Cette fin d'année ne fera pas exception, les sites de e-commerce sont plus que jamais dans le viseur des cybercriminels. Leur technique de choix ? Utiliser des bots pour lancer des attaques par déni de service distribué (DDoS), effectuer des achats frauduleux et identifier des vulnérabilités à exploiter.
À la mi-novembre, les chercheurs de Barracuda ont ainsi passé au crible une application Web test à l'aide de l'outil Barracuda Advanced Bot Protection, détectant en quelques jours seulement un nombre stupéfiant de bots et des millions d'attaques associées à quelque milliers d'adresses IP distinctes.
Lorsqu'ils se sont intéressés à la chronologie des données, les chercheurs ont également pu constater que ces bots agissent maintenant au grand jour. Au Royaume-Uni, par exemple, l'activité des bots atteint son pic en milieu de matinée et ne faiblit que vers 17 h, ce qui laisse penser que les pirates auraient en fait des horaires de bureau habituels.
Poursuivez votre lecture pour en savoir plus sur les tendances identifiées par les chercheurs de Barracuda quant à la manière dont les cybercriminels usurpent des agents utilisateurs authentiques ainsi que les nouveaux comportements associés à ces attaques.
Menaces particulièrement importantes
Les bad bots — Ces robots malveillants ont été identifiés comme tels en raison de leur comportement. Les bad bots sont regroupés par agent utilisateur. Or, ce dernier n'est pas toujours lui-même malveillant. Prenons l'exemple de GoogleBot. Ces bots associés à Google analysent les sites Web afin de les faire figurer dans les résultats de recherche. Ils ne sont donc pas malveillants et ne doivent pas être bloqués. Google possède ainsi plusieurs agents utilisateurs :
Ici, le problème est que, derrière ces agents utilisateurs bien connus, se cachent souvent des robots malveillants. Pour les identifier, les chercheurs de Barracuda font appel aux méthodes suivantes :
- Tendre des pièges, tels que des URL masquées ou des défis JS, car les bots ne suivent pas les liens et ne réagissent pas aux défis JS comme le ferait un utilisateur humain.
- Utiliser le rDNS (reverse DNS lookup) afin de contrôler la source associée au bot.
- Vérifier si le client tente d'accéder à des URL utilisées dans le cadre d'attaques de fingerprinting d'applications connues.
- Si ces méthodes ne donnent pas de résultat, les chercheurs se tournent alors vers le machine learning.
Les détails
Dans le cadre de l'observation des principaux profils de bots malveillants, les données collectées par les chercheurs de Barracuda montrent une hausse du trafic malveillant associé aux profils de bots suivants : HeadlessChrome, yerbasoftware et M12bot, suivis de navigateurs plus récents comme Microsoft Edge.
Profils de bots MALVEILLANTS – Novembre 2020
| Profil de bot/agent utilisateur | Part du trafic de bot malveillant |
| Utilisateur malveillant/agent utilisateur non standard | 72,00 % |
| Headless Chrome | 5,00 % |
| Safari | 2,50 % |
| Edge | 1,80 % |
| SEMrushBot | 1,50 % |
L'utilisateur malveillant/agent utilisateur non standard couvre les catégories suivantes :
- Les bots qui se font passer pour un navigateur spécifique mais utilisent une chaîne non standard
- Les bots qui se font passer pour un logiciel spécifique mais utilisent une chaîne non standard
- Les bots qui se font passer pour un navigateur spécifique mais sont démasqués en raison de comportements de navigation inhabituels ou grâce à d'autres contrôles visant à les contrer
- Les bots qui se font passer pour de « bons » bots mais sont démasqués grâce aux requêtes rDNS Lookup
Lorsqu'ils ont cherché à connaître le fournisseur d'accès à Internet (FAI) ou le numéro de système autonome (NSA) à l'origine de cette activité bot malveillante, les chercheurs ont notamment identifié des plages de sous-réseaux associées à un fournisseur de réseaux mobiles indien, mais aussi certains grands noms du cloud public. Nous pouvons alors émettre la conclusion suivante : les bots sont aujourd'hui susceptibles de traverser les frontières, bien que cela puisse varier en fonction du bot et du site ciblé.
FAI à l'origine de trafic bot MALVEILLANT – Novembre 2020
| FAI | Nom du système autonome | Pourcentage |
| Airtel | BHARTI Airtel Ltd. | 34,96 % |
| Microsoft Corporation | MICROSOFT-CORP-MSN-AS-BLOCK | 22,00 % |
| Tata Teleservices ISP | Tata Teleservices ISP AS | 9,80 % |
| Amazon.com | AMAZON-AES | 8,23 % |
| Google Cloud | 7,64 % | |
| Amazon.com | AMAZON-02 | 7,29 % |
| MEO | Servicos De Comunicacoes E Multimedia S.A. | 6,45 % |
| Limestone Networks | LIMESTONENETWORKS | 3,63 % |
Se protéger contre les attaques de bots
Alors que les consommateurs font le plein de cadeaux, il est conseillé aux équipes de e-commerce de prendre les mesures suivantes afin de protéger leurs applications contre les robots malveillants :
- Installer un pare-feu de type Web Application Firewall ou une solution WAF-as-a-Service et s'assurer de leur bonne configuration
- Veiller à ce que ces solutions de sécurité s'accompagnent d'une protection anti-bots permettant de détecter des attaques automatisées et sophistiquées
- Se doter d'une protection contre le credential stuffing pour contrer toute tentative de piratage de compte
Protégez vos applications avec une plateforme simple
Brett Wolmarans est le directeur Application Security chez Barracuda.