Il est désormais temps de réévaluer vos contre-mesures contre les robots
Si vous, en tant que professionnel de la sécurité, pensez avoir résolu votre problème d’atténuation des robots, détrompez-vous.
Les robots causent d'énormes difficultés financières : les robots de credential stuffing conduisent à la prise de contrôle de comptes, les robots de revendeurs non autorisés font un fiasco lors des lancements de produits et des offres à durée limitée, les robots de scraping ralentissent les performances et augmentent les coûts d'infrastructure, les robots de piratage de cartes-cadeaux épuisent les soldes et exaspèrent les clients. Non seulement l’impact est important, mais la probabilité d’une attaque contre les entreprises en ligne est proche de 100 %, car les attaques sont très lucratives pour les criminels. Compte tenu de l’impact élevé et de la forte probabilité, vous avez clairement besoin d’une stratégie de sécurité efficace. Pourtant, comme le démontrent les gros titres récents, les attaquants continuent de développer des contournements pour les défenses contre les robots couramment déployées, ce qui fait du moment le bon moment pour réévaluer les contre-mesures que vous avez mises en place contre les robots.
Le 24 janvier 2023, Joe Berchtold, président de la société mère de Ticketmaster, Live Nation, a témoigné devant la Cour suprême américaine. La commission judiciaire du Sénat a estimé que les robots revendeurs étaient responsables de la mauvaise gestion des ventes de billets pour la prochaine tournée de Taylor Swift. « C’est ce qui a conduit à une expérience client terrible, que nous regrettons profondément », a déclaré Berchtold aux sénateurs.
Toujours en janvier 2023, CNET a signalé que des milliers de personnes qui utilisent le gestionnaire de mots de passe Norton ont reçu des notifications indiquant qu'une partie non autorisée pourrait avoir eu accès à leurs informations personnelles ainsi qu'aux mots de passe stockés dans leurs coffres-forts. Gen Digital, la société mère de Norton, a attribué l'incident de sécurité à une attaque de credential stuffing pilotée par un robot qu'elle a détectée lorsque son système IDS (Intrusion Detection Systems) a signalé un nombre inhabituellement élevé de connexions échouées.
Ticketmaster avait investi dans la lutte contre les robots, et nous pouvons supposer que Gen Digital avait également mis en place des protections. Pourtant, les robots ont continué à causer des dommages en matière de sécurité, affectant la disponibilité et la confidentialité, en plus de générer beaucoup de mauvaise presse. Cela soulève une question évidente : Bien que les solutions anti-bots soient disponibles depuis des années, pourquoi tant de défenses anti-bots ne parviennent-elles pas à atténuer les robots malveillants ?
Pour les organisations qui continuent de dépendre du CAPTCHA, la réponse est claire. Au-delà de l’irritation des vrais clients et de la baisse des taux de conversion en e-commerce, le CAPTCHA ne fonctionne tout simplement pas. Il suffit de chercher sur le web des services de contournement de CAPTCHA : vous trouverez au moins une douzaine qui se font concurrence sur le prix et la rapidité. Le créateur d’une bibliothèque open source a décidé de rendre extrêmement simple le contournement du CAPTCHA :
« Les CAPTCHA dans leur forme actuelle ont échoué. Ils constituent un obstacle et une nuisance bien plus importants pour les humains que pour les robots, ce qui les rend inutiles. Ma contribution anarchiste à cette discussion est de démontrer cette absurdité, avec un plugin pour robots avec lequel une seule ligne de code suffit pour contourner les reCAPTCHA sur n’importe quel site.
Pour les organisations qui s’appuient sur des listes de refus d’adresses IP basées sur WAF pour atténuer les robots, la tâche est tout aussi désespérée. Il existe des services qui offrent aux créateurs de robots des dizaines de millions d'adresses IP résidentielles destinées à contourner la détection des robots. Ces services sont présentés comme des proxys résidentiels rotatifs ; le bot envoie des requêtes http au proxy, tout comme de nombreux navigateurs d'entreprise envoient des requêtes via des proxys de transfert, et le service fait tourner en permanence l'adresse IP publique utilisée pour envoyer la requête au site Web ou à l'API. Dans le passé, les bots utilisaient généralement des proxys de centre de données, souvent issus de services cloud, qui sont bien connus et faciles à identifier. Ces nouveaux services proxy utilisent cependant des adresses IP résidentielles de la même zone géographique que vos clients. Étant donné que chaque adresse IP peut représenter simultanément un bot ou un client valide en raison du NATing des FAI, il n'est pas possible de bloquer toutes ces adresses IP sans détourner vos vrais clients.
Pour aller plus loin, de nouveaux services commerciaux tels que ZenRows , ScrapFly et ScrapingBee rendent le scraping Web aussi simple que l'appel d'une API. Ces services assument l'entière responsabilité de contourner les défenses anti-bots en votre nom. Bien que ces services basés sur des API se concentrent exclusivement sur le scraping, qui est légal aux États-Unis et dans l'Union européenne, les criminels ont accès à des services similaires sur le dark web qui effectuent des attaques de robots plus néfastes telles que le credential stuffing.
Outre les services commerciaux, plusieurs projets open source s’attaquent au contournement des bots. Un plugin furtif pour Puppeteer, un outil d’automatisation et de test populaire basé sur node.js, donne à Puppeteer la capacité de contourner la détection. Une communauté active de développeurs gère ce projet sur GitHub et publie des mises à jour dès qu’une défense anti-bot parvient à le détecter. Selon sa documentation, « Comme ce jeu de chat et de souris est naissant et évolue rapidement, le plugin reste aussi flexible que possible pour permettre des tests et des itérations rapides. » Une bibliothèque comparable, undetected-chromedriver, s’adresse aux développeurs Python. Dans un esprit de logiciel libre, ces projets ont pour vocation de garder le Web accessible aux développeurs qui automatisent leurs applications. Malheureusement, les criminels exploitent aisément cette capacité.
Avec l'engagement croissant des organisations dans la création de projets open source et de services commerciaux, les développeurs qui contournent les défenses anti-bots apprennent en continu et partagent leurs connaissances. Ces instructions vous guident étape par étape pour désobscurcir le JavaScript des outils de détection et comprendre comment ils conditionnent leurs données pour les envoyer à leur service de détection. En analysant le code côté client, ces développeurs dévoilent le fonctionnement des outils de détection. Par exemple, un développeur chez ZenRows partage ce qu’il a découvert sur le dimensionnement des fenêtres et la manière dont les services de détection de bots repèrent les incohérences :
« Dans l’exemple d’image de données du capteur, nous pouvons voir qu’il envoie la taille de la fenêtre. La plupart des points de données sont liés : écran réel, tailles disponibles, intérieures et extérieures. L'intérieur, par exemple, ne devrait jamais être plus grand que l'extérieur. Les valeurs aléatoires ne fonctionneront pas ici. « Il vous faudrait un ensemble de tailles réelles. »
Compte tenu de la gravité de la menace, il est clairement temps de réévaluer vos contre-mesures pour atténuer les effets des robots. En tant que leader en matière d'efficacité de détection de robots, F5 peut vous aider. Si vous souhaitez comprendre l'état réel de l'efficacité de votre atténuation des bots, les bots qui vous manquent et combien cela coûte à votre entreprise, F5 propose une évaluation gratuite des menaces et une consultation sur l'impact des bots sur votre entreprise .