Que sont les proxys de FAI et pourquoi les opérateurs de bots les adorent-ils ?

L’équipe de recherche sur les menaces de DataDome consacre beaucoup de ses efforts à l’étude des proxys, car ils sont l’un des éléments clés utilisés pour étendre les attaques par bots. Alors que les petites attaques peuvent être facilement menées à partir de quelques machines virtuelles louées par un attaquant, les attaques massivement distribuées (qu’il s’agisse de scraping, de scalping ou de credential stuffing) utilisent souvent des proxys pour donner l’impression que les requêtes proviennent de nombreux appareils répartis dans le monde entier.

Les différents types de proxys

Il existe différents types de proxys. Les proxys résidentiels sont basés sur des IP résidentielles fournies par des fournisseurs d’accès à Internet (FAI) bien connus, tels qu’AT&T et Comcast, tandis que les proxys de centres de données utilisent des IP détenues et gérées par des centres de données.

Mais il existe un autre type de proxy qui combine les avantages des proxys résidentiels et des proxys de centres de données : le proxy de FAI (anciennement connu sous le nom de “proxy résidentiel statique”).

Proxys de FAI vs. proxys résidentiels : pourquoi est-ce important ?

Un proxy de FAI (ou proxy ISP en anglais) est une adresse IP hébergée dans un centre de données mais enregistrée au nom d’un fournisseur d’accès à Internet (FAI). Avec un proxy de FAI, l’IP semble être liée à un FAI (en particulier un FAI de bonne réputation tel qu’AT&T ou Verizon) alors que l’IP se trouve en réalité dans un centre de données.

Les proxys de FAI combinent le meilleur des deux mondes :

1. la vitesse et la fiabilité des proxys de centres de données ;
2. la bonne réputation des proxys résidentiels.

Les proxys de FAI bénéficient des avantages des proxys de centres de données et des proxys résidentiels, ce qui permet d’obtenir des adresses IP à haute vitesse et de haute qualité qui peuvent contourner facilement les solutions de sécurité basées sur les IP.

Les proxys résidentiels sont des IP liées à des FAI, mais ne se trouvent pas dans des centres de données. Au lieu de cela, les proxys résidentiels acheminent les requêtes via de véritables appareils d’utilisateurs. La plupart du temps, ces proxys sont obtenus en utilisant des extensions de navigateur malveillantes, des SDK mobiles et des appareils infectés.

Qu’est-ce qu’un proxy résidentiel statique ?

Les proxys résidentiels statiques sont identiques aux proxys de FAI, il s’agit simplement d’un terme plus ancien. Le terme « proxies résidentiels statiques » a été utilisé parce que, contrairement aux proxies résidentiels – qui ont des IP situées sur des appareils d’utilisateurs humains qui peuvent voyager et se déplacer sur différents réseaux, ainsi que des fournisseurs d’accès à l’internet qui peuvent changer les IP – les proxys des FAI sont situés dans des centres de données.

À quoi servent les proxys de FAI ?

Les proxys de FAI peuvent être utilisés pour toute opération en ligne à grande échelle où l’on souhaite rester discret. Ils sont idéaux pour les bots de web scraping, les bots de scalping ou les attaques de couche réseau de type DDoS low-and-slow. Ils sont également utilisés pour la surveillance des réseaux sociaux, le suivi du référencement SEO et toute activité nécessitant la gestion de plusieurs comptes en ligne.

Les proxys de FAI sont très populaires parmi les scalpers qui souhaitent acheter en grandes quantités des produits en édition limitée dès qu’ils sont disponibles.

La plupart des fournisseurs de proxys résidentiels proposent également des plans de proxys de FAI. En général, le prix est légèrement plus élevé pour les proxys de FAI, et les utilisateurs doivent payer pour chaque adresse IP qu’ils utilisent (contrairement aux proxys résidentiels où les utilisateurs paient souvent uniquement pour la bande passante).

Dans un article de blog précédent, nous avons présenté l’un des modèles d’apprentissage automatique (machine learning, ou ML) que nous utilisons pour identifier les proxys résidentiels partagés. Mais pour détecter les proxys de FAI, en particulier les proxys de FAI privés, nous adoptons une approche différente.

Les gens sont prêts à payer plus cher pour utiliser les IP de FAI de manière privée, donc la nature du trafic des bots provenant des IP de FAI privées est différente de celle provenant des proxys résidentiels partagés. C’est pourquoi nous avons développé des approches spécifiques pour détecter les proxys de FAI privés (qui seront abordées dans de futurs articles).

Utilisation des proxys de FAI en situation réelle

En utilisant les données clients, nous mesurons l’utilisation des proxys de FAI par les bots malveillants et nous voyons comment cela affecte les sites web et les applications mobiles en situation réelle.

Statistiques

Le trafic provenant de proxys de FAI privés peut être bloqué en toute sécurité. Les tableaux et graphiques ci-dessous montrent les statistiques du trafic provenant de proxys de FAI qui a été bloqué (et pas seulement classé) par DataDome. Ces données sont d’autant plus fiables que nous savons qu’il s’agit du trafic que nous avons observé et bloqué en production, ce qui n’a pas engendré de faux positifs.

Le tableau ci-dessous montre le nombre distinct d’IP identifiées comme proxys de FAI (ISP proxy) sur lesquelles nous avons bloqué le trafic sur une période de deux semaines par système autonome.

Les deux plus grands fournisseurs d’IP de proxys de FAI sont AT&T et Sprint. Ils ont respectivement 139 000 et 131 000 IP de proxys de FAI distinctes qui ont été bloquées sur une période de deux semaines sur des sites web et des applications mobiles protégés par DataDome.

Nous voyons également d’autres FAI américains bien connus tels que :

• Comcast : 29 000 IP de proxys ISP
• Verizon : 20 000 IP de proxys ISP

Une autre observation est que la taille des plages d’IP (CIDR) liées aux IP de proxys de FAI est relativement petite, principalement entre /18 (16 384) et /24 (256), ce qui confirme les conclusions d’autres chercheurs en sécurité qui ont travaillé sur les proxys de FAI.

Notez que toutes les petites plages CIDR provenant des fournisseurs d’accès à Internet ne sont pas nécessairement utilisées comme proxys de FAI. Parmi elles, se trouvent de nombreuses plages d’IP d’entreprises ou d’organisations.

Comment les proxys de FAI impactent-ils les sites web et les applications mobiles ?

Le graphique ci-dessous montre le nombre de requêtes de bots provenant de proxys de FAI au fil du temps pour les deux systèmes autonomes les plus ciblés.

Sur une période de deux semaines, nous avons observé un flux constant de requêtes de bots malveillants provenant des proxys de FAI d’AT&T. Le volume dépassait les 200 millions de requêtes de bots par jour rien qu’avec les proxys privés d’AT&T.

Comment les bots utilisent-ils les proxys de FAI pour attaquer les entreprises ?

Comme nous l’avons expliqué précédemment, les proxys de FAI ont tendance à être encore plus chers que les proxys résidentiels, en particulier les proxys de FAI privés qui ne sont pas partagés par plusieurs utilisateurs.

Il n’est donc pas surprenant d’observer que la majorité des requêtes de bots malveillants provenant de proxys de FAI sont des bots de scalping, comme le montre le graphique circulaire ci-dessous.

Notez qu’il y a un certain chevauchement entre le scalping et le scraping. En effet, un volume significatif de bots qui envoient des requêtes pour acheter des produits en édition limitée testent simplement la disponibilité du produit pour être les premiers à l’obtenir. Les requêtes qui ciblent principalement les pages produits ou les API liées aux produits sont classées comme du « scraping », mais elles font partie d’une attaque de scalping plus large.

Quels sont les secteurs les plus ciblés par les bots utilisant des proxys de FAI ?

Parmi nos 20 principaux clients les plus ciblés par les proxys de FAI, aucun secteur n’est épargné. Bien que les sites web et applications d’e-commerce soient les plus visés, nous observons également une utilisation massive des proxys de FAI pour scraper les sites de petites annonces et les sites de transport.

Les proxys de FAI sont également utilisés pour le credential stuffing et les faux votes/fausses vues sur les réseaux sociaux et les services de streaming. De plus, les proxys de FAI de haute qualité sont utilisés pour commettre des fraudes (comme la fraude publicitaire, par exemple).

Comment les bots avancés opèrent-ils depuis des proxys de FAI ?

Les bots malveillants qui utilisent des proxys de FAI sont généralement très avancés. Compte tenu du coût élevé de ces proxys, les développeurs de bots qui les exploitent ont tendance à avoir déjà mis en œuvre les tactiques courantes telles que :

• la falsification des empreintes digitales,
• l’utilisation d’en-têtes HTTP cohérents,
• l’exécution de JavaScript et la prise en charge des cookies,
• le contournement des CAPTCHA.

Il est probable qu’un nombre croissant de bots sophistiqués qui accèdent à votre site web, votre application mobile et vos API utilisent des proxys de FAI. Cependant, nous ne voyons pas un volume significatif de bots simples les utilisant. Par conséquent, si votre site web ou vos applications mobiles sont ciblés par des bots opérant depuis des proxys de FAI, des techniques de protection simples telles que les politiques de limitation de taux des adresses IP ou les CAPTCHA traditionnels ne seront pas efficaces.

Parce que les IP des proxys de FAI sont de haute qualité, vous ne pouvez pas compter uniquement sur des solutions de sécurité basées sur les IP pour arrêter ces menaces (c’est l’une des raisons pour lesquelles les WAF ne sont pas suffisants).

Conclusion

Les proxys de FAI privés combinent la vitesse et la fiabilité des proxys de centres de données avec la bonne réputation des proxys résidentiels. Offrant une connexion à faible latence qui semble provenir de systèmes autonomes réputés, les proxys de FAI sont largement utilisés par les bots de scalping pour acheter des baskets en édition limitée, des consoles de jeux, des processeurs grahiques et des NFT.

Une analyse réalisée sur les sites web et applications protégés par DataDome montre qu’aucun secteur d’activité n’est épargné par les bots utilisant des proxys de FAI. Des sites de e-commerce et applications mobiles aux sites de petites annonces et réseaux sociaux, toutes les industries font face à des volumes significatifs de trafic de bots sophistiqués provenant de proxys de FAI.

C’est pourquoi il est préférable de s’appuyer sur une solution de gestion de la fraude qui prend en compte bien plus que la qualité de l’adresse IP d’une requête. Une solution complète examinera les empreintes digitales, les en-têtes HTTP, le comportement de navigation, les versions des appareils, les user-agents, et bien plus encore.

La solution de détection des bots et de lutte contre la fraude en ligne de DataDome protège les sites web, les applications mobiles et les API contre toutes les formes de bots malveillants, les bloquant en quelques millisecondes après leur arrivée. Pour voir combien de bots ciblent actuellement votre site web, commencez votre essai gratuit. L’installation ne prend que quelques minutes et ne nécessite aucune information de carte de crédit.