Face à l’automatisation grandissante des cyberattaques, la protection des API et la lutte contre les bad bots malveillants deviennent cruciales pour les organisations. Ce menacent requièrent une vigilance constante et l’intégration de solutions de sécurité comme les WAF et les systèmes d’authentification renforcée.
En 2023, de nombreuses cyberattaques contre des acteurs privés et publics français ont prouvé que les humains ne sont pas les seuls à générer des cyberattaques – les bots aussi le peuvent. Si ces programmes complexes et automatisés pullulent sur Internet, seuls ceux qui ont des objectifs malveillants sont à craindre : vol de données, actes malveillants, attaques par DDoS, ou pire encore ! En ciblant des systèmes, des applications ou des API, les entreprises et organisations doivent prendre au sérieux cette menace et s’en prémunir.
Comment en venir à bout ?
L’an dernier, au cours des six premiers mois, l’ensemble des bots répertoriés représentait pas moins de 48 % du trafic sur Internet, et les bots malveillants constituaient la majorité de cette portion (30 %). De plus, les attaques par bots qui ciblent les entreprises gagnent en sophistication, en saturant leurs systèmes et en les submergeant de mots de passe pour compromettre et accéder à des boîtes mails – surtout celles qui sont accessibles via des API vulnérables. En effet, l’objectif des hackers est d’accéder aux boîtes mails, comme une application de publipostage marketing, pour envoyer et suivre les e-mails groupés aux clients et/ou prospects d’une entreprise. Pour les auteurs de ce méfait, il s’agit d’une simple étape de leur plan pour piéger et escroquer le plus de personnes.
Pour faire face à cette situation, les entreprises peuvent protéger ces API vulnérables et les données qu’elles contiennent en renforçant la sécurité des différentes applications utilisées, contrôler les politiques d’authentification et d’accès, protéger toute les expositions externes ou encore mettre en place des mesures de sécurité spécifiques aux bots (telles que la limitation du volume et de vitesse du trafic entrant). Également, elles peuvent se tourner vers les différentes solutions qui se disent capables d’arrêter ces attaques de robots. On pense naturellement aux services WAAP (Web Application and API Protection) et WAF (Web Application Firewall), qui fournissent effectivement une première défense solide contre les bad bots, quelle que soit leur forme et leur cible.
Les WAF seraient-ils suffisamment puissants pour protéger les API ?
Si les entreprises cherchent à obtenir une protection de surveillance anti-bot et filtrer le trafic entrant et sortant entre les applications web et Internet, le WAF semble correspondre à ces objectifs. En effet, cette solution permet de protéger les API contre ce type d’attaques à travers différentes fonctionnalités. Dans un premier temps, la réputation de l’adresse IP constitue un premier rempart. Elle permet de bloquer ou enregistrer les requêtes provenant d’adresses IP malveillantes connues et associées à des botnets, à des proxys utilisés par les robots pour lancer des attaques, ou à des réseaux de routage anonymes. Par ailleurs, un WAF peut limiter le nombre de requêtes qu’un programme ou un client peut adresser à un API dans un certain laps de temps. De ce fait, cela peut empêcher les bots de submerger une API ciblée avec des demandes excessives.
L’autre spécificité d’un WAF s’illustre par sa capacité de détection et de blocage des requêtes correspondant à des modèles prédéfinis de comportements malveillants – tels que l’injection SQL ou une attaque dite de cross-site scripting (XSS). Cela permet ainsi d’empêcher les robots d’exploiter les failles de l’API ou d’y incorporer un code malveillant. Enfin, en analysant le comportement d’un programme, un WAF peut identifier les anomalies ou les divergences par rapport aux modèles « normaux » attendus (fréquence et taille des requêtes, headers, paramètres ou les cookies). Cela peut aider le pare-feu à faire la distinction entre un trafic classique généré par un humain et celui d’un robot, et de détecter ceux qui tentent d’imiter le comportement humain. En parallèle, il est important de renforcer la sécurité de l’entreprise à travers la mise en place de mots de passe forts, d’une authentification multifactorielle, mais aussi en mettant à jour tous les logiciels, en effectuant des audits de sécurité réguliers, et en organisant des formations de sensibilisation pour l’ensemble des collaborateurs.
Pour les hackers, les bad bots sont un moyen efficace mais d’autres existent
Sachant que les bots sont de plus en plus intelligents, les attaques sont aussi de plus en plus sophistiquées. De ce fait, cela peut se traduire par la multiplication des hacking de comptes et des attaques contre les API. Ainsi, il est important de mettre en place plusieurs niveaux de détection et de défense, car le paysage des menaces évolue rapidement. Par exemple, si des cybercriminels sont limités par le débit, ils peuvent décider de lancer des attaques par bots plus faibles et lentes. Ils peuvent également opter pour une attaque de type MFA-bombing (ou « MFA fatigue attack »), ce qui permet de contourner les mesures d’authentification multifactorielle. L’adoption d’une solution de sécurité résiliente et de défense en profondeur induit que les attaques peuvent être bloquées à différents points, bien avant qu’elles n’aient la possibilité de faire de sérieux dégâts.
Ainsi, si les attaques de bad bots contre les API représentent une menace croissante et complexe pour les entreprises, il est important de comprendre que ces attaques ne se limitent plus à de simples perturbations techniques, mais peuvent avoir des répercussions sérieuses sur la sécurité, la confidentialité des données et la réputation de ces entreprises. Ces dernières doivent prendre des mesures proactives pour se protéger contre ces menaces émergentes. De plus, l’éducation des équipes sur les meilleures pratiques en matière de sécurité et la sensibilisation aux risques associés aux attaques de bad bots sont des éléments essentiels pour renforcer la posture de sécurité de l’entreprise. La sécurité des API ne doit pas être considérée comme une option, mais bien comme une priorité stratégique pour toute organisation cherchant à prospérer dans un monde toujours plus connecté et exposé.
____________________________
Par Eric Heddeland, VP EMEA Southern Region, Barracuda Networks
À lire également :
Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense
Imperva alerte les DSI sur les « bad bots »
Trois raisons d’adopter le Zero Trust pour protéger les bots et assurer la sécurité des sites Web et API
Ping Identity acquiert SecuredTouch pour mieux bloquer les bots