrantes, il y a eu quelques points communs entre les requêtes :

• l’attaquant a employé deux user-agents distincts, associés aux applications mobiles ;
• les bots n’ont effectué que quelques requêtes par adresse IP, toutes étant des requêtes graphQL ;
• toutes les requêtes ont été faites depuis de nouvelles sessions ;
• aucune des requêtes effectuées par les bots n’a exécuté de JavaScript ni utilisé le SDK.

Comment l’attaque a-t-elle été bloquée ?

Grâce à notre approche de détection multi-couches, l’attaque a été neutralisée en utilisant différentes catégories de signaux indépendants. Ainsi, même si l’attaquant avait modifié une partie de son bot (par exemple, l’empreinte numérique ou le comportement), il aurait probablement été détecté à l’aide d’autres signaux et approches.

Les principaux signaux et méthodes de détection étaient basés sur des comportements anormaux :

• vitesse de connexion : les bots ont réussi à se connecter bien plus rapidement que les utilisateurs légitimes ;
• nouvelles sessions : de nombreux bots ont effectué leur toute première requête lors de la connexion ;
• longueur de cookies courte : les requêtes de nombreux bots étaient associées à des cookies de très courte durée.

Conclusion

Les attaques de credential stuffing peuvent gravement épuiser les ressources de vos serveurs, sans parler du risque d’account takeover, qui peut porter atteinte à la réputation de votre marque et à l’expérience client. Ces attaques peuvent être menées avec une ou deux adresses IP, mais les attaquants utilisent de plus en plus des méthodes massivement distribuées pour tenter de contourner les protections.

Le puissant moteur de détection multi-couches basé sur l’apprentissage automatique de DataDome analyse un vaste éventail de signaux, des empreintes digitales à la réputation, afin de détecter même les bots les plus sophistiqués. Notre nouvelle solution, Account Protect, est spécialement conçue pour identifier et bloquer les fraudes sur les comptes, qu’elles soient initiées par des bots ou des humains.

Pour lutter contre les principales menaces actuelles, il est essentiel de suivre l’évolution des empreintes digitales des bots, telles que l’utilisation de proxys, et DataDome est parfaitement équipé pour s’en charger.

Pour voir concrètement comment DataDome peut stopper les attaques de credential stuffing, réservez une démo dès aujourd’hui.