Déploiement de robots malveillants à grande échelle et création de faux comptes
Le lancement de produits attendus depuis plusieurs mois par les consommateurs, comme les consoles de jeu, crée des émules et rend leur vente en ligne plus vulnérable. L’analyse de DataDome souligne la menace croissante posée par les bots, révélant que les e-commerçants ne sont pas préparés pour ce type d’attaques. En effet, les opérateurs de bots et les revendeurs ont affiné leurs tactiques, en exploitant par exemple la création de faux comptes comme principal outil pour contourner les limites d’achat. Autre constat, les cybers attaquants déploient des robots à grande échelle et créent rapidement plusieurs comptes pour s’emparer des stocks, ce qui empêche les vrais clients de se procurer ces produits très demandés. Ces comptes peuvent ensuite acheter des consoles en gros et les revendre à des prix gonflés sur les marchés secondaires. Voici 3 chiffres clés dévoilés par les contrôles de DataDome :
• 1) 100 % des sites testés autorisent la création de faux comptes – utilisés par les fraudeurs pour contourner les limites d’achat :
o Près d’un tiers (⅓) des sites testés ont permis aux bots de créer un compte sans techniques avancées.
o Près des trois quarts (¾) de ces e-commerçants ont permis aux bots de créer un compte en utilisant des techniques avancées comme la résolution de CAPTCHA ou la gestion de l’authentification multifacteur (MFA).

• 2) La majorité des sites de e-commerce analysés ne disposent pas de mesures de sécurité de base :
o 57,2 % des sites web n’ont pas déployé de défi CAPTCHA pour protéger le processus d’inscription.
o 64 % des sites web n’ont pas validé les adresses e-mail fournies, ce qui a permis la création de comptes à l’aide d’adresses e-mail dites jetables, d’astuces d’alias ou encore de techniques de points. Ces failles sont facilement exploitées par les bots pour créer plusieurs comptes.

• 3) Les pratiques d’authentification sont encore trop faibles
o La moitié des sites Web ont permis à un bot de se connecter à un compte sans techniques avancées.
o 35,7 % des sites Web ont permis à un bot de se connecter à un compte avec des techniques avancées telles que la résolution de CAPTCHA ou la gestion de l’authentification multifacteur.
o Les sites qui ont mis en œuvre l’authentification multifacteur ont pu être contournés en utilisant des tactiques courantes telles que la location de numéros de téléphone ou l’accès SMTP.

« Plus que quelques jours avant le moment tant attendu par les amateurs de jeux vidéo du monde entier. Toutefois, et comme pour tant d’autres événements majeurs, les bots pourraient gâcher le plaisir de milliers de personnes. En effet, aujourd’hui avec l’IA, il est de plus en plus simple de créer un bot capable de créer plusieurs faux comptes pour s’emparer des articles les plus convoités en ligne, ou de simplement acheter un bot en ligne pour une somme dérisoire.

Afin d’éviter des situations comme celle connue avec le lecteur de disque externe de la PS5 Pro, raflé par des revendeurs et vendu à des prix exorbitants sur des sites de revente, les e-commerçants doivent déployer dès maintenant une protection proactive contre les bots afin de garantir que les amateurs de jeux vidéos puissent accéder aux consoles lors du Black Friday. » explique Gilles Walbrou, CTO de DataDome

Sans une protection adéquate contre les bots, les plateformes de e-commerce sont exposées à de nombreux risques : perte du contrôle des stocks, mais aussi de revenus, perte de la confiance des consommateurs et une dégradation de l’image de marque. Pour les e-commerçants, il est primordial de mettre en place une protection proactive contre les bots, afin d’atténuer les risques et améliorer leur cybersécurité en misant en priorité sur l’amélioration de l’authentification, la validation des e-mails et une protection avancée contre les bots.