24 Fév Pourquoi les bots et les attaques de bots sont-ils toujours un sujet de cybersécurité en 2022 ?

Posted at 16:54h in Tendances Marché by

Les attaques informatiques sont de plus en nombreuses et variées : les entreprises doivent donc redoubler d’efficacité et de réactivité pour contrer ces menaces. Dans cet interview, Stéphane COZETTE (Ingénieur Avant-Vente chez Abbakan by Ingram Micro), nous explique pourquoi les bots et les attaques de bots font partie des enjeux de la cybersécurité en 2022.

 

Il est vrai que l’on peut se demander pourquoi les bots et les attaques de bots pourraient encore représenter une menace alors qu’il semble évident, voire simpliste, de repérer un trafic donné dans un monde où se succèdent les Next Gen Firewall, les deceptors, les Web Application Firewall, etc.

Il est important de rappeler que « bot » ne signifie pas toujours « bot malveillant », il faut donc déjà réussir à faire cette distinction pour qu’une règle de protection trop restrictive ne génère pas le blocage d’une requête API, d’un flux de référencement ou de n’importe quel outil développé pour automatiser une tâche.

C’est d’ailleurs le principe fondamental de ces robots : alléger la tâche de l’humain, lui libérer du temps en effectuant pour lui des actions répétitives et/ou pénibles. Ils sont très efficaces dans ce domaine, en simulant, c’est le cas des bots modernes, les comportements humains. Par exemple, copier/coller l’URL d’une page d’aide quand un consommateur crie au secours ne nécessite plus aujourd’hui d’intervention humaine : un robot (chatbot) aura su interpréter la question et y répondre tout en imitant un interlocuteur traditionnel.

Cependant, cette capacité à imiter l’humain entraine les dérives qu’on imagine forcément : les mauvais bots viennent pour spammer, contourner des règles, infecter, scanner, aspirer du contenu, mettre à mal des ressources. Mais ils sont maintenant capables de le faire en imitant trait pour trait les comportements humains. Et l’aspect « mécanique » ou « volumétrique » de ces menaces n’est pas simple à repérer.

Si on observe le trafic Internet aujourd’hui, on peut estimer qu’environ 50% des données qui transitent sont liés à ces bots, dont une grande part issue des « bad bots ».

Si on sait le quantifier, ne peut-on pas justement opérer un blocage efficace ?

 

La difficulté est multiple : d’abord il faut repérer qu’il s’agit d’un trafic automatisé. Ensuite, s’assurer qu’il ne s’agisse pas d’un « good bot » en mission.

Sur le trafic total généré par les bots, 14% vient de robots légitimes mais dont les flux sont imités parfaitement par les bots attaquants dont les capacités à se fondre dans la masse ont grandement augmenté depuis 5 ans.

Certains sites marchands ont vu leur nouveau produit piller virtuellement : l’article est ajouté au panier, donc indisponible pour les autres acheteurs, mais l’achat n’est jamais validé. Parfois le produit est même acheté avant que le paiement soit refusé a posteriori par le système bancaire, ce qui provoque les mêmes problématiques : manque à gagner pour l’entreprise, frustration des vrais acheteurs, dégradation de l’image de la marque, etc.

Quand on analyse après coup ces opérations malicieuses, on remarque que le bot qui a généré un tel achat (on parle de « sneaker bot » en référence aux marques de chaussures qui auront été les premières à subir ce genre d’attaque) aura imité (presque) parfaitement un comportement humain pour manipuler le site marchand.

Là où le bad bot préhistorique ne prenait même pas la peine de changer le « User Agent » pour naviguer, sa version moderne tente d’imiter des déplacements de souris aléatoires… La capacité des bots à évoluer est phénoménale : de la création de simples requêtes HTTP à l’utilisation de fonctions Javascript évoluées comme le ferait un vrai navigateur en passant par l’imitation de saisie et de frappes clavier, les attaques sont de plus en plus ciblées : un bot saura s’adapter à l’applicatif voire à l’entreprise qu’il cherche à malmener.

Pour les entreprises, quels sont les autres dangers provoqués par ces bots ?

 

Ils sont nombreux et de nouveaux émergent chaque jour ; en la matière, l’imagination des attaquants n’a pas de limite.

On peut classer ces menaces par famille :

  • le vol de contenu (aspiration de site web par exemple)
  • le scan (pour trouver une vulnérabilité qu’un autre bot viendra exploiter)
  • les fraudes au paiement
  • le déni de service
  • le vol d’identité.

Un bot peut simuler la création d’un compte utilisateur pour accéder à des ressources nécessitant ce privilège. En soit, créer un compte dans un système ne semble pas une manœuvre dangereuse et peut-être que peu de protection auront été mise sur cette étape, quand les ressources auront cherché à protéger la phase de paiement. Créer un compte ne semble pas une menace. Créer 100 000 comptes peut en devenir une.

Peut-être le compte créé permet-il d’accéder à un environnement plus confidentiel (fiche tarifaire, page partenaire avec sollicitation de ressources couteuses pour l’entreprise, données confidentielles, …).

Un autre bot pourra répéter à l’infini la saisie d’un couple login/password pour générer un trafic inattendu voire réussir à s’introduire en tombant sur la bonne combinaison.

Les exemples sont nombreux, au moins autant que les anglicismes pour les définir (captcha defeat, content scraping, card cracking, credential stuffing, …).

Quelles solutions sont disponibles et efficaces pour lutter contre ces bots ?

 

La première mission est de réussir à identifier les 3 types de trafic :

  • le trafic traditionnel d’un humain bien intentionné
  • le trafic d’un « good bot »
  • l’attaque avérée d’un « bad bot »

Les modules anti-bot proposés par F5 permettent de repérer efficacement ces flux en se fondant sur l’expérience des équipes de développement combinée à l’intelligence artificielle, une alliance au service de la détection des bad bots.

Il faut réussir à trouver tous les indicateurs pour être sûr à 100% que le trafic est bien illégitime : mouvements de souris trop saccadés, frappes de clavier trop automatisées, facteurs biométriques ou géographiques (un exemple : si le navigateur est une application mobile, la résolution de l’écran est-elle attendue ? Le niveau de batterie diminue-t-il aussi de manière cohérente ?).

L’expertise de F5 dans la gestion et le traitement des flux se voit compléter par les fonctions offertes par Shape et Volterra dans la mitigation des attaques de bots contre les environnements applicatifs, qu’ils soient positionnés on-premise ou hébergés en mode multi-cloud.

Des fonctions comme « Device ID+ » permettent, par exemple, d’affecter à chaque équipement utilisateur un identifiant qui sera universellement reconnu sur l’ensemble du champ applicatif et qui permettra de manière sécurisée de le reconnaitre, lui, comme un équipement de confiance, quand les flux qui pourraient sembler légitimes mais provenant d’autres équipements seraient alors facilement reconnus comme illégitimes.

En complément, l’intelligence artificielle et le Machine Learning octroient une longueur d’avance aux systèmes de défense anti-bot de F5 pour mieux lutter contre les fraudes next-generation : chaque flux analysé, chaque décision prise par un environnement F5 Big-IP vient alimenter via API (un autre exemple de « good bot ») les services cloud de l’éditeur pour renforcer les décisions analytiques et améliorer encore, comme dans un cercle virtueux, les mécanismes de protection.

 

Pour plus d’informations sur les solutions F5, n’hésitez pas à contacter notre équipe d’experts.

Tags:
,
Print page
0 Likes