Trafic des botnets, tous touchés tous concernés ?
Selon certains éditeurs, le trafic généré par les bots représente près de la moitié du trafic sur Internet. Entre 46 % et 59 % selon les années s’il faut en croire Distil Networks, une startup spécialisée sur le sujet et qui publie chaque année une étude spécifique consacrée aux botnets. Une récente étude d’Imperva confirme, avec des chiffres un peu différents, que la part du trafic généré par des bots (52%) est supérieure à celle des humains (48%). Parmi ces robots certains sont légitimes et d’autres ne le sont pas.
Les sites internet sont-ils tous impactés de la même façon ?
La réponse est nuancée. Selon les deux études, le pourcentage de trafic dû à des réseaux de robots malicieux varie fortement en fonction de deux critères : le type de site internet et son volume de trafic.
Concernant les types de sites, selon l’étude 2016 de Distil Networks, les secteurs les plus touchés sont le E-commerce et surtout l’édition de contenus digitaux. Dans ce cas les botnets illégitimes représenteraient près d’un tiers du trafic global.
L’autre facteur impactant relevé par les deux éditeurs montre que la part du trafic des robots dépend fortement du volume total des visiteurs : moins le site est fréquenté, plus la part liée au trafic des bots est importante. On retrouve là un comportement bien connu des administrateurs de solutions anti-spam. Mais au-delà de ces considérations générales encore faut-il faire la part entre trafic légitime et trafic malveillant.
Good bot bad bot
Comment déterminer si le trafic de ces botnets est légitime ou pas ? En effet les moteurs de recherche ou les comparateurs de prix ont besoin d’accéder aux pages web pour les indexer, récupérer l’information et la fournir aux utilisateurs. Il s’agit là d’un trafic parfaitement légitime même s’il est effectué par des robots. La principale difficulté est donc bien de séparer le bon grain de l’ivraie.
Pour reprendre la taxonomie proposée par Imperva on peut décomposer les botnets selon leur activité :
|
Good bots : |
Bad bots : |
|
Robots de supervisions : les automates qui s’assurent de la disponibilité des sites et de l’ensemble de leurs composants |
Impersonators : robots qui utilisent des fausses identités pour contourner les solutions de sécurité. |
|
Commercial crawlers : robots qui récupèrent des données autorisées en général à des fin d’analyse marketing |
Scrapers : robots qui récupèrent des données non autorisées en général pour faire du reverse ingéniering sur des prix ou des contenus d’offres. |
|
Search engine bot : les robots associés aux sites de recherché qui indexent les sites à fin de classement |
Spammers : robots polluant les commentaires des blogs, forums en injectant des liens publicitaires |
|
Feed fetchers : robots qui transmettent le contenu d’un site Web aux applications mobiles et Web pour un affichage aux utilisateurs. |
Hackers tools : outils servant à détecter et exploiter les failles des services Web pour voler du contenu, injecter du code malicieux etc. |
Cependant la distinction n’est pas toujours simple entre un robot indexant votre site Web pour afficher vos produits et celui qui en dérobe le contenu pour le réutiliser à son profit (contrefaçon en particulier) cachant dès lors leur véritable fonction. Or cacher son identité est souvent suspect ! En effet, ces types de bots sont communément utilisés lors d’attaques DDOS ou de force brute, comme le démontre Tomer Zait de F5 dans ce document présenté à la Black Hat.
Bien sur ce classement n’est qu’indicatif, pour un autre panorama des enjeux de sécurité liés aux botnets on peut également se référer à cette carte établie par l’OWASP.
Quels impacts pour l’entreprise ?
Selon le cabinet d’analystes Aberdeen les risques, et donc les impacts, de cette menace causée par le trafic des botnets, sont directs et indirects.
|
Impact directs : |
Impacts indirects : |
|
Perte immédiate de revenus : en général une entreprise connait la contribution de son site web à ses revenus. Elle peut donc évaluer la perte de CA liée à son indisponibilité partielle ou totale (attaque DDOS par exemple) de son site Web. |
Couts additionnels induits par la gestion de botnets : le traitement du trafic illégitime entraine un surdimensionnement des serveurs et de la bande passante, des coûts additionnels liés à la surveillance et au traitement des menaces |
|
Coût d’une fuite de données : en se basant sur les études disponibles (comme celle-ci du même cabinet) il est possible d’estimer le coût d’une fuite de données. |
Perte future de revenus : ces robots peuvent engendrer une dégradation de la réputation de l’entreprise, ou détourner le trafic du site internet vers un site illégitime ou celui d’un concurrent. |
Ces impacts peuvent ensuite être traduits en coûts pour l’entreprise.
Sur ce sujet l’étude d’Aberdeen conclut que le risque médian de perte de revenu d’un site Internet en raison du trafic des botnets est de 4,2 % avec une distribution entre 1,6 % et 7,9 % pour 80 % de l’échantillon étudié.
Conclusion
Si la menace générée par le trafic des botnets sur les services web rappelle celle du spam pour la messagerie, elle se différencie par l’impact directs sur :
- la disponibilité des serveurs par des attaques directes en déni de service ou des attaques de force brutes,
- les performances des serveurs web impactés qui doivent traiter un trafic illégitime,
- par le vol de contenu immédiatement monétisé sur des sites de contrefaçons.
Nous disposons en plus maintenant de données financières pour quantifier cette menace.
La lutte contre les botnets est donc en train de devenir un sujet central dans la protection des services Web. Les moyens de lutte contre les botnets seront l’objet de mon prochain article.
Philippe
Pour aller plus loin
Pourquoi la sécurité de la messagerie n'est pas une commodité
Sécurité de la messagerie : la guerre contre le spam n'est pas gagnée
Une approche globale de la sécurité
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.