Les attaques contre les sites e-commerce, surtout dans les périodes telles que le Black Friday et le Cyber Monday, sont massives et tentent surtout de trouver une faille. C’est ce que décrit DataDome, spécialiste de la protection des sites, contre les bots malveillants et la fraude en ligne. DataDome annonce comme clients McDonald’s, TripAdvisor, Vinted, Asus, SoundCloud, etc.
Bourrage du site avec des informations d’identification
La société relève qu’avant le le Black Friday, c’est la phase de préparation des cybercriminels. Dès la mi-novembre, les cybercriminels lancent une phase d’échauffement stratégique. Cette période de préparation est cruciale pour maximiser l’impact des attaques.
Les hackers effectuent des tests intensifs de données qui ont fuité, ce que l’on appelle le « credential stuffing », c’est à dire un bourrage d’informations d’identification sur le site. Les fraudeurs exploitent des bases de données d’identifiants dérobés pour tester leur validité sur les sites cibles. Ces attaques sont automatisées. Elles visent à identifier les comptes vulnérables, en anticipant une ruée de consommateurs distraits pendant le Black Friday.
Dans le même temps, on observe la création de comptes frauduleux. En s’appuyant sur des informations dérobées, les cybercriminels multiplient les tentatives de création de faux comptes frauduleux pour préparer des campagnes de phishing avancées. Durant cette période, les sites e-commerce sont soumis à une pression constante. Les attaquants évaluent la capacité des sites à résister aux assauts massifs, cherchant des failles exploitables pour le jour J.
Le jour du Black Friday est l’apogée de l’offensive
Selon DataDome, le jour J du Black Friday est sous le feu des cyberattaques. Le vendredi du Black Friday représente l’apogée de l’offensive. Après une semaine de calibrage, les cybercriminels passent à l’action, lançant des attaques à grande échelle. Les tentatives d’intrusion s’intensifient avec des pics d’activité impressionnants.
DataDome annonce un rythme de plus de 5 000 tentatives par seconde. La moitié des attaques sont alors de type “spray and pray”, autrement dit « pulvériser et prier« . Ces attaques sont de masse et non ciblées. Elles consistent à inonder les systèmes de requêtes malveillantes dans l’espoir qu’une petite fraction réussisse. Elles exploitent généralement des vulnérabilités simples.
Recyclage de sessions et de cookies
D’autre part, près d’une autre moitié sont sophistiquées, mais toujours en mode “spray and pray”. Bien que similaires aux attaques basiques, ces tentatives utilisent des tactiques avancées : usage d’IP résidentielles pour masquer leur origine, recyclage de sessions et de cookies pour contourner les mesures de sécurité et utilisation de « bots as a service », achetés sur le Dark web, pour automatiser les attaques.
Enfin, on observe 5 % d’attaques hautement ciblées et personnalisées. Selon DataDome, ces attaques représentent la menace la plus préoccupante. Elles sont conçues spécifiquement pour contourner les défenses de pointe. Elles visent directement les infrastructures des sites afin d’impacter leurs revenus pendant des événements à fort retour sur investissement.
Simulation d’acheteurs en ligne qui bloquent le site
On peut encore mentionner les attaques qui visent notamment à connaître le stock réel d’un produit proposé sur un site et à l’empêcher d’être acheté, où le robot imite des sessions d’acheteurs qui réservent le même produit jusqu’à ce que le site indique que ce dernier n’est plus disponible.
