Lecture: 7 min.
Cloudflare inaugure aujourd'hui une nouvelle suite de fonctionnalités de prévention des fraudes conçue pour mettre un terme à l'utilisation abusive des comptes avant qu'elle ne commence. Nous aidons les clients Cloudflare à protéger leurs applications contre les attaques automatisées depuis des années, mais le panorama des menaces a évolué. L'industrialisation des abus hybrides (à la fois automatisés et humains) constitue une problématique de sécurité complexe pour les propriétaires de sites web. Prenons l'exemple d'un compte unique auquel des utilisateurs accèdent depuis New York, Londres et San Francisco au cours du même intervalle de cinq minutes. La question centrale dans ce cas précis n'est pas de se demander « S'agit-il d'un accès automatisé ? » mais plutôt « Cet accès est-il authentique ? ».
Les propriétaires de sites web ont besoin d'outils qui leur permettent de mettre un terme aux abus qui sévissent sur leur site, peu importe l'origine de ces derniers.
Lors de la Semaine anniversaire 2024, nous avons offert un outil de détection des identifiants compromis à tous nos clients, y compris ceux qui ne souscrivent à qu'à notre offre gratuite. Nous avons depuis ajouté des identifiants de détection de l'usurpation de compte à notre solution de gestion des bots afin de vous aider à identifier les bots qui s'attaquent à vos pages de connexion.
Nous associons aujourd'hui ces puissants outils à de nouveaux. Nos mesures de contrôle des adresses e-mail à usage unique et des risques liés au courrier électronique vous aident à appliquer vos préférences en matière de sécurité aux utilisateurs qui s'inscrivent avec des adresses temporaires (une tactique courante pour la création de faux comptes et l'abus de promotions) ou dont les adresses e-mail sont jugées risquées en fonction du schéma et de l'infrastructure des e-mails envoyés à l'aide de ces dernières. Nous sommes également ravis de vous présenter notre fonction de Hashed User ID (« ID utilisateur hachés », c.-à-d. des identifiants spécifiques à un domaine et générés par hachage cryptographique des noms d'utilisateur) qui permettra à nos clients de bénéficier de davantage d'informations sur l'activité des comptes suspects et d'une meilleure capacité à atténuer le trafic potentiellement frauduleux, sans compromettre la confidentialité de l'utilisateur final.
Les nouveaux outils que nous annonçons aujourd'hui vont au-delà de l'automatisation, en vous permettant d'identifier les comportements abusifs et les identités à risque parmi les utilisateurs humains et parmi les bots. Disponible en accès anticipé, la fonctionnalité Account Abuse Protection (protection contre l'utilisation abusive des comptes) permettra à tous les clients utilisateurs de notre solution Bot Management de niveau Enterprise d'utiliser ces fonctionnalités sans frais supplémentaires pendant une période limitée, jusqu'à la mise en disponibilité générale de la suite Cloudflare Fraud Prevention, qui aura lieu plus tard dans l'année. Inscrivez-vous ici pour plus d'informations sur cette fonctionnalité en accès anticipé.
Les identifiants compromis rendent les connexions trop vulnérables
Les barrières permettant d'empêcher les comportements frauduleux sont dangereusement basses, notamment du fait de la disponibilité d'immenses ensembles de données et de l'accès à des outils automatisés capables de commettre des fraudes au niveau des comptes à grande échelle. Les propriétaires de sites web ne font pas uniquement face aux pirates informatiques, mais également à une vague de fraudes industrialisée. Nous avons souligné l'année dernière que 41 % des connexions à notre réseau s'effectuaient à l'aide d'identifiants qui avaient fuité. Ce nombre n'a eu de cesse d'augmenter après l'exposition d'une base de données contenant 16 milliards d'enregistrements et plusieurs violations à haute visibilité se sont depuis produites.
Les utilisateurs réutilisent en outre leurs mots de passe sur plusieurs plateformes. Une simple fuite survenue il y a des années peut ainsi encore parvenir à débloquer un compte de grande valeur sur une plateforme de vente aujourd'hui, voire un compte bancaire. Notre fonctionnalité gratuite de vérification des fuites d'identifiants nous permet de vérifier si un mot de passe a fuité lors d'une violation de données survenue sur un autre service ou une autre application sur Internet. Respectueux de la confidentialité, ce service de contrôle des identifiants nous aide à protéger nos utilisateurs contre la compromission de leurs identifiants. Cloudflare procède ainsi aux contrôles sans accéder aux mots de passe des utilisateurs finaux ni les stocker en texte clair. Les mots de passe font l'objet d'un hachage (c.-à-d. qu'ils sont convertis en une chaîne de caractères aléatoires à l'aide d'un algorithme de chiffrement) avant d'être comparés à une base de données d'identifiants dont on sait qu'ils ont fuité. Si vous ne l'avez pas encore fait, nous vous invitons à activer dès maintenant notre fonctionnalité de vérification des fuites d'identifiants afin de protéger vos comptes contre le piratage facile !
L'accès à une vaste base de données d'identifiants ayant fait l'objet de fuites n'est utile que si un acteur malveillant peut les utiliser rapidement sur de nombreux sites afin d'identifier les comptes qui demeurent vulnérables du fait du phénomène de réutilisation des mots de passe. Dans l'analyse du Black Friday que nous avons publiée en 2024, nous avions observé que plus de 60 % du trafic des pages de connexion à notre réseau était automatisé. Ce chiffre montre qu'un grand nombre de bots cherchent manifestement à s'y introduire.
Afin d'aider nos clients à protéger leurs points de terminaison de connexion contre ce bombardement constant, nous avons ajouté des mesures de détection spécifiques à l'usurpation de compte (ATO, Account TakeOver) conçues pour révéler les schémas de trafic suspects. Cette démarche fait partie de l'accent que nous avons récemment placé sur les processus de détection personnalisés en fonction du client, qui nous permettent de proposer des mesures de détection des anomalies comportementales uniques à chaque client de notre solution Bot Management. Ces clients peuvent aujourd'hui voir et atténuer les tentatives d'usurpation de compte figurant dans leurs requêtes de connexion directement sur le tableau de bord des outils d'analyse de la sécurité.
La carte située à gauche du tableau de bord des outils d'analyse de la sécurité vous permet d'afficher les tentatives d'usurpation de compte et de déployer des mesures correctives.
La semaine passée, nos mesures de détection de l'usurpation de compte nous ont permis d'intercepter en moyenne 6,9 milliards de tentatives de connexion suspectes par jour sur l'ensemble de notre réseau. Associées aux nombreux autres mécanismes de détection proposées par notre solution de gestion des bots Bot Management, ces mesures de détection permettent de mettre en place une défense multicouche contre les ATO et les autres attaques automatisées.
De l'automatisation à l'intention et à l'identité
Faut-il distinguer l'automatisation, ou distinguer l'intention et l'identité ? C'est là la question. Notre réponse est « oui » et « oui », car les deux approches constituent deux couches essentielles d'une stratégie de sécurité robuste. Les acteurs malveillants opèrent désormais à une échelle jusqu'alors réservée aux services pour entreprises. Ils tirent parti des fuites massives d'identifiants, recourent à des « usines à fraude » pilotées par des humains pour prendre le contrôle d'appareils ou de lieux, et créent des identités synthétiques afin d'entretenir des milliers (voire des millions) de faux comptes à des fins de promotion et d'utilisation abusive des plateformes. Un humain équipé d'outils automatisés pourrait ainsi vider des comptes bancaires, abuser des promotions ou frauder sur des paiements (et même se livrer à toutes les activités ci-dessus).
Ces outils automatisés sont en outre plus accessibles que jamais, notamment depuis que les utilisateurs se sont davantage familiarisés avec l'utilisation des agents IA et que les navigateurs « traditionnels » depuis longtemps présents au sein de notre paysage tendent à se doter de capacités agentiques par défaut. Qu'elle émane d'un acteur isolé utilisant un agent IA ou d'une campagne de fraude coordonnée, la menace va au-delà de l'écriture d'un simple script. L'intention peut, par exemple, se révéler d'origine humaine, tandis que l'exécution sera confiée à des outils automatisés.
Découvrons ensemble certains scénarios dont nos clients nous ont parlé :
Nous avons 1 000 nouveaux utilisateurs ce mois-ci, mais plus de la moitié d'entre eux sont liés à de fausses identités qui bénéficient d'une offre d'essai gratuit avant de disparaître.
L'acteur malveillant s'est connecté avec le bon mot de passe, alors comment savoir qu'il ne s'agit pas du véritable utilisateur ?
Cette entité agit à une vitesse humaine et vide les comptes.
Ces problèmes ne peuvent pas être résolus en ne s'intéressant qu'au seul volet que constitue l'évaluation de l'automatisation. L'authenticité et l'intégrité devront également faire l'objet d'un contrôle. Il s'agit là d'une faille à laquelle nos fonctionnalités de prévention de la fraude dédiées peuvent vous permettre de remédier.
Évaluation des e-mails suspects
Commençons par évaluer le premier point d'abus potentiel d'un compte : la création de ce dernier. La création de faux comptes ou la création massive de comptes est l'un des sujets les plus importants dans les discussions autour des comportements frauduleux affectant les sites web, car ces actions peuvent ouvrir la porte aux acteurs malveillants et leur permettre d'accéder à une application, voire à un modèle économique entier.
Cloudflare propose à ses clients deux moyens d'évaluer, à la source, la création de comptes suspects :
Contrôle des adresses e-mail à usage unique : détectez les utilisateurs qui s'inscrivent à l'aide d'adresses e-mail à usage unique ou temporaires, couramment utilisées dans les scénarios d'utilisation abusive de promotions et de création de faux comptes. Ces services e-mail à usage unique permettent aux acteurs malveillants de créer des milliers de comptes « uniques » sans s'inquiéter de la gestion et de l'entretien d'une infrastructure réelle, notamment dans le cas des services sans authentification qui assurent un accès instantané sans création de compte ou permettent à l'utilisateur de disposer d'un nombre illimité d'alias. Lorsqu'ils définissent des règles d'application de leurs préférences en matière de sécurité, les clients peuvent ainsi mettre à profit ce champ binaire en choisissant de bloquer purement et simplement toutes les adresses e-mail à usage unique ou d'adresser un test à tous les utilisateurs qui tentent de créer un compte avec une adresse e-mail temporaire.
Risques liés au courrier électronique : Cloudflare analyse les schémas et l'infrastructure des e-mails afin de proposer des niveaux de risque (faible, moyen, élevé) que les clients peuvent utiliser dans leurs propres règles de sécurité. Nous savons que toutes les adresses e-mail ne se valent pas. Ainsi, une adresse au format prénom.nom@domaineconnu.com présente des caractéristiques de risque bien différentes d'une adresse de type xk7q9m2p@nouveaudomaine.xyz. Les niveaux de risque liés aux e-mails permettent aux clients d'exprimer leur tolérance au risque et à la friction lors de la création d'un compte.
Conçues pour permettre aux propriétaires de sites web de disposer de la possibilité de protéger leur procédure de création de comptes, les fonctionnalités de contrôle des adresses e-mail temporaires et des risques liés au courrier électronique sont désormais disponibles dans nos outils d'analyse de la sécurité et nos règles de sécurité. Ces mesures de détection répondent à un problème fondamental : lorsqu'un compte commet un abus, il est déjà trop tard. Le propriétaire du site web a déjà payé des frais d'acquisition, l'utilisateur frauduleux a consommé des crédits promotionnels et les mesures correctives nécessitent un examen manuel. Le processus d'atténuation des adresses e-mail suspectes implique l'ajout d'une friction appropriée lors de l'inscription, c'est-à-dire au moment où cela importe le plus.
Présentation de la fonction Hashed User ID
La compréhension des schémas d'abus nécessite de la visibilité. Pas uniquement sur le réseau, mais également sur l'activité du compte dans son ensemble. Traditionnellement, la sécurité impliquait un processus d'examen des adresses IP et des requêtes HTTP isolées afin de détecter les activités automatisées. Or, les propriétaires de sites web ne pensent pas uniquement en termes de signaux réseau, ils tiennent également compte de leurs utilisateurs et des comptes connus. C'est la raison pour laquelle nous étendons aujourd'hui notre ensemble d'outils d'atténuation afin qu'elle corresponde à la manière dont les applications sont réellement structurées, en nous concentrant sur la détection des activités frauduleuses en fonction de l'utilisateur.
Les acteurs malveillants peuvent « faire tourner » leurs adresses IP sans effort afin de masquer leurs traces. Or, le fait de les contraindre à générer de nouveaux comptes crédibles de manière répétée introduit des frictions considérables, notamment lorsque cette approche est associée à des mesures de protection du processus de création de compte. Si l'on s'intéresse à ce qui se passe au-delà de la couche réseau et que nous essayons de faire correspondre les actions frauduleuses à un compte compromis (ou auteur d'abus) donné, nous pouvons repérer les comportements ciblés liés à un unique acteur persistant et mettre un terme à ces abus. Ainsi, plutôt que de jouer au chat et à la souris avec des adresses IP « tournantes » et des proxys résidentiels, la stratégie de défense est déplacée au niveau du compte. Dès lors, nos clients peuvent atténuer les comportements abusifs en fonction de la manière dont leurs applications distinguent l'identité.
Afin de doter les propriétaires de sites web de cette capacité, Cloudflare lance sa fonction Hashed User ID (identifiants utilisateur hachés) que les clients peuvent utiliser dans leurs outils d'analyse de la sécurité, leurs règles de sécurité et leurs transformations gérées. Les ID utilisateur sont des versions spécifiques à un domaine et chiffrées de manière cryptographique des valeurs du champ Nom d'utilisateur. Chaque ID utilisateur se présente sous la forme d'un identifiant chiffré, unique et stable généré pour un nom d'utilisateur donné sur une application client donnée. Remarque importante : le nom d'utilisateur réel n'est ni enregistré ni stocké par Cloudflare dans le cadre de ce service. Comme pour le processus de contrôle des identifiants compromis et les mesures de détection de l'usurpation de compte (qui identifient le trafic de connexion avant de chiffrer les identifiants afin de les comparer), nous accordons la priorité à la confidentialité des utilisateurs finaux, tout en permettant à nos clients de prendre des mesures contre les comportements frauduleux.
L'accès à la fonction Hashed User ID permettra aux propriétaires de sites web :
d'identifier les principaux utilisateurs (quels comptes sont les plus actifs ?) ;
de voir lorsqu'un utilisateur unique se connecte depuis un pays d'où il ne se connecte généralement pas (ou depuis plusieurs pays au cours d'une seule journée !) ;
d'atténuer le trafic en fonction d'un utilisateur unique, par exemple, en bloquant un utilisateur dont l'activité est historiquement suspecte ;
d'associer les champs afin de voir à quel moment des utilisateurs tentent de se connecter aux comptes à l'aide d'identifiants qui ont fuité ;
de découvrir les schémas ou les signaux réseau associés à certains utilisateurs.
La vue étendue d'un identifiant utilisateur haché unique au sein du tableau de bord des outils d'analyse de la sécurité. Les détails de l'activité de cet utilisateur unique sont affichés, notamment la position géographique de sa connexion et son navigateur.
Cette visibilité au niveau de l'utilisateur transforme la manière dont les propriétaires de sites web peuvent analyser et atténuer le trafic. Plutôt que d'examiner chaque requête de manière isolée, nos clients peuvent observer la représentation complète du mode opératoire suivi par les acteurs malveillants pour définir leurs cibles et se dissimuler parmi les utilisateurs légitimes.
Passez dès aujourd'hui à l'étape suivante en matière de protection des comptes
Nous vous invitons à vous inscrire ici si vous souhaitez bénéficier de davantage d'informations sur cette fonctionnalité en accès anticipé. Tous les clients utilisateurs de notre solution Bot Management de niveau Enterprise peuvent ajouter ces nouvelles fonctionnalités de protection contre l'utilisation abusive des comptes dès aujourd'hui à leur arsenal. Nous sommes de même tout à fait disposés à ouvrir le dialogue avec tous les clients potentiels de la solution Bot Management.
Les mesures de détection des bots continueront à répondre à la question de l'automatisation et de l'intention, mais les mesures de détection des fraudes doivent également s'intéresser à la question de l'authenticité. Ensemble, elles permettent aux propriétaires de sites web de disposer d'outils complets pour lutter contre l'ensemble du spectre de l'abus de comptes. Cette suite constitue une étape de notre investissement continu envers la protection de l'ensemble du parcours de l'utilisateur, de la création de compte à la connexion, en passant par la sécurisation des paiements et l'intégrité des interactions.