Mettez toutes les chances de votre côté : l'impact des sneakers bots sur les achats des fêtes de fin d'année
Vidéo de Joseph Martinez
Introduction
Les bots constituent l'un des meilleurs exemples, dans les domaines de la technologie et de la sécurité, de la façon dont un outil qui peut être utilisé pour accomplir un acte bienveillant (fournir un simple « confort de vie », comme des bots de discussion avec des temps de réponse rapides, ou garantir des résultats corrects dans les moteurs de recherche) peut également être utilisé pour accomplir un acte très préjudiciable.
Lorsque les professionnels de la sécurité évoquent les bots, ils ont tendance à penser aux attaques par déni de service distribué (DDoS). Les attaques DDoS ont causé des dégâts considérables dans les organisations du monde entier, et les clients de ces organisations en ont subi les conséquences.
L'une des attaques DDoS les plus célèbres, l'attaque DynDNS de 2016, a provoqué des pannes jusqu'au niveau des FAANG (Facebook, Amazon, Apple, Netflix et Google). Le phénomène des attaques DDoS ne faiblit pas non plus. Au contraire, les pirates font évoluer leurs stratégies en la matière, notamment en utilisant les attaques DDoS comme méthode d'extorsion secondaire pour les victimes de ransomwares.
Pour les internautes, cependant, le terme « bot » désigne généralement un chatbot : un bot avec lequel vous pouvez converser (comme ChatGPT) et/ou un bot de service client qui vous oriente vers l'équipe appropriée pour résoudre votre problème. Il est certain que ces bots sont plus proches de la catégorie « inoffensif et utile » de la palette des bots.
Ce que les internautes ne savent peut-être pas, c'est que les bots peuvent également (et sont très souvent) à l'origine des prix exorbitants, si tant est que l'article que vous souhaitez soit disponible. Les fêtes de fin d'année approchant à grands pas, les internautes doivent être encore plus vigilants à cette période de l'année.
La cybersécurité est la responsabilité de tous
Bien que le Groupe Security Intelligence (SIG) d'Akamai ne publie généralement que des recherches techniques approfondies sur la sécurité, dans le cadre du mois de sensibilisation à la cybersécurité d'octobre, nous avons pensé qu'il serait pertinent de s'adresser directement à vous, l'internaute, pour vous aider à comprendre pourquoi il peut être difficile d'obtenir les billets ou les articles en édition limitée que vous voulez.
Même s'il existe une multitude de types de bots, nous nous concentrerons dans cet article sur les bots malveillants de type « sneakers bots » ou « bots de revente » : leur nature, leur mode d'utilisation et la manière dont leur existence et leur utilisation affectent les internautes.
Qu'est-ce qu'un sneaker bot ?
Un sneaker bot est un code malveillant conçu pour explorer les sites Web afin de réserver des articles tels que des baskets en édition limitée, d'où son nom (sneaker signifie basket en anglais). On les appelle aussi « bots de revente » ou « sniper bots ». Ces bots ne sont pas réservés au secteur de la chaussure, loin de là. En effet, on constate que le nombre de bots de ce type a considérablement augmenté en dehors du commerce digital, comme en témoigne le retard dans le renouvellement des passeports qu'ont connu les Israéliens au cours de l'été 2022.
Ces types de bots ne provoquent pas seulement une grande frustration chez les clients éventuels, mais ils alimentent également l'industrie prédatrice de l'exploitation des prix de revente. Nous avons tous fait l'expérience d'avoir à utiliser des sites de revente tiers avec des majorations très élevées pour acheter quelque chose que nous voulions vraiment (nous parlons ici de marges bénéficiaires pouvant aller jusqu'à 7 000 %) .
Les « sneakers bots » sont-ils illégaux ?
Comme vous le dira n'importe quel avocat : « cela dépend ». Toutefois, ils enfreignent les conditions générales de plusieurs sites de commerce électronique. Étant donné que n'importe qui peut en créer un avec le savoir-faire adéquat, une nouvelle sous-industrie a vu le jour : les sneakers bots en tant que service.
Vous pouvez bénéficier, moyennant paiement, de bots qui ont déjà été construits. Vous pouvez les acheter pour les utiliser en permanence ou les louer au cas par cas. Les frais peuvent être très élevés, jusqu'à 500 $ dans certains cas, et l'utilisation de tels services ne garantit pas que vous obtiendrez l'objet.Ces services peuvent augmenter vos chances, mais l'obtention n'est certainement pas garantie.
Un risque (qui n'en vaut pas vraiment la peine)
Néanmoins, il peut être très tentant d'utiliser l'un de ces services, surtout en période de vacances. En effet, vous deviendriez le meilleur parent du monde si vous rameniez à la maison les Nike en édition limitée dont votre enfant ne cesse de parler. Mais 500 $ pour « peut-être » l'avoir, c'est pour le moins risqué et, si l'on en croit ceux d'entre nous qui travaillent pour une entreprise qui reçoit une quantité impressionnante de données sur le trafic des bots, ce n'est vraiment pas un risque qui vaut la peine d'être pris.
Pourquoi les bots sont-ils si répandus ?
Nous avons établi qu'il y a des bots bienveillants et des bots malveillants. Quel que soit le type de bot auquel vous pensez, la vitesse joue un rôle important dans l'omniprésence des bots. La vitesse à laquelle ces bots peuvent effectuer des tâches est inconcevable pour un humain. Cette vitesse permet d'exécuter les tâches de manière tellement plus efficace qu'une entreprise peut réaliser d'importantes économies en utilisant des bots.
Les bots peuvent également nous soulager d'une charge mentale dans notre vie quotidienne : ils peuvent nous envoyer des rappels, des informations, des notifications, etc. Pour faire simple, ces bots bienveillants nous facilitent la vie. C'est pourquoi il est très important de séparer ces bots bienveillants des bots malveillants, c'est-à-dire ceux qui sont conçus pour nuire au système ou pour frauder.
À quel point un bot peut-il causer des dégâts à un internaute ?
Ici, chez Akamai, les bots n'ont plus de secret pour nous. Plus important encore, nous connaissons les dégâts que les bots peuvent causer. Nous avons estimé, en particulier pendant le mois de la sensibilisation à la cybersécurité, qu'il était nécessaire de montrer à quel point un bot malveillant peut rapidement causer des dégâts directement à la personne touchée (Figure).
Vous ne devez plus vous demander « si » vous avez été personnellement affecté par une violation de données. En effet, vous avez une probabilité astronomique d'avoir été affecté plutôt que de ne pas l'avoir été. Nous partageons tous nos données partout, souvent sans réfléchir : obtenir un essai gratuit par ici, créer un compte par là - tout cela s'accumule, et les pirates le savent.
Les attaques par credential stuffing : le tueur en série
Ce n'est un secret pour personne : la réutilisation des mots de passe est un phénomène courant auquel la plupart d'entre nous se sont livrés à un moment ou à un autre de leur vie. Malgré la rhétorique constante qui déconseille cette pratique, les exigences de plus en plus complexes en matière de mots de passe peuvent donner l'impression que la réutilisation des mots de passe est la seule option possible pour certaines personnes. (Si vous avez besoin d'aide dans ce domaine, passez à la section3 moyens de vous protéger).
La réutilisation des mots de passe est une habitude dont il faut absolument se défaire, en particulier à cause de ce que l'on appelle les attaques par credential stuffing. Les attaques par credential stuffing se produisent lorsqu'une entité malveillante obtient les informations d'identification d'une personne et tente de les utiliser pour s'authentifier sur d'autres sites Web..
Par exemple : si votre nom d'utilisateur et votre mot de passe pour un compte de réseaux sociaux sont compromis, un attaquant disposant de ces informations pourrait les utiliser pour se connecter à des sites Web bancaires ou à d'autres sites contenant des informations sensibles.
Ce serait déjà assez grave si un humain saisissait manuellement ces informations d'identification. Mais si on y ajoute un bot qui fait le gros du travail, il y a de quoi s'inquiéter. Comme le montre la figure, avec ce processus automatisé, un pirate pourrait tenter des milliers de combinaisons d'identifiants sur un site en quelques minutes. Plus le nombre de sites disposant de la même combinaison d'identifiants est élevé, plus le risque d'exposition est grand.
3 moyens de vous protéger
Les pirates ont un avantage considérable sur les internautes car ils connaissent les mesures de défense courantes et savent comment les contourner, c'est pourquoi il est impératif de faire preuve de vigilance. La cybersécurité est la responsabilité de chacun.
Il existe trois moyens fondamentaux de se protéger : lutter contre la tentation de faire appel à des sneakers bots, se doter d'un gestionnaire de mots de passe et toujours utiliser l'authentification multifactorielle (MFA).
1. Lutter contre la tentation de faire appel à des sneakers bots pour obtenir des articles en édition limitée, des billets de concert ou d'autres articles de ce type
Essayer d'augmenter ses chances de recevoir des articles spéciaux peut sembler extrêmement attrayant, mais en faisant appel à des sneakers bots, vous confiez vos informations de paiement et de contact à quelqu'un dont vous ne savez rien. Vous contribuez aussi directement au problème de l'existence des bots.
N'oubliez pas : obtenir l'article n'est jamais garanti. En fait, le sneaker bot lui-même pourrait très probablement être une escroquerie visant à vous voler votre argent.
2. Utiliser un gestionnaire de mots de passe pour créer et conserver des mots de passe complexes
On n'insistera jamais assez sur l'importance de la gestion des mots de passe pour assurer la sécurité de vos informations en ligne. Compte tenu de l'évolution constante des exigences, il est souvent préférable de laisser un produit spécialement conçu à cet effet faire le travail à votre place. Cette solution est plus simple et plus sûre : Vous n'avez qu'à vous souvenir d'un seul mot de passe et le gestionnaire se chargera du reste pour vous.
Changer trop souvent des mots de passe oubliés peut être aussi néfaste que de ne pas les changer suffisamment.
3. Veuillez, s'il vous plaît, S'IL VOUS PLAÎT utiliser l'authentification multifactorielle
L'activation et l'utilisation de l'authentification multifactorielle pour tout ce que vous pouvez est un autre grand conseil de sécurité de base. Cela oblige un pirate à passer par plusieurs étapes pour pirater un compte, ce qui lui donne plusieurs occasions d'échouer.
Il est préférable d'utiliser une méthode autre que le SMS (message texte), mais l'authentification à deux facteurs par SMS est bien meilleure que l'absence d'authentification du tout !
Ça y est, vous avez atteint la fin de cet article, mes chers amis
Alors que nous entamons une nouvelle année de sensibilisation à la cybercriminalité, il semble que les mêmes conseils ne cessent d'être recyclés. Ce n'est pas parce que les professionnels de la sécurité sont paresseux ; c'est parce que ces méthodes de défense ne sont pas encore aussi largement utilisées qu'elles devraient l'être.
L'hameçonnage, les bots et le credential stuffing sont des méthodes d'attaque qui existent pratiquement depuis les débuts d'Internet et qui font toujours partie des moyens les plus efficaces pour un pirate de vous exploiter.
Ce ne sont que des êtres humains
Un pirate est un être humain. Qu'il s'agisse d'un opérateur de ransomware, d'un auteur de botnet ou même d'une entité État-nation : ce sont des êtres humains. Ils cherchent à gagner leur vie comme nous tous. Il peut sembler étrange d'humaniser ces individus infâmes, mais il est nécessaire de comprendre ce point :
ces adversaires recherchent le moyen le plus efficace d'atteindre leur objectif. Par conséquent, plus vous rendez les choses difficiles pour un pirate, plus vous avez de chances qu'il passe à autre chose.
L'importance de la sensibilisation à la cybersécurité
En cette fin d'année, alors que les bots, les acteurs malveillants et l'environnement de terreur et de bonheur en perpétuelle évolution que nous appelons l'Internet, il est de votre responsabilité de vous informer davantage sur la cybersécurité. Plus nous sommes dépendants de la technologie, plus il est essentiel de garder cela à l'esprit.
