Les dix compétences essentielles d’un bon chasseur de bots

SécuritéSurveillance

A quoi reconnaît-on le bon chasseur ? Aux dix compétences qu’il se doit de maîtriser à la perfection.

Les symptômes d’une attaque de bots sont bien connus : une augmentation des coûts d’infrastructure due à des pics de trafic illégitime et incontrôlé, un taux élevé de prise de contrôle de comptes (ATO) ou une hausse des piratages réussis de cartes-cadeaux, par exemple.

Et en creusant, on y trouve le plus souvent un problème de fraude, qui conduit ensuite à une réputation en baisse pour l’entreprise et une chute de la fidélité client.

C’est généralement à ce moment que le service informatique tente de régler le problème de lui-même : en bloquant par exemple les adresses IP incriminées, voire même toutes celles provenant de la même zone géographique.

En s’appuyant peut-être même sur des techniques un peu plus avancées telles que la réputation IP ou la prise d’empreinte du navigateur, l’intégration d’un CAPTCHA, voir même, dans les cas les plus désespérés, le recours à l’authentification multifactorielle (MFA).

Rapidement, cela devient une bataille sans fin pour essayer de devancer les attaquants et faire face à des clients frustrés qui ne peuvent terminer leurs achats en ligne.

Il est temps de faire appel à un chasseur de bots professionnel. Mais à quoi reconnaît-on le bon chasseur ? Aux dix compétences ci-dessous, qu’il se doit de maîtriser à la perfection :

1. S’adapter sans cesse aux nouveaux outils des attaquants

Si le jeu en vaut la chandelle (la valeur des comptes clients à dérober, par exemple), les attaquants n’abandonneront probablement pas facilement la partie, mais se ré-outilleront continuellement et essaieront sans cesse de nouvelles approches.

Lorsqu’une contre-mesure de sécurité est mise en place, les attaquants motivés se ré-outilleront pour la contourner en utilisant diverses méthodes, de nouveaux outils et même des techniques à base d’intelligence artificielle. Les victimes du bourrage d’identifiants disent d’ailleurs que lutter contre les robots et l’automatisation revient à jouer au jeu du chat et de la souris.

Le bon chasseur de bots doit savoir jouer à votre place… et mieux que vous !

2. Se rendre presque invisible aux yeux des clients légitimes

Les CAPTCHA et le MFA (authentification multi facteurs) augmentent considérablement la friction pour les clients au moment de l’achat. Les taux d’échec humain à ces contrôles varient de 15 à 50 % et entraînent donc un taux élevé d’abandon de panier et une baisse de la satisfaction des utilisateurs. Et ces clients frustrés par l’incapacité de passer commande simplement peuvent ne jamais revenir, même après une seule expérience négative.

En outre ces mesures ne sont pas la panacée : les fraudeurs peuvent utiliser des outils et de la main-d’œuvre humaine pour résoudre les CAPTCHA, et exploiter les données personnelles compromises pour se faire passer pour des titulaires de compte (en appelant le support) afin récupérer les comptes et mener toutes sortes d’arnaques.

Le bon chasseur de bots se doit de ne pas introduire des frictions qui frustreront les utilisateurs, et que les attaquants peuvent souvent contourner de toute façon. Il doit être en mesure de proposer des solutions adaptées au niveau de la menace à un moment donné et les plus transparentes possibles pour l’utilisateur.

3. Gérer les faux positifs

Un faux positif se produit lorsque le chasseur de bots marque un humain réel comme étant un bot. Un faux négatif, c’est lorsqu’un bot est considéré comme un humain.

Ils sont inévitables, et même les meilleurs chasseurs en auront. Mais le bon chasseur doit être très réactif au problème des faux positifs : le client doit pouvoir le contacter, expliquer le problème et obtenir une réponse sans délai !

4. Repérer rapidement les bots qui contournent les défenses

Le bon chasseur de bot doit opérer constamment comme si un attaquant habile était sur le point de contourner toutes ses contre-mesures. Car cela peut arriver rapidement et avant même que l’entreprise n’en découvre les effets secondaires (prise de contrôle de comptes, fraude, analyses commerciales faussées, etc.)

Le chasseur de bots devra alors être prêt à réagir et collaborer avec son client pour remédier au problème.

5. Gérer la fraude manuelle (d’origine humaine)

Un attaquant déterminé et compétent saisira les informations d’identification à la main dans des navigateurs réels pour contourner les défenses anti-automatisation, ce qui peut conduire à une prise de contrôle du compte (ATO) et à la fraude.

Le chasseur de bots doit être capable de déterminer si un humain est un client digne de confiance ou un fraudeur et de prendre les mesures appropriées.

6. Empêcher une brèche de compte de s’étendre à tous les autres

Dans de nombreux cas, des politiques de détection et d’atténuation personnalisées devront être déployées d’un client à l’autre. Il est toutefois important de s’assurer que les toutes dernières politiques, qui correspondent bien souvent à un nouvel outil ou une nouvelle technique en cours de test par l’attaquant, soient immédiatement appliquées à tous les autres clients du chasseur de bots. Chaque client doit être isolé d’un ré-outillage contre un autre client.

7. Garder de la visibilité même après une attaque réussie

Le bon chasseur collecte et analyse en permanence divers signaux télémétriques relatifs aux appareils, au réseau, à l’environnement et au comportement afin de maximiser la visibilité et d’identifier précisément les anomalies.

Ainsi, même si une mesure de protection est contournée, l’analyse de la télémétrie permettra d’identifier la situation anormale et de mettre en œuvre d’autres mesures complémentaires. Et cela permet également, à plus long terme, d’alimenter à la fois les équipes de recherche anti-bots, mais aussi le centre des opérations de sécurité (SOC) de l’entreprise.

8. Se déployer et se gérer facilement

L’utilisateur ou l’administrateur doit-il installer un client dédié ou la protection est-elle automatique ? S’il n’y a pas de présence au niveau du terminal, comment le chasseur de bots détecte-t-il les appareils mobiles compromis ? Comment détecte-t-il les attaques utilisant les derniers outils de sécurité et les données issues du Dark Web ? Qu’en est-il des API ?

9. Détecter un large spectre d’anomalies

Les attaquants tirent constamment parti des bots, de l’automatisation et des données des comptes compromis pour les aider dans leurs opérations. Les mesures d’atténuation traditionnelles ne suffisent pas. Par exemple, les attaquants réutilisent certes les adresses IP, mais seulement 2,2 fois en moyenne ! Souvent, elles ne sont utilisées qu’une fois par jour ou une fois par semaine ! Le seul blocage des adresses IP est donc largement inefficace.

Les attaquants exploitent généralement quatre méthodes principales :
– L’usurpation du trafic réseau
– Émulation d’une variété de dispositifs et de navigateurs valides
– Utilisation d’informations d’identification volées, d’informations personnelles et d’identités synthétiques
– L’imitation de comportements humains réels

Un bon chasseur de bots s’appuiera donc sur une variété de signaux faibles et sur des techniques d’intelligence artificielle pour fournir des informations exploitables et détecter les comportements anormaux potentiellement indicateurs d’une fraude (par exemple les activités de copier-coller à la chaine, le basculement d’écran, l’utilisation étrange de la surface d’écran, l’usurpation d’environnement, les tentatives d’anonymisation de l’identité, etc.)

10. Se remettre en question à toute vitesse

Lorsque l’attaquant se ré-outille pour contourner les contre-mesures actuelles, le chasseur de bots doit être capable de s’adapter aux nouvelles techniques (voir le point numéro 1).

Mais à quelle vitesse saura-t-il le faire ? Et facturera-t-il un supplément s’il s’agit d’un attaquant persistant sophistiqué et que de multiples contre-mesures ou consultations avec le SOC sont nécessaires ? Le bon chasseur prendra tout cela à sa charge et produira une nouvelle contre-mesure dans les meilleurs délais.

Conclusion

Nous avons omis la question du coût dans ces dix critères, car celui-ci peut varier considérablement en fonction des modèles de déploiement (existe-t-il une option « cloud » ?) et des modèles de facturation (trafic propre ou facturation à l’heure ?).
Sans parler des différents niveaux de service et des engagements associés (SLA).

Mais la priorité devrait être donnée à s’assurer qu’un bon chasseur de bots répond au maximum aux dix qualités présentées ici, et la discussion sur les tarifs et le modèle de déploiement, bien qu’importante, ne devrait pas être le premier critère.


Auteur
En savoir plus 
Expert en cybersécurité
F5
Arnaud Lemaire est expert en cybersécurité chez F5
En savoir plus 

Livres blancs A la Une