Alerte relative aux achats des fêtes de fin d'année 2016

Auteur : Benjamin Brown

Résumé

La période des fêtes de fin d'année 2016 approche à grands pas. De plus en plus de consommateurs préfèrent les achats en ligne plutôt que d'aller affronter la cohue des magasins. La période est donc propice à un examen des menaces potentielles auxquelles les actifs numériques des détaillants sont exposés et des actions à entreprendre à leur endroit. Vous devrez d'abord vous pencher sur le volume de trafic attendu et garder à l'esprit que ce trafic sera amené à évoluer au cours du temps. En plus du trafic des acheteurs, vous devrez vous préparer à des volumes massifs de trafic malveillant avec attaques par déni de service distribué (DDoS), des robots d'indexation, des extracteurs, des attaques de type « account checker », les générateurs de spam, des piratages DNS et des programmes malveillants.

Schémas de trafic précédents et pics d'affluence

La préférence croissante pour les boutiques en ligne (voir les chiffres ci-dessous) rend d'autant plus importante l'observation détaillée des habitudes d'achat en ligne des consommateurs. Le comportement d'achat n'est pas l'unique facteur évolutif ; la période d'achat change tout autant. L'étude de fin d'année 2015 de la fédération nationale des commerçants (National Retail Federation) a révélé que 41 millions des internautes ayant effectué des achats au cours du week-end de Thanksgiving ont commandé en ligne le jour de Thanksgiving (soit 40 %). Alors que les détaillants se concentrent plutôt sur le Black Friday, le week-end consécutif et le Cyber Monday, ils ne doivent pas pour autant minimiser le potentiel d'augmentation de trafic du jour de Thanksgiving. S'ils le négligent, ils pourraient subir un trafic légitime massif que leur équipement matériel ne serait pas en mesure de gérer.

Holiday Threat Advisory NRF

Dans les faits, le trafic des utilisateurs n'affiche pas toujours un schéma constant ou prévisible. Il est donc indispensable que les boutiques en ligne se préparent aux pics de type « flash mob » et aux vagues d'affluence qui ressemblent à s'y méprendre à des attaques DDoS. Un des moyens de les distinguer est d'observer le ratio clients/requêtes. Un pic de type « flash mob » se matérialise par des interactions entre humains et propriété numérique. Elles génèrent une quantité relativement faible de requêtes mais un grand nombre de clients. À l'inverse, la plupart des attaques DDoS tendent à s'appuyer sur un nombre élevé de requêtes par client et une quantité moyenne à élevée de clients. L'une des méthodes de gestion des pics de type « flash mob » consiste à identifier le contenu susceptible de faire l'objet de nombreuses requêtes et de configurer une mise en cache ou un délestage efficace. L'utilisation stratégique du contenu statique, que les pics de type « flash mob » risquent de mobiliser massivement, peut dans le même temps grandement diminuer la tension exercée sur le site. Si vous êtes client Akamai, vous pouvez contacter l'équipe chargée de votre compte pour vous aider à évaluer et optimiser la configuration de votre site en prévision de ce type d'événement.

DDoS

En dehors des flux de trafic légitime, les détaillants doivent également anticiper le trafic malveillant sous forme d'attaques DDoS. Ces dernières peuvent provenir de hackers chapeaux noirs qui cherchent à se faire un nom, tels que Poodle Corp et Lizard Squad (voir la capture d'écran de leur outil DDoS ci-dessous) ou encore d'activistes politiques, comme les « hacktivistes » d'Anonymous. Il peut s'agir de cybercriminels d'Europe de l'Est en riposte aux récentes attaques contre les banques russes. Une attaque DDoS peut également servir de couverture ou de diversion pour les objectifs réels du hacker : piratage de comptes ou vol de données.

La première étape de construction d'une protection anti-DDoS consiste à mettre en place un WAF (Web Application Firewall) entre votre site Web et le monde extérieur. Vérifiez que vous disposez des derniers ensembles de règles et réexaminez vos règles actives pour en assurer la conformité avec votre configuration et votre ensemble de propriétés. La mise en place de règles de régulation de débit se justifie par la nature du trafic légitime attendu. Vous pouvez envisager de refuser le trafic issu de régions qui ne correspondent pas à votre clientèle cible. Vous pouvez également recourir au blocage du trafic issu de proxy connus et anonymes. En outre, nous recommandons aux entreprises de réviser leur niveau actuel de fiabilité DNS afin de déterminer la pertinence de la mise en place d'un second DNS ou d'un DNS de secours. Si nous devions retenir un seul enseignement de la récente attaque DNS Dyn, c'est que la centralisation DNS peut entraîner des scénarios catastrophe. Écrivez à l'avance un document de référence contenant des scénarios d'attaque possibles avec les manœuvres défensives adaptées et distribuez-le à votre équipe. Améliorez ce document de référence en organisant des exercices de simulation basés sur des scénarios d'attaque avec les membres de votre équipe. Pendant le débriefing de la simulation, efforcez-vous de réviser et d'optimiser le document de référence. Multipliez les simulations avec des variables évolutives, combinez ou enchaînez les scénarios d'attaque et réfléchissez à l'intervention d'un spécialiste des essais de sécurité pour affiner encore davantage votre réaction aux incidents. Travaillez en partenariat avec les fournisseurs tiers en mesure d'améliorer votre réactivité et d'étayer des protocoles de communication clairs pour un système que vous exploitez sans en avoir pour autant le contrôle total.