DataDome

Évolution des bots – les principales menaces actuelles

Table des matières
Bot management Account fraud
Paige Tester, Director of Content Marketing
30 Jan, 2023
|
min

Les bots évoluent et deviennent de plus en plus sophistiqués chaque jour.

Les bots évoluent rapidement, surtout depuis quelques années, car l’utilisation d’Internet pour le commerce et la communication a explosé. Mais quels outils permettent aux développeurs de bots et aux fraudeurs de continuer à s’adapter pour contourner les nouvelles mesures de sécurité ? Cet article traitera de l’évolution des bots et des menaces en ligne, notamment :

Qu’est-ce qui rend les bots et les menaces automatisées plus sophistiqués ?

Qui est menacé ?

Conclusion

Qu’est-ce qui rend les bots et les menaces automatisées plus sophistiqués ?

Distributed Attack

Les distributed attacks

Les proxys permettent aux bots d’accéder facilement à des millions d’adresses IP à utiliser. Dès qu’une adresse IP est bloquée, les bots peuvent en utiliser une autre. Les attaques provenant de 100 adresses IP distinctes ont moins de chances d’être détectées par les filtres que 100 attaques provenant d’une seule adresse IP. Les proxys peuvent être coûteux, mais certains cybercriminels sont prêts à payer cher pour obtenir le résultat qu’ils souhaitent, que ce soit les données de vos clients ou autre chose.

En mai 2022, nous avons été témoins d’une attaque par credential stuffing contre l’un de nos clients qui s’appuyait fortement sur des distributed attacks. En quatre jours, l’attaquant a effectué près de 108 millions de tentatives de connexion malveillantes et a utilisé 91 340 141 adresses IP situées dans le monde entier. Chaque adresse IP n’a effectué que 1,18 tentative de connexion malveillante en moyenne, et les adresses IP étaient pour la plupart clean.

Aucune des adresses IP n’avait été utilisée pour des activités malveillantes contre l’un de nos clients la semaine précédant l’attaque. Et comme l’attaquant utilisait des adresses IP distribuées, l’attaque n’aurait pas été stoppée par une protection classique telle que les pare-feux d’application Web (WAF) et la limitation de débit.

Quality IP

Les IP de qualité

Les développeurs de bots consacrent de plus en plus d’argent à des proxys résidentiels de qualité. Les adresses IP résidentielles ayant une meilleure réputation, elles sont beaucoup moins susceptibles d’être bloquées que les proxys des data centers. Les proxys résidentiels permettent aux bots de garder l’anonymat et de continuer à attaquer.

Selon notre étude 2022 Bot Proxy Landscape, en une semaine, des bots ont exploité environ 5,7 millions de proxys de data centers et 6,2 millions de proxys résidentiels. Les proxys résidentiels sont de meilleure qualité, mais plus chers, car ils correspondent au même type d’adresse IP que celle utilisée par les humains. Ils sont donc moins souvent bloqués que les proxys des data centers. Les bots disposent d’un énorme réservoir d’adresses IP de qualité dans lequel ils peuvent puiser pour continuer à attaquer aussi longtemps qu’ils le souhaitent.

Forged Fingerprint

Les empreintes digitales falsifiées

Chaque utilisateur d’Internet a une empreinte digitale distincte comprenant divers détails sur la façon dont il accède à Internet. Les empreintes digitales comprennent :

  • les empreintes digitales HTTP, basées sur les en-têtes HTTP (côté serveur) ;
  • les empreintes digitales TLS, basées sur les métadonnées extraites pendant la liaison TLS (côté serveur) ;
  • les empreintes digitales du navigateur, d’après des informations sur le navigateur, l’appareil et le système d’exploitation (OS) collectées à l’aide de JS (côté client, dans le navigateur) ;
  • les empreintes digitales mobiles, d’après des informations collectées sur l’appareil et le système d’exploitation à l’aide d’un SDK (côté client, dans une application mobile).

Contrairement aux empreintes digitales réelles, les bots peuvent falsifier leurs empreintes digitales pour cacher leur véritable identité et ressembler davantage à des utilisateurs humains. Puppeteer Extra Stealth, par exemple, falsifie automatiquement son empreinte digitale, et les CAPTCHA sont falsifiés à l’aide de fermes de CAPTCHA. Si les empreintes digitales ne sont pas suspectes (notamment celles liées aux navigateurs sans tête et aux cadres automatisés), les bots passeront probablement inaperçus.

Human Behavior Click

Un comportement plus proche de l’homme

Outre les empreintes digitales, les signaux comportementaux sont incroyablement importants pour déterminer si un utilisateur est un humain ou un bot. Le comportement inclut généralement des éléments tels que les mouvements de la souris, les événements tactiles, la vitesse de frappe et la manière dont l’utilisateur navigue sur le site. Les signaux comportementaux sont souvent introduits dans les modèles de machine learning pour détecter si le comportement d’un utilisateur correspond suffisamment bien à un comportement humain.

Imiter le comportement humain

Les développeurs de bots ont désormais accès à un éventail de méthodes permettant d’imiter le comportement humain, par exemple imposer des mouvements de souris non linéaires. Plusieurs bibliothèques open-source ont été développées pour que davantage de bots puissent échapper à la détection en se basant sur des signaux comportementaux. Les solutions de gestion des bots comparent le comportement des utilisateurs inconnus à celui des humains connus. Il est donc essentiel qu’un bot ait l’air aussi humain que possible.

Bots utilisant le machine learning (ML)

Le machine learning permet aux bots de ne pas être détectés et d’imiter le comportement humain. Par exemple, les reCAPTCHA d’image de Google ont servi à former les modèles de ML de reconnaissance d’images et d’audio de Google. Des développeurs de bots malveillants ont ensuite pu utiliser les mêmes modèles pour permettre à leurs bots de résoudre les défis reCAPTCHA imposés par Google.

Le machine learning est utilisé dans le développement de bots pour deux raisons principales :

  • Générer un comportement humain réaliste, principalement par les mouvements de souris. Les attaquants peuvent utiliser des approches de réseaux génératifs adverses pour générer un flux de mouvements de souris qui ressemblent à un comportement humain.
  • Résoudre les tests CAPTCHA avec la reconnaissance audio/image. Les développeurs de bots peuvent utiliser une bibliothèque open source, former leur propre réseau neuronal ou exploiter des API externes (par exemple de Google Cloud) pour accéder à des modèles de ML.

Bots spécifiques au site

La plupart des bots sont des outils à usage général qui peuvent être utilisés sur plusieurs plateformes et sites. Mais comme la protection contre les bots est devenue plus efficace, les développeurs ont trouvé un nouveau moyen d’éviter d’être facilement détectés : des bots spécifiques à un site, conçus pour être utilisés sur un site web, une application mobile ou une API.

Les bots spécifiques à un site peuvent être mieux programmés pour que leur comportement et leurs empreintes digitales correspondent davantage aux clients humains qui utilisent normalement le site, l’appli ou l’API.

Certains bots sont spécifiques à une attaque (plutôt qu’à un site), et sont fabriqués pour un certain type d’attaque, notamment le scalping ou le scraping. Ces bots cherchent avant tout à rentabiliser leurs attaques, que ce soit pour le développeur du bot, pour le client qui utilise le bot as a service (BaaS), ou pour les deux.

JavaScript

Les attaquants peuvent aujourd’hui facilement créer des bots capables d’exécuter du JavaScript (JS). Des bibliothèques open-source telles que Puppeteer, Playwright et Selenium servent à équiper les headless browsers, et les bots as a service génèrent des navigateurs dans le cloud pour le compte de leurs clients, tous capables d’exécuter du code JS. JavaScript peut permettre aux bots d’exécuter des actions malveillantes et de ne pas être détectés en ayant l’air aussi humains que possible.

Résolution de CAPTCHA

À partir de nos données clients, nous savons que la moitié de tous les CAPTCHA traditionnels validés sont résolus par des bots. Les avancées dans le domaine du machine learning et l’utilisation de l’humain via les fermes de CAPTCHA ont permis aux bots de contourner les CAPTCHA traditionnels avec une relative facilité. Par conséquent, les entreprises qui utilisent un CAPTCHA comme unique ligne de défense contre les bots constatent que cette stratégie est inefficace.

C’est pourquoi le moteur de protection contre les bots DataDome utilise le CAPTCHA comme l’un des milliards (un billion par jour, plus précisément) de signaux pour déterminer si une demande provient d’un être humain ou d’un bot. Notre CAPTCHA est le premier CAPTCHA entièrement conforme à la vie privée, sécurisé et user-friendly du marché. Le DataDome CAPTCHA est complètement intégré à notre moteur de détection de bots, offrant une protection supérieure grâce aux signaux de détection agrégés de toutes les applications mobiles, sites web et API protégés de nos clients.

DataDome est le premier fournisseur à garantir que 99,99 % des utilisateurs réels ne verront pas de CAPTCHA. Et si un utilisateur réel voit le CAPTCHA, il passera un test très simple, hautement accessible aux personnes atteintes de troubles visuels, avec des défis audio disponibles en 13 langues.

Bots as a Service, BaaS

Disponibilité des bots as a service

Jusqu’à récemment, il fallait savoir coder des bots, falsifier des empreintes digitales et faire tourner des proxys de manière cohérente pour attaquer un site web. Aujourd’hui, les fournisseurs de bots as a service (BaaS) se chargent de tout le travail de codage et laissent les utilisateurs payer pour faire fonctionner les bots à grande échelle. Les personnes n’ayant aucune connaissance en matière de programmation de bots peuvent utiliser des bots pour toutes sortes d’attaques, généralement de type “scraping” ou “scalping” (par exemple, les sneaker bots).

Un BaaS est essentiellement une API REST. Les utilisateurs fournissent l’URL qu’ils souhaitent scraper, et ne payent que lorsque la requête a abouti. L’utilisateur n’a rien à payer si la requête est bloquée. Les utilisateurs n’ont pas non plus à se soucier de la bande passante du proxy, qui peut être coûteuse.

BaaS Schema

Les menaces sont plus fréquentes et plus intenses, maintenant que les attaquants peuvent accéder au BaaS pour simplifier le scraping et d’autres activités malveillantes sans perdre de temps ou d’argent dans des tentatives infructueuses. Pour contourner les attaques, les entreprises doivent s’assurer que les menaces sont bloquées dès la première requête. Vous devez également pouvoir examiner vos menaces en détail pour mieux comprendre d’où elles viennent et comment défendre au mieux votre entreprise et vos clients.

Qui est menacé ?

Les cibles des attaques de bots n’ont pas beaucoup changé au cours des dernières années. Tout site web qui vend des produits ou des services, et qui traite les paiements de ses clients, se retrouvera la cible d’une multitude de bots à des fins malveillantes. Certains bots visent à prendre entièrement le contrôle de comptes, d’autres tentent de collecter les informations de paiement des clients, et d’autres encore vont extraire des annonces et des informations de prix exclusives pour détruire votre avantage concurrentiel.

E-commerce

Les sites de commerce en ligne, les applications mobiles et les API ont toujours été la cible des bots, en particulier des scrapers et des scalpers. Les problèmes de bots sont encore plus graves sur les sites proposant des produits en édition limitée tels que des sneakers, des GPU et certaines consoles de jeu. Les attaques de scraping et de scalping peuvent consommer une bande passante significative, détourner votre équipe informatique de problèmes importants et rendre beaucoup plus difficile pour vos clients humains de faire leurs achats pour les articles qu’ils souhaitent.

Plus que jamais, les sites d’e-commerce doivent disposer de solutions de gestion des bots robustes et efficaces pour que les clients puissent acheter sans se soucier de plantages du site ou de la vente rapide des articles en quelques secondes.

Streaming & abonnement

À mesure que le streaming s’est répandu ces dernières années, nous avons constaté une augmentation des attaques de bots visant les sites de streaming et d’abonnement, leurs applications et leurs API. Étant donné que ces services ne sont généralement pas gratuits et nécessitent un abonnement mensuel, certaines personnes sont prêtes à payer (moins que le prix normal) pour obtenir un accès via un compte volé. Il y a même eu une augmentation des publicités sur les médias sociaux (comme Instagram, TikTok et Facebook) promouvant des services offrant des informations d’identification de compte volées.

Étant donné que les comptes de streaming sont très demandés, nous avons constaté une augmentation des account takeover (ATO), généralement par le biais d’attaques de credential stuffing. Les services de streaming et d’abonnement devraient prendre des précautions particulières pour choisir une solution de gestion des bots qui sécurisera les comptes de leurs clients tout en les protégeant contre tous les autres types d’attaques de bots.

Crypto, jeux de hasard, petites annonces et bien plus encore

Il convient de rappeler que toute plateforme utilisée pour acheter, vendre ou traiter des paiements est une cible potentielle des bots malveillants, qu’ils tentent l’account takeover (ATO), de commettre une fraude de paiement, d’effectuer un card cracking ou du scraping. D’autres industries couramment ciblées comprennent (mais sans s’y limiter) :

Conclusion

Les bots deviennent de plus en plus sophistiqués chaque jour, en raison de la persistance des cybercriminels qui les développent et les exploitent. Les solutions de gestion des bots doivent être tout aussi dévouées et persévérantes pour détecter en continu de nouveaux types d’attaques de bots avant qu’ils ne puissent causer des dommages aux entreprises protégées.

Les distributed attacks et les adresses IP de haute qualité empêchent les WAFs et la limitation de débit d’être efficaces. Les empreintes falsifiées et le comportement semblable à celui des humains, grâce au machine learning, aux fermes à CAPTCHA, et plus encore, ont rendu essentiel le recueil et l’analyse de signaux supplémentaires pour détecter les divergences suspectes. L’essor des services BaaS a permis à quiconque de déployer des bots à grande échelle contre n’importe quelle plateforme et point d’accès, augmentant ainsi le nombre total d’attaques de bots.

Les menaces ne vont pas régresser. DataDome offre la protection contre les bots la plus rapide, la plus sécurisée et la plus conviviale du marché, avec un taux de faux positifs extrêmement faible (0,01 %) et un CAPTCHA inégalé. Si vous souhaitez voir comment cela fonctionne et poser des questions à un expert sur la manière dont DataDome reste en avance sur l’évolution des menaces des bots, réservez votre démonstration dès aujourd’hui.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés