Prévisions de l'AppSec 2021 : Les Bots deviennent plus importants et plus intelligents

Version imprimable, PDF et e-mail

This is the first of a three-part series of AppSec predictions for 2021.  You can read the complete series here.

Chaque année (environ), je publie nos prévisions en matière de sécurité des applications en examinant les trois menaces les plus inquiétantes pour l'année à venir. Ces deux dernières années, les prévisions ont porté sur : les attaques par credential stuffing/piratage de compte, les attaques visant les API et les attaques visant les chaînes logistiques.

Cette année, la situation est légèrement différente. Bien qu'un peu plus ciblées, les prévisions restent globalement similaires. L'an dernier, nous avons enrichi notre service de renseignements sur les menaces (Threat Intelligence Service, qui fait partie de Barracuda Advanced Bot Protection) avec de nouveaux capteurs et de nouvelles données. Nous avons également tenu compte des échanges avec nos clients ainsi que d'autres recherches sur les menaces pour établir nos prévisions, dont voici la première :

Les bots gagneront en intelligence et en popularité auprès du grand public

D'une certaine manière, la démocratisation des bots auprès du grand public est en partie imputable à l'ennui provoqué par la pandémie. La popularité des bots, et plus particulièrement des sneaker bots, ne cesse de se renforcer depuis quelques années. Une poignée d'individus utilisaient ces bots pour mettre la main sur les dernières baskets ou d'autres articles populaires en nombre limité dès leur sortie, et les revendre ensuite à profit. Cette tendance s'accentue depuis quelque temps tandis que le lancement des nouvelles cartes graphiques AMD RX6000, des processeurs Ryzen série 5000 et de la Playstation 5 a conduit une grande majorité des gens intéressés par ces produits à se tourner vers les bots.

 
 

 
À ce propos, l'exemple d'AMD est assez intéressant. Il prévoit en effet des mesures spécifiques de neutralisation des bots, notamment l'utilisation de CAPTCHA, une limite d'achat par compte, les réservations ou encore les solutions de gestion des bots. Or, nombre de ces solutions n'intimident pas les développeurs de bots modernes. Les bots peuvent assez facilement contourner les CAPTCHA, dont reCAPTCHAv3, ainsi que la plupart des autres systèmes, à l'exception des solutions avancées de gestion des bots.

reCAPTCHA illustre parfaitement comment certaines solutions de neutralisation des bots ont tendance à contrarier davantage les individus que les bots. L'ancienne version du reCAPTCHA, le fameux test de Google basé sur des images, a fait place il y a quelques années à la version 3, qui repose sur la « réputation » des utilisateurs. Votre réputation prend notamment en compte le comportement de votre compte Google, à noter que des services vous proposent désormais de l'améliorer.

Afin de détecter et bloquer les bots, on a généralement recours à la réputation IP puis au blocage des plages IP de datacenter. Il existe à présent un certain nombre de services qui proposent des plages IP résidentielles pour contourner ces restrictions. Certains d'entre eux relèvent de services VPN que les individus utilisent pour contourner les restrictions de contenu, notamment les IP résidentielles pour déjouer les contrôles de réputation IP.

Outre l'achat et la revente d'articles en quantités limitées, l'essor des bots relève également en grande partie de facteurs socio-économiques. Premièrement, les bots sont chers. Les très bons coûtent des milliers, et certains individus les louent pour gagner de l'argent. Au-delà de l'achat du bot, il faut aussi payer un abonnement à de bons proxies résidentiels, car tous les grands sites bloquent les plages d'IP suspectes courantes, par exemple celles de certains pays et de certains datacenters. Par conséquent, acheter et exploiter un bot revient assez cher. Cependant, nos recherches montrent que de plus en plus de personnes se lancent dans le botting, surtout lors de grandes occasions. Les bots représentent un secteur économique à part entière, avec des marchés tels que Tidal, Botmart, Botbroker, etc. Certains de ces marchés comportent même des intermédiaires qui veillent à ce que vous ne vous fassiez pas escroquer lorsque vous achetez ou louez des bots. La plupart des développeurs de bots disposent de leurs propres canaux d'assistance sur Discord et proposent un service d'assistance digne de ce nom. L'économie des bots est relativement importante et est appelée à poursuivre sa croissance. Elle repose par ailleurs sur la rareté. En effet, les places auprès des cook groups, c'est-à-dire les groupes chargés de fournir l'assistance et les informations nécessaires aux utilisateurs de bots, sont limitées et particulièrement chères.

Pour en revenir au botting et à la revente, nous avons assisté ces derniers mois à une multiplication des publications, sur les différents forums, de la part de personnes se lançant dans le botting. Les gens éprouvent des difficultés financières et voient là un moyen d'arrondir les fins de mois. Certains cherchent à se lancer dans le botting à moindre coût et envisagent d'investir leurs économies dans la location de bots afin de gagner un peu d'argent pendant les vacances. De plus en plus de ressortissants européens et canadiens se lancent dans cette activité, jusqu'alors dominée par les Américains. À noter que parmi ces individus, on trouve un grand nombre d'étudiants.

Dans notre numéro Threat Spotlight de début décembre 2020, nous nous sommes penchés sur deux traits de comportement propres aux bots. Nous avons examiné les données de nos systèmes de protection avancée contre les bots et avons constaté deux choses : premièrement, les développeurs de bots semblent avoir des horaires réguliers ; et deuxièmement, les mauvais bots semblent se dissimuler assez bien au sein du trafic ordinaire des navigateurs. Il n'est donc pas étonnant que Gartner prévoie dans son Magic Quadrant 2020 consacré aux WAF que la protection contre les bots occupe désormais une place grandissante dans la protection des applications Web.

D'ici 2023, plus de 30 % des API et des applications Web utilisées par le public seront protégées par des services cloud de protection des applications Web et des API (WAAP) regroupant les éléments suivants : protection contre les attaques par déni de service distribué (DDoS), neutralisation des bots, protection des API et pare-feux d'applications Web (WAF). Cela représente une multiplication par plus de deux par rapport à aujourd'hui (moins de 15 %).
Source:  Magic Quadrant 2020 de Gartner pour les pare-feux d'applications Web.

Bien que nous parlions de bots, les bonnes vieilles files d'attente à l'occasion de la commercialisation d'articles en édition limitée restent d'actualité. La sortie d'une paire de baskets à Singapour a provoqué des attroupements massifs, au mépris des restrictions liées à la pandémie, ce qui a conduit le gouvernement à fermer temporairement le magasin !

Rendez-vous la semaine prochaine pour le deuxième volet de la série. En attendant, rejoignez les experts en sécurité des applications de Barracuda pour une table ronde instructive sur les tendances actuelles de la cybersécurité, la sécurité des applications Web, les prévisions technologiques pour 2021 et bien plus encore. Le webinaire est gratuit et disponible à la demande :

Prévisions 2021 en matière de sécurité des applications : attaques par bots et visant les API et les chaînes logistiques
Regardez le webinaire ici

Remonter en haut de page
Tweeter
Partager
Partager