Présentation

Le trafic de bots automatisé peut avoir un impact négatif sur votre application Web, en termes de disponibilité, d'augmentation des coûts d'infrastructure, de distorsion des analyses et d'activités frauduleuses telles que la prise de contrôle de compte. La gestion des bots désigne les contrôles utilisés pour identifier le trafic provenant du bot, puis bloquer les flux indésirables. La complexité de ces contrôles dépend de la mesure dans laquelle les acteurs malveillants sont incités financièrement et politiquement à cibler une application Web. Plus ils seront motivés à cibler une application Web, plus ils investiront dans des techniques de détection et d'évasion, nécessitant des capacités d'atténuation plus avancées. Il est recommandé d’adopter une approche à plusieurs niveaux pour gérer les bots, avec des outils différenciés, chacun étant adapté à la sophistication spécifique des bots. Pour plus d’informations sur la manière de commencer, consultez les recommandations AWS pour la mise en œuvre d’une stratégie de contrôle des bots.

Détections basées sur les signatures pour les bots courants et pervasifs

Le trafic généré par des bots courants et pervasifs tels que les scanners et les crawlers pourrait être identifié et géré côté serveur en analysant la signature des demandes sur la base d'attributs HTTP tels que l'adresse IP, l'en-tête User-Agent ou l'empreinte TLS. AWS WAF vous permet d'utiliser les règles suivantes basées sur les signatures :

Détections comportementales pour les bots avancés

Lorsque les acteurs malveillants sont davantage incités à automatiser le trafic vers votre site Web (par exemple, pour des raisons financières, ils récupèrent du contenu pour le revendre, volent des données de cartes de crédit et les revendent, etc.), ils investissent davantage d'efforts et d'argent dans des techniques permettant d'échapper aux détections (par exemple, en utilisant des adresses IP de réseaux résidentiels, des cadres d'automatisation de navigateur avancés, des fermes de CAPTCHA, etc.). Pour les bots sophistiqués, les détections basées sur les signatures sont moins efficaces, ce qui vous oblige à déployer des détections comportementales plus avancées et plus coûteuses.

CAPTCHA

Les règles configurées dans AWS WAF peuvent avoir une action CAPTCHA, en plus du blocage, du comptage ou de la limite de débit. Lorsqu'une règle est configurée avec une action CAPTCHA, les utilisateurs doivent résoudre un casse-tête pour prouver qu'un être humain envoie la demande. Lorsqu'un utilisateur résout avec succès un défi CAPTCHA, un jeton est placé sur son navigateur pour éviter de remettre en question de futures demandes, en utilisant une durée d'immunité configurable. Découvrez les bonnes pratiques pour configurer le CAPTCHA.

Présentation d'AWS WAF Captcha

Défi silencieux

Les règles configurées dans AWS WAF peuvent comporter une action défi, en plus du blocage, du comptage ou de la limite de débit. Lorsqu'une règle est configurée avec une action défi, le navigateur est confronté à un défi silencieux (défi interstitiel) qui oblige la session client à vérifier qu'il s'agit bien d'un navigateur et non d'un bot. La vérification s'effectue en arrière-plan sans impliquer l'utilisateur final. Il s'agit d'une bonne option pour vérifier les clients que vous pensez ne pas être valides sans affecter négativement l'expérience de l'utilisateur final à l'aide d'un casse-tête CAPTCHA. Lorsqu’un utilisateur résout avec succès un défi silencieux, un jeton est placé sur son navigateur pour éviter de remettre en question de futures demandes, en utilisant une durée d’immunité configurable. Découvrez les bonnes pratiques pour configurer les défis.

Intégration d’applications clientes

Une autre option pour acquérir un jeton AWS WAF consiste à utiliser les SDK d’intégration d’applications AWS WAF. Les SDK nécessitent une programmation dans vos applications clientes, mais ils peuvent offrir une meilleure expérience client, leur utilisation est gratuite et ils peuvent être utilisés avec des navigateurs exécutant JavaScript, ou de manière native dans des applications mobiles Android ou iOS. L’intégration du SDK est utile dans les cas où les actions relatives aux règles Challenge ou CAPTCHA ne sont pas une option, par exemple dans le cas des applications à page unique. AWS WAF propose deux niveaux d’intégration des applications clientes :

  • Les SDK d’intégration intelligente des menaces : ils sont conçus pour fonctionner avec des règles intelligentes d’atténuation des menaces. Ils vérifient l’application cliente et fournissent l’acquisition et la gestion des jetons AWS. Elles fonctionnent de la même manière que l’action de la règle AWS WAF Challenge.
  • API JS d’intégration de CAPTCHA : Ces API vérifient les utilisateurs finaux à l’aide d’un puzzle CAPTCHA personnalisé que les clients gèrent dans leur application. Cette fonctionnalité est similaire à celle fournie par l’action de règle AWS WAF CAPTCHA, mais elle permet de contrôler davantage le placement et le comportement des énigmes. Cette fonctionnalité est disponible pour les applications JavaScript.

AWS WAF Fraud Control

AWS WAF fournit un ensemble de règles gérées visant à détecter les activités frauduleuses dans les flux de travail de connexion ou d'enregistrement. Le piratage de compte est une activité illégale en ligne par laquelle l'attaquant obtient un accès non autorisé au compte d'un utilisateur, soit en utilisant des informations d'identification volées, soit en devinant le mot de passe de la victime après une série de tentatives. Vous pouvez surveiller et contrôler les tentatives de piratage de comptes en mettant en œuvre la règle gérée par AWS WAF Fraud Control – prévention contre le piratage de compte (ATP). Pour chaque session utilisateur, ATP surveille le taux de tentatives de connexion, y compris les tentatives infructueuses, afin de détecter les tentatives de traversée du mot de passe ou du nom d'utilisateur. En outre, ATP vérifie les combinaisons de nom d'utilisateur et de mot de passe par rapport à une base de données d'informations d'identification volées, qui est régulièrement mise à jour au fur et à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web.

Prévention contre le piratage de comptes AWS WAF : procédure pas à pas

La fraude à la création de compte est une activité illégale en ligne par laquelle un attaquant tente de créer un ou plusieurs faux comptes. Les attaquants utilisent de faux comptes pour des activités frauduleuses telles que l'abus de bonus promotionnels et d'inscription, l'usurpation de l'identité d'une personne et des cyberattaques telles que le phishing. Vous pouvez surveiller et contrôler les tentatives de création de comptes frauduleux en mettant en œuvre la règle gérée par AWS WAF Fraud Control – prévention contre la fraude liée à la création de compte (ACFP). Pour chaque session utilisateur, l'ACFP surveille l'utilisation d'informations d'identification compromises, le score de risque IP, l'interactivité du client avec la page, le cadre d'automatisation détecté ou le comportement incohérent du navigateur, l'utilisation élevée du même téléphone/adresse/e-mail pour créer plusieurs comptes, etc.

AWS re:Inforce 2023 – Aider à prévenir la fraude sur les comptes avec AWS WAF

Pour utiliser toutes les fonctionnalités des différentes règles gérées par Fraud Control, vous devez ajouter un kit SDK côté client à votre application afin de suivre les comportements au niveau de la session.

Contrôle des bots WAF d'AWS pour les bots ciblés

Le groupe de règles du Contrôle des bots, configuré avec le niveau de protection Détection de bots, assure une détection et une atténuation sophistiquées des bots en créant une base de référence intelligente des modèles de trafic. Le Contrôle des bots pour Détection de bots utilise des techniques d’empreinte digitale du navigateur et des méthodes d’interrogation JavaScript côté client pour protéger votre application contre les bots avancés qui imitent les modèles de trafic humain et tentent activement d’échapper à la détection. Les contrôles de détection d’AWS WAF pour les bots fournissent également une technologie de machine learning prédictive pour se défendre contre les attaques distribuées basées sur des proxys. Le groupe de règles géré le contrôle des bots d’AWS WAF utilise une analyse automatique par machine learning des statistiques de trafic du site Web afin de détecter les comportements anormaux indiquant une activité de bot distribuée et coordonnée.

Ces options incluent la limitation dynamique du débit, des actions de défi et la possibilité de bloquer en fonction d’étiquettes et de scores de confiance. Pour en savoir plus sur cette fonctionnalité avancée, consultez cette conférence et ce blog.

AWS re:Invent 2023 – Comment contrôler les robots et contribuer à prévenir la fraude sur les comptes à l'aide d'AWS WAF

Détection comportementale au niveau de l'application

Au niveau de votre application, vous pouvez utiliser des signaux personnalisés pour identifier les comportements anormaux, en fonction des attentes de votre application. Par exemple, vous pouvez vous attendre à ce que les utilisateurs naviguent dans votre application dans un certain ordre, ou vous ne vous attendez probablement pas à ce qu'un utilisateur commande certains produits depuis/vers certains pays en fonction de son adresse enregistrée. En utilisant de tels signaux, vous pouvez automatiser votre réponse à l'aide d'AWS WAF, par exemple en bloquant ou en contestant les demandes CAPTCHA provenant d'adresses IP présentant un comportement suspect au niveau de l'application. Pour commencer à utiliser le concept d'automatisation du WAF basé sur les signaux des applications, consultez les exemples de cette solution AWS.

Les automatisations avancées incluent :

  • La consommation d'événements à haut risque émis par Cognito lors du processus de connexion/d'inscription.
  • La consommation d'événements à haut risque identifiés par Fraud Detector. Amazon Fraud Detector utilise le machine learning (ML) et met à contribution 20 ans d'expertise en détection de fraude d'Amazon Web Services (AWS) et d'Amazon.com pour identifier automatiquement les pratiques cybernétiques douteuses réalisés par des humains ou des bots en temps réel. Fraud Detector permet de détecter les fraudes en analysant le comportement des utilisateurs au niveau de l'application, en utilisant vos propres données historiques de fraude pour entraîner, tester et déployer des modèles de machine learning personnalisés pour la détection des fraudes adaptés à votre cas d'utilisation.

Fournisseurs de solutions de sécurité tiers

Une couche de protection supplémentaire peut être fournie par les fournisseurs de sécurité spécialisés dans la détection avancée des bots sur AWS Marketplace. Les fournisseurs incluent DataDome, Distill Networks, PerimeterX, Cequence, Kasada et Imperva.

Notez que chaque fournisseur de sécurité possède des atouts différents en termes de protections, de capacités et de coûts spécifiques à l'industrie. En général, votre application utilisant CloudFront peut intégrer les solutions des fournisseurs de deux manières :

  • Solution SaaS basée sur un proxy inverse, située entre CloudFront et votre site d'origine.
  • API d'atténuation des bots répliquée à l'échelle mondiale qui peut être appelée par Lambda@Edge pour chaque demande entrante (c'est-à-dire configurée en fonction de l'événement de demande de l'utilisateur) afin de décider de la manière de gérer la demande.
Intégration de Datadome en utilisant Lambda@Edge

Ressources

Cette page vous a-t-elle été utile ?

 Commentaires