Pourquoi les entreprises ne parviennent-elles pas à contrer la flambée des attaques de bots ?


This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

La montée en puissance des attaques automatisées rend impérative la gestion des bots. Autrefois, l’utilisation des bots se limitait à de petites tentatives de scraping ou de spamming. Mais aujourd’hui, les choses ont bien changé. Les bots servent à s’emparer de comptes d’utilisateurs, à mener des attaques DDoS, à tromper les API, à extraire du contenu sensible et des informations sur les prix, etc.

Une image contenant objet d’extérieur, bleu

Description générée automatiquement

Malgré la gravité de ces menaces, les entreprises les prennent-elles au sérieux en adoptant des solutions de gestion des bots ? La réponse est non. Beaucoup refusent encore d’y croire. Elles tentent de contenir les bots en utilisant des ressources/solutions internes, et compromettent au passage la sécurité des utilisateurs. Dans une étude intitulée « Development of In-house Bot Management Solutions and their Pitfalls », des chercheurs en sécurité du Centre d’innovation de Radware soulignent que la gestion des bots par le biais de ressources internes fait plus de tort que de bien.

Alors que les bots malveillants représentent 22,39 % du trafic, les solutions internes n’en détectent que 11,54 %, ce qui est plus qu’insuffisant. Et ce n’est pas tout : près de 50 % des 11,54 % détectés sont des faux positifs.

Schéma 1 : Pourcentage de bots malveillants détectés par des solutions internes par rapport à leur nombre réel

[Sur le même thème : Protéger une compagnie aérienne des mauvais robots : étude de cas]

Comment expliquer cette inefficacité des solutions internes ? Avant d’aller plus loin, penchons-nous sur quelques facteurs essentiels.

Plus de la moitié des bots malveillants émanent d’États de taille modeste

Une analyse comparative de la taille des pays et de la proportion de leurs trafics de bots respectifs par rapport au volume total révèle une forte activité des États de taille modeste. Prenons l’exemple d’Andorre, minuscule principauté européenne connue pour être un paradis fiscal. Celle-ci ne faisant pas partie de l’Union européenne (UE), elle n’a aucune obligation de partager les données stockées sur son sol. Les pirates utilisent donc des serveurs situés en Andorre pour lancer des attaques de bots, les données étant à l’abri.

Schéma 2 : Origine des bots malveillants par pays  

Les pirates informatiques ont maintenant recours à des techniques perfectionnées pour passer au crible des milliers d’adresses IP et échapper au filtrage géographique du trafic. Quand les bots émanent de lieux géographiques variés, les solutions heuristiques basées sur des filtres IP ou géographiques deviennent inutiles. Pour détecter les visiteurs suspects, il faut cerner leurs intentions. 

Un tiers des bots malveillants peuvent imiter le comportement humain

La gestion des bots est complexe et nécessite une technologie dédiée, maîtrisée par des experts ayant une connaissance approfondie des comportements des bons et mauvais bots. Ces bots peuvent reproduire par mimétisme le comportement humain (comme les mouvements de la souris et les frappes au clavier) pour berner les systèmes de sécurité.

Les bots sophistiqués sont répartis sur des milliers d’adresses IP ou d’identifiants d’appareils, et peuvent se connecter via des IP aléatoires pour passer sous le radar. Mais cette furtivité ne s’arrête pas là. Ces bots sophistiqués sont capables d’anticiper votre riposte. Ils savent qu’en plus des adresses IP aléatoires, la localisation géographique est un autre levier qu’ils peuvent actionner. Les bots exploitent différentes combinaisons d’agents utilisateurs pour échapper aux mesures de sécurité internes.

Les solutions internes n’ont pas de visibilité sur les différents types de bots, et c’est bien là le problème.  Elles sont alimentées par des données recueillies en interne, et manquent de renseignements internationaux sur les menaces. La gestion des robots est une niche nécessitant une compréhension approfondie et une recherche continue pour éviter de se laisser distancer par les meilleurs pirates informatiques.

Les entreprises présentes dans divers secteurs commencent dans un premier temps par déployer des mesures internes quand elles sont confrontées à des robots malveillants. Mais, à leur grand désarroi, ces solutions échouent souvent à reconnaître les stratagèmes sophistiqués des bots.

Recommandations

Authentification par test défi-réponse : L’authentification par test défi-réponse aide à filtrer les bots de première génération. Il existe différents types d’authentification par défi-réponse, les CAPTCHA étant les plus répandus. Cependant, l’authentification par défi-réponse n’est utile que pour filtrer les agents/navigateurs obsolètes et les scripts automatisés rudimentaires ; elle ne gêne en rien les robots sophistiqués capables d’imiter le comportement humain.

Authentification stricte pour les API : La généralisation des API entraîne une multiplication des attaques sur les interfaces mal protégées. Les API vérifient généralement le statut d’authentification, mais pas l’authenticité de l’utilisateur. Les pirates exploitent ces failles de diverses manières (dont le détournement de session et l’agrégation de comptes) pour imiter les véritables appels d’API. Des mécanismes d’authentification stricts peuvent contribuer à prévenir les failles de sécurité des API

Surveillance des tentatives de connexion échouées et des pics soudains de trafic : Les pirates utilisent des robots malveillants pour réaliser des attaques par bourrage et craquage d’identifiants sur les pages de connexion. Puisque, pour ce faire, les robots doivent essayer différents identifiants ou différentes combinaisons d’identifiants et de mots de passe, le nombre de tentatives de connexion échouées augmente.  Par ailleurs, la présence de bots malveillants sur votre site Internet augmente aussi soudainement le trafic. La surveillance des tentatives de connexion échouées et d’un pic soudain de trafic peut vous aider à prévenir l’infiltration de bots malveillants dans vos applications web.

Solution dédiée pour la gestion des bots : Les mesures internes susmentionnées assurent une protection de base mais ne garantissent pas la sécurité de votre contenu critique, des comptes utilisateurs et d’autres données sensibles. Les bots sophistiqués de troisième et quatrième génération, qui représentent aujourd’hui 37 % du trafic des bots malveillants, peuvent se répartir sur des milliers d’adresses IP et s’en prendre à votre entreprise de multiples façons, qu’il s’agisse d’attaques lentes et de faible intensité, ou d’attaques distribuées à grande échelle susceptibles d’entraîner des interruptions de service. Une solution dédiée facilite la détection et l’atténuation en temps réel d’agissements aussi automatisés et sophistiqués.

Vous aimez cet article ? Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware
ainsi qu’un accès exclusif aux contenus Radware Premium

Rakesh Thatha

A frequent speaker at various national and international forums, Rakesh Thatha is the Senior Director R&D, Product - Bot Management Solutions. He writes and speaks on cybersecurity, automated threats, and prevention measures to combat bad bots.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center