Pourquoi les bots sont-ils devenus la principale menace en matière de piratage de comptes ?
L’usurpation de comptes est sans doute la fraude la plus répandue dans le monde de la cybersécurité. Et pourtant, il n’y a quasiment aucune prévention dispensée auprès des clients du e-commerce.
Les vendeurs sont confrontés depuis toujours aux systèmes de fraude liés aux impayés. C’est le cas lorsqu’un client effectue un achat en ligne avec une carte de crédit, puis demande un remboursement à la banque émettrice après avoir reçu les biens ou services commandés.
Plus connue sous le nom de « fraude amicale », cette arnaque est une plaie pour les commerçants, qui ne peuvent distinguer les fraudeurs des clients dignes de confiance. Les mesures de sécurité sur les plateformes de e-commerce étant insuffisantes, le risque est de plus en plus élevé.
D’un autre côté, les bons clients, eux, sont irrités par les procédures interminables de vérification. À cela s’ajoute le risque de se faire voler leurs identifiants personnels. Alors que les consommateurs attendent que leur achat en ligne soit de plus en plus facilité, on leur demande au contraire toujours plus d’efforts pour prouver leur identité et leurs motivations.
Qu’est-ce que la fraude par prise de contrôle ?
Usurpation de comptes traditionnelle
S’arroger un compte est une forme d’usurpation d’identité et de fraude. Elle consiste à prendre le contrôle d’un compte en utilisant les informations d’identification du client et à effectuer des transactions non autorisées en son nom. Cela concerne les comptes bancaires, les comptes de messagerie, les cartes bancaires et, essentiellement, les comptes de sites web.
Les clients peuvent être ciblés par hameçonnage, par des logiciels malveillants ou des logiciels espions. D’autres méthodes consistent à acheter à des pirates informatiques des mots de passe, des informations personnelles ou des codes de sécurité volés. Un audit réalisé sur le dark web a révélé que plus de 15 milliards d’identifiants de comptes dormaient sur le marché cybercriminel (en hausse de 300 % depuis 2018). (https://resources.digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover)
Une fois qu’il a le contrôle du compte, le cybercriminel peut acheter des articles sur internet, retirer des fonds, modifier les informations d’identification du compte, et ainsi accéder à d’autres comptes de ce même acheteur.
Les coûts sont directement supportés par le client, mais les enseignes subissent elles ces attaques ; au-delà du manque à gagner, elles perdent la confiance des consommateurs, qui risquent de se tourner vers des concurrents dont les plateformes en ligne sont plus fiables.
Les nouveaux bots
Aujourd’hui, les pirates lancent des bots programmés à l’aide de l’apprentissage automatique, pour effectuer des milliers, voire des millions de tentatives par minute de récupération de comptes. Selon Gartner (2021), le le « bourrage d’informations d’identification » (qui permet la prise de contrôle de comptes) est l’un des quatre principaux types d’attaques des robots criminels dans le e-commerce.
L’accès facile aux informations d’identification volées (par le biais du dark web), ainsi que l’apathie des utilisateurs à l’égard des mots de passe sécurisés ont créé une « opportunité commerciale » pour les pirates. Résultat : on assiste à une recrudescence de bots malveillants et de prises de contrôle de comptes. Quels que soient la taille ou le secteur d’activité des sites marchands, ils sont tous exposés à de telles attaques si rien n’est prévu pour les en protéger.
Pas à pas : la fraude moderne par prise de contrôle d’un compte
Voici les étapes qui se produisent lors d’une prise de contrôle d’un compte :
- Les pirates achètent des milliers ou des millions d’identifiants de comptes sur le dark web.
- Grâce à l’apprentissage automatique, ils programment les robots pour attaquer les terminaux des sites Web en utilisant les comptes des utilisateurs, par milliers ou millions par minute. Parmi ces terminaux, citons la connexion, le panier et le paiement.
- Les robots testent toutes les combinaisons d’identifiants de connexion (ce qu’on appelle le «bourrage d’informations d’identification »).
- En cas de succès, les pirates accèdent aux comptes avec les identifiants utilisés.
Les données personnelles sont collectées et exploitées en effectuant des paiements, en achetant des cartes cadeaux, des points de fidélité et en profitant du compte.
Même si les robots peuvent être repérés immédiatement, ils sont si perfectionnés que 30 % d’entre eux changeront automatiquement d’adresse IP pour rester indétectables. En plus de cela, ils peuvent rester cachés en simulant de vrais navigateurs, en imitant le comportement humain ou en se camouflant parmi les conversations des utilisateurs. Cela montre combien les outils de cybersécurité sont importants pour lutter contre les bots en particulier, qui deviennent de plus en plus sophistiqués.
Quelles sont les conséquences des bots pour les sites e-commerce ?
Selon une étude réalisée par Riskified (2021), plus d’un quart des sites de e-commerce ne sont pas équipés ni préparés pour faire face à ce type d’attaque. Par conséquent, deux consommateurs en ligne sur trois renonceraient à acheter sur internet et chercheraient une alternative après avoir été victimes de fraude.
De plus, la fraude a progressé en même temps que le e-commerce à la suite de la pandémie. Aux États-Unis, les piratages de compte représentent 43 % de toutes les tentatives de fraude, et c’est l’un trois principaux motifs de fraude chez les vendeurs en ligne en 2020. D’autres études ont montré que ces attaques avaient augmenté de 378 % depuis le début de la pandémie.
D’après les recherches de Juniper (2020), 17 milliards de dollars ont été perdus dans le e-commerce en 2020 à cause des fraudes. Et ce chiffre devrait dépasser 25 milliards de dollars dans trois ans, devenant de fait une des préoccupations majeures des plateformes de e-commerce.
En résumé, les attaques par détournement de compte par des bots compliquent l’expérience des clients sur les plateformes e-commerce. Dans la mesure où les vendeurs négligent à la fois la sécurité et la commodité pour leurs clients, ils risquent de perdre une part de leur clientèle et de leur chiffre d’affaires.
Exemples concrets d’attaques de bots
Dans une affaire de piratage de compte, des malfaiteurs ont envoyé 5,7 millions de requêtes en deux jours pour effectuer une attaque par bourrage d’identifiants. Les bots sont passés par 250 000 adresses IP différentes, 8 000 systèmes autonomes et 215 pays. Cela montre clairement que les mesures de sécurité habituelles sont dépassées et que les sites de e-commerce doivent impérativement renforcer leur sécurité pour contrer ces attaques et rester attractifs.
Dans un autre exemple de fraude en ligne, une attaque par prise de contrôle de compte a atteint un pic d’environ 1 500 tentatives d’attaque par seconde. Sur le graphe ci-après, le flux de robots est représenté en rouge, et les attaques légitimes en vert.
[Graphique issu de Perimeterx showcasing account takeover attack] (https://www.perimeterx.com/downloads/whitepapers/PerimeterX-Whitepaper-Five-Major-Threats-to-Holiday-E-commerce.pdf)
De toute évidence, plus de 90 % des tentatives sont des tentatives frauduleuses. Grâce aux milliers d’adresses IP utilisées par les robots, le taux de réussite des attaques a atteint 8 %, provoquant ainsi le vol des informations d’identification des clients et une perte de revenus considérable pour le site.
Voici 3 actions possibles des sites e-commerce pour lutter contre les bots
1. Mettre en œuvre des systèmes de détection des bots pour faciliter la vie des vrais clients
Les vendeurs en e-commerce tentent de répondre aux attaques de robots par diverses méthodes qui se sont avérées infructueuses. Par exemple, beaucoup utilisent des CAPTCHA pour leurs clients, ou d’autres méthodes demandant aux clients de « prouver leur humanité » et de franchir un véritable parcours du combattant à chaque étape.
Le CAPTCHA, par exemple, oblige les utilisateurs à interpréter une image contenant des chiffres et des lettres mélangés, ou à sélectionner des images contenant un certain attribut. Or, des études menées par Gartner (2021) montrent que ces systèmes sont régulièrement battus par des robots pirates ou par des outils d’analyse basés sur le cloud.
En outre, ces méthodes de prévention sont mauvaises, puisque les utilisateurs abandonnent la plateforme dans 50 % des cas où ils tombent sur un CAPTCHA, en particulier sur depuis un mobile (https://www.gartner.com/document/4003160?ref=solrAll&refval=303836448).
Les plateformes e-commerce devraient abandonner les tests d’humanité pour leurs utilisateurs, plutôt que de chercher à séparer le bot de l’analyse humaine. Ils fidéliseraient leurs clients et gagneraient davantage leur confiance.
2. Analyser le comportement des clients fiables pour gagner leur confiance
En déployant des techniques d’analyse comportementale, les sites web pourraient surveiller l’activité des internautes. Cela peut aller de l’emplacement du curseur au clic de souris, en passant par le mode de saisie, ou le défilement et le balayage sur appareil mobile.
Pour les sites e-commerce ayant une forte interaction avec les utilisateurs, cette méthode permet de concevoir un code comportemental par client cible. Toute déviation par rapport à cette « norme » indique potentiellement un comportement frauduleux.
Cette approche est particulièrement utile pour les acteurs du e-commerce, car leurs plateformes (tout comme les banques de détail et les sites de jeux populaires) suscitent généralement de fréquentes interactions entre les utilisateurs, qui permettent de compiler et de comparer ces données.
Chaque interaction peut être questionnée en demandant « S’agit-il d’un humain ou d’une machine ? », puis « S’agit-il d’un comportement connu ou inconnu du client ? », permettant ainsi de segmenter les utilisateurs connus (à faible risque) des inconnus (à risque modéré). En réalité, 98 % des clients humains sont légitimes et méritent votre confiance.
La majorité des utilisateurs humains sont bien intentionnés lorsqu’ils naviguent sur des sites e-commerce. Une analyse comportementale permettrait donc de renforcer la sécurité sans sacrifier l’expérience client, et d’éviter de susciter leur méfiance.
3. Instaurer l’authentification adaptative : activité à faible risque versus activité à haut risque
L’authentification adaptative est un système d’authentification à deux ou plusieurs facteurs. Elle sélectionne des facteurs de connexion spécifiques en fonction des tendances et du profil de risque du client, et adapte ainsi les procédures d’authentification en fonction de la situation.
Cette approche a deux avantages. D’une part, les utilisateurs naviguent en toute transparence lors de leurs achats en ligne. D’autre part, le site marchand est à même d’évaluer et d’analyser les informations en distinguant les clients dignes de confiance des bots frauduleux. Le tout sans révéler les stratégies de prévention des risques auprès des escrocs.
Quand bien même un robot réussirait à se faire passer pour un client fiable et à avoir un comportement humain normal au début de la session, une porte d’authentification judicieusement placée permettrait de bloquer les transactions à haut risque (comme les paiements).
En revanche, les activités à faible risque (consultation de la boutique, ajout d’articles au panier, vérification des notifications) doivent avoir des procédures d’authentification assouplies pour faciliter l’expérience de l’utilisateur. Pour chaque événement à haut risque, ou pour des biens à haute valeur, un dispositif de protection adéquat doit être appliqué de façon invisible pour l’utilisateur. Voilà comment obtenir à la fois un haut niveau de sécurité et une expérience client fluide.
Ressources complémentaires
- Conférence Addressing the Biggest Gap in Your Zero-Trust Strategy
- Article de blog What Is a Private Content Network?
- Article de blog Kiteworks Utilizes Its Own Private Content Network