Dark background with blue code overlay
Blog

Tenir le rythme face aux botnets

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

Ce n'est un secret pour personne : la pandémie mondiale a accru les possibilités pour les cybercriminels de cibler les services financiers. Tout au long de l'année 2020, les escrocs ont profité de la tension économique causée par la COVID-19, et notamment des promesses d'aides financières et des angoisses liées aux difficultés économiques, pour cibler des victimes dans le monde entier via des attaques par hameçonnage

Ainsi, tenir le rythme de l'évolution de ces attaques rend ce combat d'autant plus complexe, en particulier maintenant que l'hameçonnage en tant que service est devenu une activité clé en main. Par exemple, les hackers, à l'aide d'un kit acheté sur le Dark Web, utilisent même de faux SMS des institutions financières pour inciter leurs victimes non averties à partager leurs identifiants de connexion. L'un de ces kits, Kr3pto, a été associé à plus de 4 000 campagnes d'hameçonnage par SMS, ciblant les clients de grandes banques des États-Unis et du Royaume-Uni.

Ensuite, les auteurs de ces attaques par hameçonnage échangent, vendent et exploitent les informations d'identification volées. Celles-ci, associées à d'autres données volées dans le cadre de violations à grande échelle, sont à l'origine d'une croissance exponentielle des attaques par credential stuffing. Des millions de nouveaux noms d'utilisateur et mots de passe, liés à plusieurs incidents notables depuis le début de la pandémie, ont commencé à circuler sur plusieurs forums du Dark Web. Une fois en circulation, ils sont triés et testés auprès des principales institutions financières et d'une multitude de marques sur Internet. Malheureusement, cette méthode exploite encore efficacement le fait que la plupart des utilisateurs ont tendance à utiliser les mêmes informations d'identification sur plusieurs plateformes.

Le rapport État des lieux d'Internet (SOTI) de 2021 consacré au hameçonnage dans le secteur de la finance a révélé que le monde avait subi 193 milliards d'attaques par credential stuffing en 2020. En mai 2020, deux dates se sont démarquées : Le 9 mai, le vol d'identifiants a atteint un pic de 786 882 475 attaques dans le monde entier. Cinq jours plus tard, le 14 mai, le secteur des services financiers a connu son propre record avec 47 698 955 attaques. Les données concernant le credential stuffing publiées dans notre dernier rapport SOTI montrent que le volume des attaques est resté stable en 2021, avec des creux et des pics au cours des deux premiers trimestres, ainsi que deux attaques notables en janvier et en mai. À ces dates, le trafic d'attaques par credential stuffing a dépassé le milliard d'attaques dans la journée (voir tableau ci-dessous).

botnet1.png

Les botnets créent une manne mondiale pour le credential stuffing

Un CSO de services financiers a deux priorités : la sécurité des informations à caractère personnel des clients et la disponibilité des services digitaux 24 h/24, 7 j/7. Ces deux éléments sont essentiels pour fidéliser les clients et répondre aux exigences des organismes de réglementation. Les attaques par credential stuffing menacent la sécurité des informations à caractère personnel et peuvent même évoluer vers des attaques DDoS qui perturbent la disponibilité.

Prenez cet exemple d'un groupe de services financiers classé au Fortune Global 500. Un jour, son site de prestations de retraite, qui traite généralement 20 000 tentatives de connexion non valides par jour, a commencé à faire l'objet de 50 000 tentatives de connexion non valides toutes les cinq minutes. Lors de cette attaque, l'infrastructure de l'entreprise a rencontré des difficultés, car les sessions des utilisateurs expiraient ou ces derniers n'étaient pas en mesure de se connecter à leur compte. Pire encore, les craintes de leurs clients étaient fondées : ils ne pouvaient pas se connecter parce que quelqu'un essayait de pirater leurs comptes. 

Si les banques et autres institutions encouragent leurs clients à changer régulièrement de mot de passe, ceux-ci se montrent réticents et persistent à utiliser les mêmes identifiants de connexion pour plusieurs comptes en ligne (e-commerce, banque, services publics). Même après l'annonce d'une violation de données, seulement un tiers environ des utilisateurs modifient généralement leurs mots de passe, selon une étude de 2020 publiée par l'Institut de la sécurité et de la protection de la vie privée de l'Université Carnegie Mellon (CyLab). Cette apathie fait le jeu des hackers. Globalement, deux tiers des identifiants volés fonctionneront probablement sur d'autres sites, notamment en tenant compte du fait que les hackers affinent la liste de combinaisons au moyen de différentes sources pour générer de nouveaux mots de passe si les combinaisons d'origine ne fonctionnent pas. 

Les banques représentent une cible particulièrement attrayante dans cette quête implacable du piratage de comptes. Plus de 3,4 milliards des attaques en 2020 ont ciblé le secteur financier, soit une augmentation de 45 % par rapport à 2019. Dans le cadre d'une campagne massive de credential stuffing, une institution financière a été bombardée de 55 141 782 tentatives de connexion malveillantes. Cette attaque constitue le pic de vol d'identifiants ciblé le plus important jamais détecté par Akamai contre une organisation de services financiers depuis que nous avons commencé ce suivi. 

Choisir une solution de gestion des bots pour prévenir ou atténuer les attaques

Les botnets automatisés tentent de valider des centaines de milliers d'informations d'identification d'utilisateurs sur des sites bancaires, en réutilisant les identifiants qui fonctionnent pour pirater des comptes, demander des prêts frauduleux et vider tous les fonds. (Ils passent parfois directement à l'étape 3.) Il n'est pas simple de mettre fin à ces attaques : en effet, les informations de connexion sont légitimes ; c'est l'entité qui tente de s'authentifier qui ne l'est pas. 

En tant que fournisseur de sécurité, nous avons vu jusqu'à 300 000 tentatives de connexions frauduleuses par heure issues d'un seul botnet ; tentatives susceptibles de faire perdre de l'argent aux entreprises, de nuire à la confidentialité et, pire encore, de détruire la confiance des internautes. D'après une étude de Ponemon Institute, « le coût total associé aux attaques par credential stuffing, notamment les pertes liées aux fraudes, à la sécurité des opérations, aux temps d'indisponibilité des applications et à l'attrition des clients, peut aller de 6 à 54 millions de dollars par an ».

La capacité à arrêter les attaques par credential stuffing dépend en grande partie du recours à des outils adaptés. Bien que la plupart des solutions soient conçues pour distinguer les bots des acteurs légitimes, deux considérations importantes doivent être prises en compte : 

  • L'efficacité avec laquelle la solution suit le rythme de l'évolution des botnets 
  • L'efficacité avec laquelle elle minimise les perturbations dans le parcours du client

Quel est le niveau de sophistication des bots et à quelle vitesse évoluent-ils ?

En raison des opportunités importantes qu'offrent ces attaques, le credential stuffing attire certains des pirates les plus doués, ce qui se traduit par des bots très sophistiqués. Il est donc essentiel de comprendre en détail l'écosystème actuel des bots dans votre secteur, ainsi que les technologies de détection des bots disponibles. La bonne solution sera celle qui sera capable de détecter les bots les plus sophistiqués que vous êtes susceptible de rencontrer. 

Les bots sophistiqués évoluent. Nombre de solutions de gestion des bots sont initialement capables de détecter la plupart des bots, mais perdent ensuite cette capacité lorsque ces derniers commencent à muter. C'est le cas lorsque les hackers constatent que vous avez identifié leur bot et cherchent alors immédiatement comment contourner votre solution en mettant à jour leur logiciel. Les bots mutés peuvent désormais éviter la détection d'origine et être à nouveau déployés. Les solutions doivent donc être tout aussi sophistiquées et déployer des technologies de détection des bots, telles que l'analyse du comportement des utilisateurs, qui reste efficace même lorsque les bots mutent. 

Le reporting est un autre facteur critique. La possibilité d'analyser de plus près des bots, des botnets ou des caractéristiques de bot spécifiques vous fournit des informations rapides et fiables concernant votre ennemi. Sans une vision claire, vos réponses ne seront pas optimales. 

Rejeter les connexions de bots sans nuire aux connexions des clients 

De plus en plus de clients de services bancaires effectuent des transactions en ligne et mobiles, grâce à la pandémie. Les volumes de trafic Web d'un client de services financiers d'Akamai ont connu une forte hausse après le confinement de mars 2020. Aujourd'hui, plus d'un an et demi plus tard, les activités bancaires digitales se sont généralisées dans le secteur. Cela signifie qu'il devient encore plus important de sélectionner des solutions de sécurité qui accompagnent le parcours du client de manière aussi fluide que possible. 

Les contrôles captcha onéreux, par exemple, ont tendance à perturber sérieusement ce parcours, en créant une frustration qui peut subtilement nuire à la fidélité. (Qui a envie de tourner en rond, à essayer de trouver tous les passages piétons après avoir échoué à identifier toutes les photos avec un avion ?) Une solution d'authentification conviviale (multifactorielle), fonctionnant dans un environnement protégé par un outil de gestion des bots discret, permet d'identifier formellement les utilisateurs et d'éliminer les bots nuisibles, sans complexifier le parcours de l'utilisateur. 

En outre, la technologie d'apprentissage automatique et l'analyse des comportements suspects avancées utilisées pour lutter contre ces menaces plus sophistiquées améliorent la précision. Plus l'algorithme est paramétré avec précision, plus l'analyse est précise, et plus votre capacité à prévenir les impacts sur les performances et à éliminer les faux positifs est grande.

Akamai propose plus de critères pour sélectionner les outils appropriés afin de renforcer votre base de sécurité sans interférer avec le parcours de vos utilisateurs. Atteindre ces objectifs ensemble contribuera grandement à maintenir la confiance et la fidélité de vos clients et à en attirer de nouveaux. Les botnets sont redoutables, mais vous pouvez l'emporter sur eux.

Apprenez-en davantage sur les possibilités offertes par Akamai aux entreprises de services financiers.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.