Les bots ne dorment jamais

Comment s’explique la recrudescence des attaques Web, et pourquoi les stratégies de défense actuelles doivent évoluer vers les services de sécurité dans le cloud ?

Le trafic internet continue de croître de façon significative. Cela s’explique en partie par le nombre d’utilisateurs toujours plus élevé (l’ONU prévoit 3,9 milliards d’internautes en 2019 contre 2.8 Milliards en 2015). Cependant, tous ces utilisateurs ne sont pas humains. 

Qu’est qu’un bot et que fait-il ? 

D’après une étude d’Incapsula, près de la moitié des communications émanent de machines. Les internautes en chair et en os ne représentent que 51.5% des échanges. D’ailleurs, Cisco a prédit en 2015 que le trafic serait en fait multiplié par trois sur la même période avec l’avènement du M2M (machine-to-machine ou IOT). 

Les bots (diminutif de robots) sont de simples scripts qui automatisent des tâches récurrentes et qui ne s’arrêtent jamais. Leur degré de malveillance varie. Alors que certains s’affairent à indexer les nouvelles pages crées sur le web pour le compte des moteurs de recherche ou à scanner des sites pour identifier des vulnérabilités et prévenir les propriétaires, d’autres ont des activités moins louables. L’attaque la plus visible, même si ce n’est pas nécessairement la plus grave, consiste à défigurer la page d’accueil du site en la modifiant ou en la remplaçant par une autre page. 

Mais les bots malveillants peuvent s’adonner à bien d’autres activités : aspirer l’ensemble des données des sites pour les réutiliser, rediriger les connections des internautes vers des publicités en "Pay-Per-Click", voler des informations confidentielles via des injections SQL ou encore déposer des malwares sur des sites tiers pour piéger les internautes. Ces bots malveillants représentent tout de même 29% des échanges sur internet. Un tiers des incidents suffisamment critiques pour conduire à l’arrêt des sites web victimes sont liés à des attaques par déni-de-service (DDoS) menées par ces bots (source : 2015-2016 Radware Global Application and Network Security report). 


Accélération des développements DevOps, et manque de ressources Cybersécurité dans les entreprises


A l’origine de toute attaque réussie, il y a forcément une vulnérabilité sur le système hôte. Il existe trois principales raisons : l’interconnexion des services « back-end », la dynamique des informations et l’adoption du DevOps. 

Un site web est interconnecté à de nombreuses machines en réseau. Ces machines remplissent différentes fonctions : diffuser de la publicité personnalisée à l’internaute, présenter de nouvelles vidéos, activer des plugins de gestion, etc. Tous ces contenus peuvent introduire instantanément des failles sur le système sans possibilité de contrôle. La place croissante de l’information temps réel accélère cette interconnexion et fragilise toujours plus l’environnement. En parallèle, le site peut évoluer de très nombreuses fois par jour grâce à l’adoption des modes de développement agile (DevOps) qui modifient l’application à la volée. La surface d’attaque est donc à géométrie variable et en perpétuel changement 24/24.

La machine ne suffit plus

Le paradoxe est que, pour lutter efficacement contre les bots, l’utilisation de machines seules ne suffit plus à lutter efficacement. La détection des bots est très difficile tant leur posture approche maintenant celle d’un utilisateur. L’utilisation de simples "captchas" n’est plus suffisante lorsque l’attaquant utilise des "codes javascript" intelligents pour répondre aux leurres les plus sophistiqués.  

En juin 2014, le bot de conversation Eugene Goostman a gagné la compétition des tests de Turing du "Royal Society" de Londres en se faisant passer pour un humain. Plus du tiers des jurés étaient convaincus avoir affaire à un humain après cinq minutes de conversation. En 2016, Tay, le "chat bot" de Microsoft a tenu deux jours sur Twitter avant d’être déconnecté le 23 mars pour avoir énoncé des propos antisémites. 

Les machines sont assez intelligentes pour se camoufler derrière d’autres systèmes pour cacher leur adresse IP, ou pour en changer incessamment et encrypter leur communications pour échapper au contrôle. La majorité des systèmes de défense périmétriques reposent en fait sur le contrôle de l’émetteur par son adresse IP, et seuls les trafics en clair sont systématiquement étudiés avant d’être présentés au serveur web.

Des organisations disponibles 24H/24H

Pour monitorer et protéger ces infrastructures mouvantes, la demande en ressources de cyber sécurité ne cesse de croître. Il n’est plus envisageable de compter sur des équipes qui vont travailler uniquement en heure de bureau pour assurer la protection et la réponse aux attaques. Il faut définir des organisations flexibles et réactives au changement, disponibles 24H/24H. Les besoins en personnels formés sont estimés à 6 millions d’individus d’ici 2019, avec un manque attendu de plus d’un million et demi de candidats, d’après Michael Brown, PDG de Symantec. En 2014, le rapport de sécurité de Cisco avait atteint les mêmes conclusions en prévoyant une carence d’un million de professionnels. D’après le magazine CSO, seuls 24% des entreprises ont la capacité de monitorer en temps réel leur infrastructure 24/24.  Les deux raisons majeures sont le manque d’expertise – invoqué dans 35% des cas – et le manque de ressource - dans 26% des cas.


Comment lutter efficacement ?


Pour se protéger efficacement, il faut donc faire appel à des « usines de sécurité » fonctionnant en 24/24, hautement automatisées pour faire face aux flots de menaces les plus simples, et contrôlées par des personnels bien formés et avisés pour répondre aux attaques les plus complexes. Ces usines ne sont autres que des services de sécurité dans le cloud, dans lequel le trafic internet transite avant d’atteindre vos sites web. Elles doivent être conçues pour:

  • Résister à des afflux massifs de trafic qui cherchent à écrouler les systèmes de défense en les engorgeant de requêtes (deni-de-service)
  • Apprendre automatiquement les changements de vos sites web afin d’adapter les boucliers de protection en temps réel,
  • Prendre l’empreinte des stations malveillantes (par finger-printing),  pour  identifier simplement les attaquants même si ceux-ci se cachent en changeant régulièrement d’adresse IP
  • Ne pas être aveuglés par le cryptage des attaques en SSL, sans risquer  de compromettre vos clefs de déchiffrement en les exportant dans le cloud.