Des bots abusent des services gouvernementaux israéliens
Écrit par : Gon Avnon
Synthèse
Les chercheurs d'Akamai ont surveillé un problème de bots qui abusent des citoyens israéliens par le biais de diverses agences gouvernementales.
Plus de 700 000 Israéliens cherchent à obtenir un rendez-vous pour le renouvellement de leur passeport, ce qui crée un retard de plusieurs mois au ministère de l'Intérieur.
Un groupe de développeurs a créé un bot permettant d'obtenir des rendez-vous par le biais de MyVisit, la plateforme de prise de rendez-vous utilisée par certains bureaux du gouvernement israélien, et l'a mis gratuitement à la disposition du public.
Peu après, un autre groupe a créé son propre bot pour s'accaparer et vendre des rendez-vous MyVisit pour divers services gouvernementaux, notamment au ministère de l'Intérieur, au ministère des Transports, à l'Assurance nationale, à la Poste israélienne, à la Compagnie d'électricité, etc. Chaque rendez-vous se vend plus de 100 dollars.
MyVisit a tenté d'atténuer l'impact des bots en utilisant un CAPTCHA qui a été rapidement contourné par le bot des acteurs malveillants.
Pour contrer efficacement ces bots, il faut une solution plus complète, telle que celle proposée par les produits de gestion des bots, qui fait appel à diverses mesures : empreintes digitales des terminaux, validation du navigateur, défis JavaScript et modèles avancés d'apprentissage automatique qui analysent et classent les données en amont.
Introduction
Ces bots de revente représentent un danger notoire pour les acheteurs du commerce digital dans le monde entier. Qu'il s'agisse de consoles de jeux, de chaussures de sport, d'objets de collection ou de cartes graphiques, tout article en édition limitée est une cible pour les revendeurs qui profitent de la revente à des utilisateurs moins équipés technologiquement.
En Israël, cependant, un nouveau marché de revente inquiétant a vu le jour : celui des services publics. Au lieu de se faire escroquer par des billets de concert nettement plus chers que leur valeur nominale, les Israéliens se sont effectivement fait arnaquer pour des services de la vie quotidienne. Ce marché de la revente a le potentiel de provoquer des préjudices bien plus importants que le fait de ne pas pouvoir partir en vacances.
Dans cet article, je vais expliquer d'où vient cette menace, quelle est sa situation actuelle et le danger qu'elle représente pour Israël et au-delà.
La ruée vers les passeports
L'un des plus grands impacts de la COVID-19 sur nos vies a été l'arrêt immédiat des voyages touristiques. Heureusement, nous avons atteint le point où les voyages ont un peu repris, et c'est là que débute mon récit. Après avoir été bloqués chez eux pendant plus de deux ans, des millions d'Israéliens souhaitent voyager à l'étranger. Après avoir retrouvé leurs passeports inutilisés depuis longtemps, des centaines de milliers d'entre eux découvrent qu'ils arrivent à expiration. Suite à la pandémie, le ministère de l'Intérieur, en sous-effectif et non préparé, est surchargé par l'afflux d'Israéliens avides de vacances. Avec un arriéré de plus de 700 000 demandes, un conflit social et un ministère des Affaires étrangères à court de passeports, il est difficile de voyager à destination et en provenance d'Israël.
Alors, comment les Israéliens obtiennent-ils ces documents tant convoités ? Pour réussir à obtenir un rendez-vous pour le renouvellement d'un passeport, il fallait consulter à plusieurs reprises le site de rendez-vous en ligne MyVisit, qui ouvre de nouveaux créneaux horaires à 7 heures du matin, et espérer trouver un rendez-vous vacant quelque part. De nombreuses personnes ont attendu pendant des mois, et ont traversé le pays, pour obtenir leur rendez-vous.
Cependant, quelques développeurs ont trouvé une meilleure solution : un bot de prise de rendez-vous, nommé GamkenBot. Muni de vos coordonnées et du lieu de votre choix, le bot de prise de rendez-vous parcourait le système de réservation, trouvant et sécurisant rapidement un créneau disponible dès qu'il était vacant. Ce système a été mis à la disposition du public, a reçu un accueil très favorable et ses créateurs sont rapidement devenus les champions du peuple dans la lutte bureaucratique.
Un commerce cupide se développe
Malheureusement, la plupart des choses qui peuvent être utilisées de manière positive peuvent également l'être de manière malveillante. Assez rapidement, des personnes ont commencé à exploiter le bot développé avec de bonnes intentions pour s'approprier ces précieux rendez-vous et les revendre à des citoyens désespérés.
Le 10 mai, peu après le lancement de GamkenBot, le groupe MyVisit Appointments a été lancé sur un canal Telegram. Apparemment, le ministère de l'Intérieur n'est pas le seul service gouvernemental à s'appuyer sur le système de rendez-vous de MyVisit. Ainsi, le groupe Telegram propose des rendez-vous non seulement pour le renouvellement des passeports, mais aussi auprès de l'Autorité de la population, de la Société israélienne d'électricité, de l'Assurance nationale, de la Poste israélienne, du ministère des Transports, etc. Les administrateurs affirment être un groupe de développeurs dont le bot scanne et réserve instantanément les rendez-vous vacants, qui sont ensuite disponibles à l'achat. Des remises sont même accordées aux acheteurs de 2 rendez-vous ou plus.
Les services publics essentiels sont ainsi devenus une marchandise négociable. Mais si l'extorsion de citoyens à la recherche de services essentiels est déjà une mauvaise chose, cette vulnérabilité peut avoir des répercussions bien plus graves sur la sécurité nationale, que j'aborderai plus loin dans ce billet.
Les développeurs de ces bots prétendent qu'ils rendent un service à leurs clients. En réalité, leur activité n'est pas différente de la revente illégale de baskets ou de billets de concert. Ils se placent entre le fournisseur et l'utilisateur et facturent des frais pour une transaction qui aurait pu être effectuée sans leur intervention.
MyVisit, le système de prise de rendez-vous, est utilisé par les différents bureaux gouvernementaux pour les rendre plus accessibles. Cependant, en raison d'une mise en œuvre peu sécurisée, ce système a amplifié le problème même qu'il était censé résoudre. Cela signifie que des services financiers, administratifs et autres, essentiels à la vie des gens, sont effectivement rançonnés.
Un risque pour la sécurité nationale
De manière inquiétante, les implications ne s'arrêtent pas au racket direct des citoyens pour les programmes gouvernementaux de base. Cela pourrait permettre à toute entité hostile ou en quête de déstabilisation de fermer non seulement la filière des passeports du ministère de l'Intérieur, mais aussi l'enregistrement des chauffeurs de camions et de bus au ministère des Transports, toute visite auprès de la Compagnie nationale d'assurance ou d'électricité, etc. Et si cette liste s'étendait aux rendez-vous chez le médecin ou aux procédures hospitalières ?
Atténuation de la menace
MyVisit a essayé de bloquer les bots en intégrant un CAPTCHA sur la page de réservation, mais il n'a fallu que quelques jours aux développeurs du bot pour le contourner. En fin de compte, le CAPTCHA n'est pas une solution anti-bots car il peut être franchi à l'aide de techniques relativement simples, telles que des résolveurs générés automatiquement, des fermes manuelles ou la récolte de jetons, en fonction de la difficulté du CAPTCHA et de la motivation de l'acteur malveillant.
Aux débuts des bots, beaucoup pouvaient être détectés par de simples anomalies dans les en-têtes HTTP. Aujourd'hui, cependant, les bots ont évolué pour imiter de main de maître les interactions humaines en ligne. Pour vaincre les bots actuels, les produits de gestion des bots utilisent des mesures beaucoup plus avancées. L'empreinte digitale des terminaux et l'analyse comportementale sont combinées à des modèles d'apprentissage automatique, alimentés par des milliards de requêtes chaque jour pour détecter les tendances et les anomalies. Alors que les développeurs de bots apprennent à manipuler l'environnement de leur navigateur et à imiter le comportement humain, les chercheurs en menaces s'efforcent constamment d'améliorer les capacités de détection, en recherchant les altérations d'attributs, les traces d'automatisation et les nouvelles stratégies d'évitement.
Finalement, toute protection anti-bot peut être franchie par un acteur malveillant disposant de suffisamment de motivation et de ressources, du moins à petite échelle. Toutefois, la barre doit être placée aussi haut que possible, et nous devons toujours la relever. Sur ce point, en tout cas, il semble que certains services publics soient plutôt en retard par rapport aux fabricants de baskets.
Conclusion
Les bots présentent des avantages considérables dans la société actuelle. Par exemple, le bot qui a aidé à organiser les rendez-vous a été bien accueilli par les citoyens car il leur a été réellement bénéfique. Les chatbots et les bots d'assistance sont destinés à nous faciliter la vie et, malgré quelques inconvénients mineurs, ils y parviennent souvent.
Avec les progrès technologiques, des tâches de plus en plus compliquées peuvent être automatisées et déléguées à des bots. Si ces bots nous épargnent des efforts fastidieux et nous aident à relever des défis plus importants, ils présentent également des risques d'utilisation malveillante. Pour protéger et garantir l'intégrité de notre vie en ligne, nous devons être en mesure d'identifier et de classer les bots, et de les tenir à l'écart des domaines où ils n'ont pas leur place.
