Les robots contournent-ils vos défenses ? 3 tendances contre lesquelles se protéger
Dans le paysage numérique actuel, où les applications et les API sont l'élément vital des entreprises, une menace silencieuse se cache : des adversaires robots sophistiqués. Alors que les mesures de sécurité traditionnelles se concentrent sur la prévention des attaques malveillantes, les menaces automatisées passent inaperçues en imitant le comportement humain et en exploitant les lacunes de la logique des application de manière inattendue.
Le rapport 2025 sur les robots persistants avancés récemment publié par F5 Labs met en lumière l'évolution des tactiques des robots persistants avancés et les défis qu'ils posent. Même si vous souhaiterez lire l’intégralité du rapport, voici trois tendances qui m’ont marqué dans la recherche de cette année et ce que les entreprises peuvent faire pour se protéger.
1. Credential stuffing: Lorsque les mots de passe volés exposent des données précieuses
Imaginez un scénario dans lequel des cybercriminels utilisent des informations d’identification volées facilement disponibles pour accéder à des comptes d’utilisateurs sensibles. C’est la réalité du credential stuffing, une attaque répandue menée par des robots qui exploite la pratique répandue de la réutilisation des mots de passe. Selon F5 Labs, certaines organisations subissent jusqu'à 80 % du trafic de connexion provenant d'attaques de credential stuffing lancées par des robots. Le rapport souligne que, même avec un faible taux de réussite de 1 à 3 % par campagne d’attaque, le volume considérable de connexions automatisées se traduit par un nombre substantiel de comptes compromis.
Des incidents tels que la violation de PayPal en 2022, où près de 35 000 comptes d'utilisateurs ont été consultés pour exposer des informations personnelles hautement monétisables , fournissent des bases de données massives de noms d'utilisateur et de mots de passe pour une utilisation malveillante sur d'autres services en ligne. Étant donné que de nombreuses personnes réutilisent leurs mots de passe, même un faible taux de réussite peut donner lieu à un succès significatif. Ces informations peuvent ensuite être utilisées pour des transactions frauduleuses ou le vol de données, ou vendues sur le dark web pour des attaques ciblées.
Ces dernières années, plusieurs marques bien connues ont signalé des attaques de credential stuffing . Le déclin de la société de tests génétiques 23andMe a été en partie attribué à une campagne de credential stuffing qui a exposé les informations sur la santé et l'ascendance des clients. Des données ont été trouvées en vente sur le dark web au prix de 1 000 $ pour 100 profils, jusqu'à 100 000 $ pour 100 000 profils.
La société a cité le manque d'adoption par les clients de l'option d'authentification multifacteur (MFA) du site comme principal échec, mais en fait, la nature insidieuse du credential stuffing réside dans sa capacité à contourner les mesures de sécurité traditionnelles. Étant donné que les robots utilisent des informations d’identification légitimes et n’essaient pas d’exploiter des vulnérabilités, ils ne déclenchent pas d’alarmes typiques. L'authentification multifacteur peut aider, mais en raison de l'augmentation des proxys de phishing en temps réel (RTPP), elle n'est pas infaillible. Les organisations doivent mettre en œuvre des solutions de détection de robots intelligents qui analysent les modèles de connexion, les empreintes digitales des appareils et les anomalies comportementales pour voir ce qui se passe réellement.
2. L'hospitalité assiégée : Les robots de cartes-cadeaux et l'essor du « carding »
Alors que les secteurs de la finance et de la vente au détail sont souvent considérés comme des cibles privilégiées pour les cyberattaques, les recherches de F5 Labs ont montré que l'hôtellerie est fortement ciblée par les activités de robots malveillants. En particulier, les robots de « carding » et de cartes-cadeaux ciblent les sites Web et les API du secteur de l'hôtellerie, certaines organisations connaissant une augmentation de 300 % de l'activité des robots malveillants par rapport à l'année dernière. Le rapport note également que la valeur moyenne des cartes-cadeaux ciblées par les robots augmente.
Carding utilise des robots pour valider les numéros de cartes de crédit volés en les testant rapidement sur les pages de paiement et les API. Les robots de cartes-cadeaux exploitent les programmes de fidélité et les systèmes de cartes-cadeaux. Les attaquants les utilisent pour vérifier les soldes, transférer des points ou échanger des récompenses de manière illégale. Ces robots ciblent souvent des vulnérabilités telles que des modèles simples et des identifiants de cartes-cadeaux séquentiels.
La vulnérabilité du secteur de l’hôtellerie vient du fait que les points de fidélité et les cartes-cadeaux sont essentiellement des monnaies numériques. Les cybercriminels peuvent facilement convertir ces actifs en espèces ou les utiliser pour acheter des biens et des services.
Pour se protéger, les entreprises du secteur de l’hôtellerie doivent mettre en œuvre des stratégies robustes de détection et d’atténuation des robots, spécifiquement adaptées pour répondre à ce type de menaces. Cela comprend la surveillance de l’activité des cartes-cadeaux, l’analyse des modèles de transaction et la mise en œuvre de solutions capables de différencier les humains des robots. Les CATPCHA, autrefois la solution de référence pour bloquer les robots, ont été facilement contournés par les opérateurs de robots pendant des années, comme nous le verrons ensuite.
3. Contourner les gardiens : Les proxys résidentiels et la futilité des CAPTCHA
Les défenses traditionnelles contre les robots, comme les CAPTCHA et le blocage d'IP, échouent face à des tactiques d'évasion de plus en plus sophistiquées. Les opérateurs de robots peuvent facilement externaliser la résolution des CAPTCHA vers des fermes de clics humaines, où les individus sont payés de petites sommes pour résoudre des défis à la demande.
En outre, l’essor des réseaux proxy résidentiels est un facteur important. Ces réseaux acheminent le trafic des robots via des adresses IP résidentielles via des appareils compromis, masquant les véritables adresses IP des robots. Le rapport de F5 Labs suggère que les proxys résidentiels sont désormais largement utilisés par les opérateurs de bots, et la majorité du trafic de bots semble désormais provenir de ces réseaux.
Le fournisseur de gestion d'identité Okta a souligné le rôle de la large disponibilité des services proxy résidentiels dans une vague d'attaques de credential stuffing sur ses utilisateurs l'année dernière. La société a déclaré que des millions de fausses requêtes avaient été acheminées via des proxys résidentiels pour faire croire qu'elles provenaient d'appareils mobiles et de navigateurs d'utilisateurs quotidiens, plutôt que de l'espace IP des fournisseurs de serveurs privés virtuels (VPS).
Pour lutter efficacement contre ces techniques d’évasion avancées, les organisations doivent aller au-delà des défenses traditionnelles et adopter des solutions de robots intelligents. Ces solutions exploitent l’apprentissage automatique et l’analyse comportementale pour identifier les robots en fonction de leurs caractéristiques uniques. En se concentrant sur un comportement humain, plutôt que de s’appuyer sur des adresses IP ou des CAPTCHA, les organisations peuvent détecter et bloquer plus précisément les attaques de robots sophistiquées.
Naviguer dans le paysage des risques : Trouver le point idéal pour votre défense contre les robots
En fin de compte, le niveau de défense contre les robots qu’une organisation met en œuvre dépend de son appétence au risque. Chaque entreprise doit évaluer les coûts et les avantages potentiels des différentes stratégies d’atténuation et déterminer le niveau de risque qu’elle est prête à accepter.
Il n’est peut-être pas possible, ni même souhaitable, d’éliminer complètement tout le trafic des robots, car certaines activités automatisées sont légitimes et bénéfiques. Cependant, ne pas lutter contre les activités malveillantes des robots peut entraîner des pertes financières importantes, des atteintes à la réputation et la frustration des clients.
La clé est de trouver le bon équilibre. En comprenant les différents types de robots ciblant votre organisation, en évaluant l’impact potentiel de leurs activités et en mettant en œuvre des mesures de détection et d’atténuation appropriées, vous pouvez gérer efficacement votre risque lié aux robots et protéger votre entreprise, ainsi que vos clients, contre les menaces avancées de robots persistants.
Pour en savoir plus, lisez le rapport complet ici . Visitez également notre page Web F5 Distributed Cloud Bot Defense .