La montée des robots (questionnaire avec Dan Woods, partie 2)

Qu'il s'agisse de propager des mensonges, de manipuler les utilisateurs des réseaux sociaux ou de perturber les entreprises mondiales, les robots sont un sujet de plus en plus brûlant. 

Dans la deuxième partie de notre entretien avec Dan Woods, responsable mondial du renseignement chez F5, nous explorons ce que font les robots, les risques à prendre en compte et la manière dont les organisations peuvent s'adapter à l'évolution des menaces. ( Lien vers la première partie )    

Que sont les robots et pourquoi sont-ils potentiellement dangereux ?

Les robots sont des extraits de code qui automatisent les tâches. Vérifier le solde des cartes-cadeaux en est un exemple.

Pourquoi quelqu’un ferait-il ça ? Eh bien, tout ce dont un mauvais acteur a besoin pour voler le montant stocké sur une carte-cadeau est le numéro de carte à 16 chiffres et le code PIN. Ils pourraient utiliser une version modifiée du robot ci-dessus pour vérifier le solde de millions, voire de milliards, de paires numéro de carte-PIN. Lorsqu'ils trouvent une paire numéro de carte-PIN avec un solde, ils peuvent la vendre à un tiers. Le véritable propriétaire de la carte-cadeau ne se rendra même pas compte que le solde a été volé jusqu’à ce qu’il essaie de l’utiliser.

Les robots sont également utilisés pour pirater les sites Web des compagnies d'assurance. Si vous souhaitez obtenir un devis d’assurance-vie, vous devez suivre un processus qui vous demande votre âge, où vous vivez, ce que vous faites dans la vie, etc. Les concurrents et les tiers peuvent utiliser un bot pour parcourir le même flux de travail, en fournissant à chaque fois des réponses différentes. Cela leur permet de procéder à une rétro-ingénierie de l’algorithme de tarification de la compagnie d’assurance.

L’un des plus gros problèmes est l’utilisation de robots malveillants pour essayer de récupérer des noms d’utilisateur et des mots de passe volés (provenant du dark web ou d’une compromission dans une entreprise) contre l’application de connexion d’autres entreprises. En raison des habitudes des consommateurs de réutiliser les noms d’utilisateur et les mots de passe, ces attaques prennent généralement plus de 0,1 à 3,0 % des comptes tentés. Ainsi, lorsqu’un mauvais acteur essaie des centaines de millions de paires nom d’utilisateur/mot de passe, il finit par compromettre des dizaines de millions de comptes.

D’autres exemples perturbateurs incluent un robot qui achète de nombreuses baskets ou des billets de concert à durée limitée dans les 30 secondes suivant leur mise en vente, puis les revend à des prix gonflés sur le marché secondaire. Ou, si une entreprise offre quelque chose de valeur pour l’ouverture d’un compte en ligne, comme une tasse de café gratuite, alors un robot pourrait créer des milliers de comptes pour profiter de milliers de tasses de café gratuites. Ou peut-être qu’une organisation criminelle a besoin de nombreux comptes en ligne pour se livrer au blanchiment d’argent.

Tous les robots sont-ils mauvais ?

Tous les robots ne sont pas mauvais. Par exemple, Googlebot analyse et indexe des milliards de sites Web pour rendre les recherches possibles. Kayak et d'autres agences de voyages en ligne récupèrent les tarifs des compagnies aériennes et des hôtels de nombreuses agences de voyages pour proposer à leurs clients les meilleures offres.

Quel est l’impact des bots sur les entreprises de médias sociaux ?

Il y a quelques années, une société de médias sociaux a fait appel à F5 pour mieux comprendre les robots actifs sur ses applications Web et mobiles. Lorsque nous avons déployé nos signaux côté client (les signaux qui nous aident à identifier les robots), nous avons déterminé que plus de 90 % de toutes leurs connexions étaient liées aux robots. Compte tenu du taux de réussite élevé des connexions et des discussions avec les clients, ces comptes étaient associés à des escroqueries de type « sweetheart » . Malheureusement, certaines sociétés de médias sociaux ne souhaitent pas connaître la vérité sur le trafic de leurs robots, car la vérité aurait un impact négatif sur leur DAU et le cours/la valorisation de leurs actions.

Comment les robots peuvent-ils influencer l’opinion publique et manipuler les utilisateurs des réseaux sociaux ?

Imaginez l’influence qu’un mauvais acteur pourrait exercer s’il avait un contrôle programmatique sur des millions de comptes Twitter, TikTok, Facebook ou Instagram ? Pour commencer, ils pourraient amplifier un volume important d’informations et de contenus pour influencer l’opinion publique.

Au cours des six à sept dernières années, chaque fois que j’ai vu une incitation, un moyen et l’absence d’une contre-mesure significative avant d’entrer en ligne, j’ai toujours observé l’automatisation que j’attendais après être entré en ligne. Il ne fait aucun doute dans mon esprit que les acteurs politiques et étatiques utilisent les plateformes de médias sociaux pour influencer l’opinion publique et même les élections.

Tout le monde est impressionnable. Certains plus que d’autres. Si un comédien raconte une blague et que vous ne riez pas, mais que tout le monde rit, vous pourriez commencer à croire que la blague était vraiment drôle. C'est pourquoi les sitcoms utilisaient des pistes de rire. Plus une personne est influençable, plus elle est susceptible de changer d’avis en fonction de la pression de ses pairs, même si ces pairs sont en fait des robots.

Pourquoi les entreprises sous-estiment-elles le problème des bots ?

De nombreux robots augmentent les pertes en raison de la fraude. Mais les dégâts ne s’arrêtent pas là : en fonction du volume de bots, cela pourrait également augmenter les coûts associés aux CDN ou aux outils de fraude qui facturent en fonction du nombre de transactions. De plus, ils peuvent avoir un impact négatif sur la latence et ruiner l’expérience utilisateur pour les clients légitimes. Les indicateurs faussés pourraient également avoir une influence négative sur les dépenses et la prise de décision des entreprises.

La plupart des entreprises veulent connaître la vérité. Ceux qui utilisent F5 apprennent la vérité, mais ceux qui tentent de détecter les robots dans le cadre d’un projet de bricolage sous-estiment presque toujours l’ampleur du problème pour plusieurs raisons.

Tout d’abord, les robots utilisent désormais des centaines de milliers, voire des millions d’adresses IP. Les équipes de sécurité peuvent généralement identifier les centaines ou milliers d’adresses IP les plus bruyantes. Cependant, ils manquent la longue traîne d'adresses IP qui ne sont utilisées par le bot que quelques fois. Deuxièmement, les attaques de robots apparaissent souvent progressivement au fil du temps, ce qui les rend plus difficiles à reconnaître et à ne pas confondre avec la croissance organique. Après avoir travaillé avec F5, les organisations trouvent souvent les résultats choquants et incroyables, mais elles deviennent rapidement croyantes lorsqu’elles voient les données.

Que devraient faire les organisations pour réduire le problème des robots sur leurs sites ?

Deux choses : ils doivent collecter les signaux côté client (de l’utilisateur, de l’agent utilisateur, de l’appareil et du réseau) et ils doivent avoir deux étapes de défense.

Les exemples de signaux côté client incluent le timing des frappes au clavier et des clics/mouvements de la souris, les plugins, les polices, l'utilisation de l'écran, le nombre de cœurs, la façon dont l'agent utilisateur effectue des calculs en virgule flottante ou restitue les émojis, et des dizaines d'autres.

Vous n’avez pas besoin de centaines ou de milliers de signaux. Il vous suffit de quelques dizaines de signaux de haute qualité, très difficiles à falsifier. Ces signaux sont généralement collectés à l'aide de JavaScript dans les navigateurs Web et mobiles et à l'aide d'un SDK, installé parallèlement à l'application native. Lorsque les attaquants sont atténués sur le Web, ils passent à l'attaque de l'API mobile. Le JavaScript et le SDK doivent également être bien renforcés pour rendre l'ingénierie inverse extrêmement difficile.

Voyons maintenant les deux étapes de la défense.

La première étape est en temps quasi réel (moins de 10 ms) et exploite les signaux associés à une seule transaction. Si des signaux indiquent qu’il s’agit d’un robot indésirable, prenez des mesures d’atténuation. Si les signaux indiquent que la transaction provient d'un humain, transmettez-la à l'origine pour un traitement normal. Bien que cette première étape permette d'identifier presque tous les bots, elle n'est pas capable de suivre les réoutillages (lorsqu'un attaquant se rend compte que son attaque est atténuée et décide donc d'améliorer son bot pour surmonter la contre-mesure).

La réorganisation est la raison pour laquelle les organisations ont besoin d’une deuxième étape de défense. Alors que la première étape se déroule en temps quasi réel, la deuxième étape est rétrospective. C’est là que les modèles d’IA/ML opèrent sur des transactions agrégées (toutes les transactions arrivées au cours des 30 dernières secondes, minutes, heures, jours, etc.). Pour autant, les organisations ne peuvent pas s’appuyer exclusivement sur l’IA/ML pour trouver des solutions de réorganisation. Ils doivent faire appel à des humains pour examiner les alertes déclenchées par les systèmes d’IA/ML afin d’éliminer les faux positifs. Et assurez-vous que les modèles d’IA/ML apprennent correctement. Lorsque les organisations détectent du trafic de robots indésirable au cours de la deuxième étape, elles doivent également être en mesure de mettre à jour les défenses en temps réel pour atténuer le trafic de robots nouvellement découvert sans impacter le trafic des clients légitimes.

F5 fournit les deux étapes de défense, l'IA/ML et les humains, en tant que service géré. Combattre des robots ne devrait jamais être un projet de bricolage.

La menace des robots va-t-elle s’aggraver ?

C’est impossible à quantifier, mais le problème des robots a certainement augmenté au cours des six à sept dernières années. Pendant cette période, j’ai vu des robots malveillants et nuisibles lancer des automatisations contre des entreprises dans pratiquement tous les secteurs verticaux. Juste au moment où je pense avoir vu tous les cas d’utilisation, un nouveau apparaît. Quitter la balle des yeux n’est jamais une option !