attaque de mauvais bots

Pleins feux sur les menaces: lorsque les mauvais robots attaquent

Version imprimable, PDF et e-mail

Cette fin d'année ne fera pas exception, les sites de e-commerce sont plus que jamais dans le viseur des cybercriminels. Leur technique de choix ? Utiliser des bots pour lancer des attaques par déni de service distribué (DDoS), effectuer des achats frauduleux et identifier des vulnérabilités à exploiter.

À la mi-novembre, les chercheurs de Barracuda ont ainsi passé au crible une application Web test à l'aide de l'outil Barracuda Advanced Bot Protection, détectant en quelques jours seulement un nombre stupéfiant de bots et des millions d'attaques associées à quelque milliers d'adresses IP distinctes.

Lorsqu'ils se sont intéressés à la chronologie des données, les chercheurs ont également pu constater que ces bots agissent maintenant au grand jour. Au Royaume-Uni, par exemple, l'activité des bots atteint son pic en milieu de matinée et ne faiblit que vers 17 h, ce qui laisse penser que les pirates auraient en fait des horaires de bureau habituels.

bots malveillants

Poursuivez votre lecture pour en savoir plus sur les tendances identifiées par les chercheurs de Barracuda quant à la manière dont les cybercriminels usurpent des agents utilisateurs authentiques ainsi que les nouveaux comportements associés à ces attaques.

Menaces particulièrement importantes

Les bad bots — Ces robots malveillants ont été identifiés comme tels en raison de leur comportement. Les bad bots sont regroupés par agent utilisateur. Or, ce dernier n'est pas toujours lui-même malveillant. Prenons l'exemple de GoogleBot. Ces bots associés à Google analysent les sites Web afin de les faire figurer dans les résultats de recherche. Ils ne sont donc pas malveillants et ne doivent pas être bloqués. Google possède ainsi plusieurs agents utilisateurs :

bots Google

Ici, le problème est que, derrière ces agents utilisateurs bien connus, se cachent souvent des robots malveillants. Pour les identifier, les chercheurs de Barracuda font appel aux méthodes suivantes :

  1. Tendre des pièges, tels que des URL masquées ou des défis JS, car les bots ne suivent pas les liens et ne réagissent pas aux défis JS comme le ferait un utilisateur humain.
  2. Utiliser le rDNS (reverse DNS lookup) afin de contrôler la source associée au bot.
  3. Vérifier si le client tente d'accéder à des URL utilisées dans le cadre d'attaques de fingerprinting d'applications connues.
  4. Si ces méthodes ne donnent pas de résultat, les chercheurs se tournent alors vers le machine learning.

Les détails

Dans le cadre de l'observation des principaux profils de bots malveillants, les données collectées par les chercheurs de Barracuda montrent une hausse du trafic malveillant associé aux profils de bots suivants : HeadlessChrome, yerbasoftware et M12bot, suivis de navigateurs plus récents comme Microsoft Edge.

Profils de bots MALVEILLANTS – Novembre 2020

Profil de bot/agent utilisateur Part du trafic de bot malveillant
Utilisateur malveillant/agent utilisateur non standard 72,00 %
Headless Chrome 5,00 %
Safari 2,50 %
Edge 1,80 %
SEMrushBot 1,50 %

L'utilisateur malveillant/agent utilisateur non standard couvre les catégories suivantes :

  • Les bots qui se font passer pour un navigateur spécifique mais utilisent une chaîne non standard
  • Les bots qui se font passer pour un logiciel spécifique mais utilisent une chaîne non standard
  • Les bots qui se font passer pour un navigateur spécifique mais sont démasqués en raison de comportements de navigation inhabituels ou grâce à d'autres contrôles visant à les contrer
  • Les bots qui se font passer pour de « bons » bots mais sont démasqués grâce aux requêtes rDNS Lookup

Lorsqu'ils ont cherché à connaître le fournisseur d'accès à Internet (FAI) ou le numéro de système autonome (NSA) à l'origine de cette activité bot malveillante, les chercheurs ont notamment identifié des plages de sous-réseaux associées à un fournisseur de réseaux mobiles indien, mais aussi certains grands noms du cloud public. Nous pouvons alors émettre la conclusion suivante : les bots sont aujourd'hui susceptibles de traverser les frontières, bien que cela puisse varier en fonction du bot et du site ciblé.

FAI à l'origine de trafic bot MALVEILLANT – Novembre 2020

FAI Nom du système autonome Pourcentage
Airtel BHARTI Airtel Ltd. 34,96 %
Microsoft Corporation MICROSOFT-CORP-MSN-AS-BLOCK 22,00 %
Tata Teleservices ISP Tata Teleservices ISP AS 9,80 %
Amazon.com AMAZON-AES 8,23 %
Google Cloud GOOGLE 7,64 %
Amazon.com AMAZON-02 7,29 %
MEO Servicos De Comunicacoes E Multimedia S.A. 6,45 %
Limestone Networks LIMESTONENETWORKS 3,63 %

Se protéger contre les attaques de bots

Alors que les consommateurs font le plein de cadeaux, il est conseillé aux équipes de e-commerce de prendre les mesures suivantes afin de protéger leurs applications contre les robots malveillants :

Protégez vos applications avec une plateforme simple

Remonter en haut de page
Tweeter
Partager
Partager