Retrouvez dès à présent l’intégralité des interventions du HUBDAY Future of Retail & E-commerce en vidéo !

À l’aide des technologies du cloud et de scripts automatiques, les usurpateurs d’identifiants sont en mesure de se connecter en quelques clics et en masse sur un site e-commerce. Une cyber-attaque des plus connues, nommée le “credential stuffing”. Les prix sont largement accessibles sur le darknet : un millier de comptes usurpés coûte environ 200$. Que risque votre site ?

• L’usurpateur se connecte avec les identifiants qu’il s’est procuré, puis passe des achats en utilisant les identités bancaires enregistrées sur le site, à la place de l’individu. C’est un abus de connexion. Après s’être fait livrer en magasin, il récupère les objets. Une double perte : le magasin est obligé de rembourser son client et perd le produit.
• Autre problématique de ces bots : un magasin propose des éditions spéciales en nombre limité. A la seconde où le produit sera mis en ligne, les bots achètent l’ensemble des produits, empêchant les clients de les acheter. Ces produits seront ensuite revendus sur le marché secondaire à des prix beaucoup plus élevés. De plus, ces attaques génèrent une forte charge sur les serveurs, engendrant un pic d’activité pouvant aller jusqu’à l’indisponibilité du site internet.
• L’usurpation de bons d’achat : les bots vont essayer de saisir tous les codes possibles et imaginables. Le fraudeur récupère les bons d’achats, au détriment des clients qui ont fait l’acquisition de ces coupons.

Pour se défendre efficacement, il est important de se poser 3 questions :

1. Quand un visiteur se connecte sur mon site, est-ce un humain ? Attention, tous les bots ne sont pas mauvais. Vous pouvez utiliser des bots externes, comme les comparateurs de prix, favorisant le référencement sur ces derniers.
2. La navigation sur la plateforme est-elle conforme à celle que j’analyse habituellement chez l’utilisateur ? Un changement de navigateur suspicieux, ou une somme élevée déboursée peuvent être des indices à la fraude.
3. L’identifiant utilisé a-t-il déjà été signalé comme un élément piraté ?

F5 lutte contre les bots avec le module Shape Security qui couvre l’ensemble du cheminement de l’utilisateur sur la plateforme. Le programme de sécurité commence par la page de connexion afin d’identifier la personne qui se connecte. Puis, il détermine si cet identifiant a été signalé comme piraté. Pour finir, le programme suit toute la navigation du visiteur pour s’assurer que son activité correspond à une consommation régulière par rapport à la moyenne des utilisateurs ou à cet utilisateur particulièrement.

Rédactrice : Océanne Hérilus 

Retrouvez dès à présent l’intégralité des interventions du HUBDAY Future of Retail & E-commerce en vidéo !