Il est désormais temps de réévaluer vos contre-mesures contre les robots
Si vous, en tant que professionnel de la sécurité, pensez avoir résolu votre problème d’atténuation des robots, détrompez-vous.
Les robots causent d'énormes difficultés financières : les robots de credential stuffing conduisent à la prise de contrôle de comptes, les robots de revendeurs non autorisés font un fiasco lors des lancements de produits et des offres à durée limitée, les robots de scraping ralentissent les performances et augmentent les coûts d'infrastructure, les robots de piratage de cartes-cadeaux épuisent les soldes et exaspèrent les clients. Non seulement l’impact est important, mais la probabilité d’une attaque contre les entreprises en ligne est proche de 100 %, car les attaques sont très lucratives pour les criminels. Compte tenu de l’impact élevé et de la forte probabilité, vous avez clairement besoin d’une stratégie de sécurité efficace. Pourtant, comme le démontrent les gros titres récents, les attaquants continuent de développer des contournements pour les défenses contre les robots couramment déployées, ce qui fait du moment le bon moment pour réévaluer les contre-mesures que vous avez mises en place contre les robots.
Le 24 janvier 2023, Joe Berchtold, président de la société mère de Ticketmaster, Live Nation, a témoigné devant la Cour suprême américaine. La commission judiciaire du Sénat a estimé que les robots revendeurs étaient responsables de la mauvaise gestion des ventes de billets pour la prochaine tournée de Taylor Swift. « C’est ce qui a conduit à une expérience client terrible, que nous regrettons profondément », a déclaré Berchtold aux sénateurs.
Toujours en janvier 2023, CNET a signalé que des milliers de personnes qui utilisent le gestionnaire de mots de passe Norton ont reçu des notifications indiquant qu'une partie non autorisée pourrait avoir eu accès à leurs informations personnelles ainsi qu'aux mots de passe stockés dans leurs coffres-forts. Gen Digital, la société mère de Norton, a attribué l'incident de sécurité à une attaque de credential stuffing pilotée par un robot qu'elle a détectée lorsque son système IDS (Intrusion Detection Systems) a signalé un nombre inhabituellement élevé de connexions échouées.
Ticketmaster avait investi dans la lutte contre les robots, et nous pouvons supposer que Gen Digital avait également mis en place des protections. Pourtant, les robots ont continué à causer des dommages en matière de sécurité, affectant la disponibilité et la confidentialité, en plus de générer beaucoup de mauvaise presse. Cela soulève une question évidente : Bien que les solutions anti-bots soient disponibles depuis des années, pourquoi tant de défenses anti-bots ne parviennent-elles pas à atténuer les robots malveillants ?
Pour les organisations qui s’appuient encore sur le CAPTCHA, la réponse est évidente. Outre le fait d’ennuyer les vrais clients et de réduire les taux de conversion du commerce électronique, le CAPTCHA ne fonctionne pas. Faites simplement une recherche sur le Web sur les services de résolution de CAPTCHA et vous en trouverez au moins une douzaine en concurrence en termes de prix et de rapidité. Le créateur d'une bibliothèque open source s'est donné pour mission de rendre le contournement du CAPTCHA trivialement simple :
« Les CAPTCHA dans leur forme actuelle ont échoué. Ils constituent un obstacle et une nuisance bien plus importants pour les humains que pour les robots, ce qui les rend inutiles. Ma contribution anarchiste à cette discussion est de démontrer cette absurdité, avec un plugin pour robots avec lequel une seule ligne de code suffit pour contourner les reCAPTCHA sur n’importe quel site.
Pour les organisations qui s’appuient sur des listes de refus d’adresses IP basées sur WAF pour atténuer les robots, la tâche est tout aussi désespérée. Il existe des services qui offrent aux créateurs de robots des dizaines de millions d'adresses IP résidentielles destinées à contourner la détection des robots. Ces services sont présentés comme des proxys résidentiels rotatifs ; le bot envoie des requêtes http au proxy, tout comme de nombreux navigateurs d'entreprise envoient des requêtes via des proxys de transfert, et le service fait tourner en permanence l'adresse IP publique utilisée pour envoyer la requête au site Web ou à l'API. Dans le passé, les bots utilisaient généralement des proxys de centre de données, souvent issus de services cloud, qui sont bien connus et faciles à identifier. Ces nouveaux services proxy utilisent cependant des adresses IP résidentielles de la même zone géographique que vos clients. Étant donné que chaque adresse IP peut représenter simultanément un bot ou un client valide en raison du NATing des FAI, il n'est pas possible de bloquer toutes ces adresses IP sans détourner vos vrais clients.
Pour aller plus loin, de nouveaux services commerciaux tels que ZenRows , ScrapFly et ScrapingBee rendent le scraping Web aussi simple que l'appel d'une API. Ces services assument l'entière responsabilité de contourner les défenses anti-bots en votre nom. Bien que ces services basés sur des API se concentrent exclusivement sur le scraping, qui est légal aux États-Unis et dans l'Union européenne, les criminels ont accès à des services similaires sur le dark web qui effectuent des attaques de robots plus néfastes telles que le credential stuffing.
En plus des services commerciaux, plusieurs projets open source s'attaquent au contournement des robots. Un plugin furtif pour Puppeteer, un outil d'automatisation et de test Node.js populaire, permet à Puppeteer de contourner la détection. Un groupe actif de développeurs maintient le projet sur GitHub et publie des mises à jour chaque fois qu'une défense anti-bot est connue pour le détecter. Selon sa documentation, « Comme ce jeu du chat et de la souris en est à ses débuts et qu'il évolue à un rythme rapide, le plugin est maintenu aussi flexible que possible, pour prendre en charge des tests et des itérations rapides. » Une bibliothèque similaire, undetected-chromedriver , s'adresse aux développeurs Python. Dans l'esprit de l'open source, l'objectif de ces projets est de maintenir le Web ouvert pour que les développeurs puissent exécuter l'automatisation des applications. Malheureusement, cette capacité est facilement exploitable par les criminels.
Alors que de plus en plus d'organisations sont impliquées dans la création de projets open source et de services commerciaux, les développeurs impliqués dans le contournement des défenses anti-bots apprennent et partagent des informations. Ces instructions guident les lecteurs à travers les étapes à suivre pour désobscurcir le JavaScript des outils de détection et déchiffrer la manière dont ces outils conditionnent leurs données pour les transporter vers leur service de détection. En procédant à la rétro-ingénierie du code côté client, ces développeurs déterminent le fonctionnement des outils de détection. Par exemple, un développeur de ZenRows partage ce qu'il a appris sur le dimensionnement des fenêtres et la façon dont les services de détection de robots détectent les incohérences :
« Dans l’exemple d’image de données du capteur, nous pouvons voir qu’il envoie la taille de la fenêtre. La plupart des points de données sont liés : écran réel, tailles disponibles, intérieures et extérieures. L'intérieur, par exemple, ne devrait jamais être plus grand que l'extérieur. Les valeurs aléatoires ne fonctionneront pas ici. « Il vous faudrait un ensemble de tailles réelles. »
Compte tenu de la gravité de la menace, il est clairement temps de réévaluer vos contre-mesures pour atténuer les effets des robots. En tant que leader en matière d'efficacité de détection de robots, F5 peut vous aider. Si vous souhaitez comprendre l'état réel de l'efficacité de votre atténuation des bots, les bots qui vous manquent et combien cela coûte à votre entreprise, F5 propose une évaluation gratuite des menaces et une consultation sur l'impact des bots sur votre entreprise .