Les attaques pilotées par l’IA ciblent les commerçants à l’approche des fêtes de fin d’année
Imperva, société du Groupe Thales et leader de la cybersécurité, qui protège à grande échelle et à travers le monde les applications critiques, les API et les données, tire la sonnette d’alarme : alors que les outils d’IA générative et les grands modèles de langage (LLM) ne cessent de se multiplier et d’évoluer, les cybercriminels s’appuient de plus en plus sur ces technologies pour amplifier et perfectionner leurs attaques sur les plateformes d’e-commerce.
Avec des soldes qui débutent dès le mois d’octobre et se prolongent jusqu’à la fin du mois de décembre, la période des fêtes de fin d’année est un moment critique pour le commerce en ligne. Source de revenus substantiels pour les commerçants, cette hausse de l’activité agit néanmoins comme un aimant sur les acteurs malveillants, au moment où, précisèment, les sites marchands ne peuvent pas se permettre d’être indisponibles ou victimes d’un incident de sécurité. À l’approche de cette période cruciale, les commerçants doivent donc être prêts à faire face à une multitude de menaces pilotées par l’IA, qu’il s’agisse de bots, d’attaques par déni de service (DDoS), de violations d’API, ou encore de l’exploitation des failles dans la logique métier.
« Bien que présentes à longueur d’année, les menaces de cybersécurité s’accentuent pendant la période des fêtes, au moment même où les commerçants enregistrent généralement des ventes record », explique Nanhi Singh, directrice générale de la Sécurité des applications chez Imperva, société du Groupe Thales. « Les cybercriminels le savent pertinemment et c’est pourquoi ils utilisent des outils d’IA générative et des LLM pour exploiter à leur avantage le volume accru de transactions numériques, les promotions à durée limitée, ainsi que les cartes-cadeaux et les points de fidélité stockés dans les comptes clients. »
Selon une analyse réalisée sur les six derniers mois (avril 2024 - septembre 2024), les données recueillies par Imperva Threat Research révèlent que, collectivement, les sites de vente subissent chaque jour, en moyenne, 569 884 attaques pilotées par l’IA. Ces attaques proviennent d’outils d’IA tels que ChatGPT, Claude ou Gemini, ainsi que de bots tout spécialement conçus pour “ratisser” les sites web à la recherche de données d’entraînement de LLM. L’analyse montre que les cybercriminels utilisent principalement les outils d’IA pour mener les types d’attaques suivants :
- Exploitation des failles dans la logique métier : cette attaque, la plus courante (30,7 %), consiste à exploiter les fonctionnalités légitimes d’une application ou d’une API à des fins malveillantes : manipulation des prix, contournement de l’authentification ou encore usage frauduleux des codes de réduction. L’IA permet aux pirates d’automatiser ces attaques à grande échelle, ce qui les rend plus difficiles à détecter. Pour s’en prémunir, les commerçants devraient mettre en œuvre une validation stricte de chaque entrée utilisateur, avoir recours à des systèmes de détection des anomalies afin d’identifier toute activité inhabituelle, et procéder à un audit régulier de leurs processus métiers pour identifier les fonctionnalités susceptibles de faire l’objet d’une utilisation abusive.
- Attaques par déni de service (DDoS) : représentant 30,6 % de toutes les menaces pilotées par l’IA visant les commerçants, ces attaques ont pour but de saturer le serveur d’un site web afin de rendre ce dernier indisponible, pouvant ainsi entraîner une perte de chiffre d’affaires ou porter atteinte à la réputation du site, en particulier pendant les périodes de forte affluence. Aujourd’hui, les cybercriminels se servent de l’IA pour coordonner de vastes réseaux de bots, accroissant ainsi l’efficacité de ces attaques. Les commerçants devraient investir dans une solution anti-DDoS qui utilise l’apprentissage automatique pour identifier et atténuer le trafic malveillant en temps réel, sans que les clients légitimes n’en soient affectés.
- Attaques par des bots malveillants : ces attaques représentent 20,8 % des menaces pilotées par l’IA ciblant les sites marchands. Ces menaces automatisées se livrent à des activités perturbatrices telles que l’extraction de données sur les prix, le bourrage d’identifiants, ou encore le déni d’inventaire (scalping). C’est notamment le cas du bot Grinch connu pour faire main basse sur les articles les plus demandés pendant la période des fêtes de fin d’année, rendant leur achat très difficile pour les consommateurs. Grâce aux progrès de l’IA, les opérateurs de bots peuvent désormais créer des bots qui imitent de manière convaincante le comportement humain, leur permettant ainsi d’échapper aux mesures de sécurité traditionnelles. Pour lutter contre cette menace et pouvoir faire la différence entre les vrais utilisateurs et les bots sophistiqués, les commerçants devraient mettre en œuvre des solutions de gestion utilisant l’analyse comportementale.
- Violations d’API : les plateformes d’e-commerce proposant de plus en plus d’API pour les applications mobiles et les intégrations tierces, les violations d’API sont en augmentation, représentant 16,1 % des attaques pilotées par l’IA visant les commerces en ligne. Les cybercriminels exploitent les vulnérabilités des API pour accéder à des données ou fonctionnalités sensibles. Avec l’aide de l’IA, les attaquants peuvent rapidement identifier les failles dans l’implémentation d’une API, ce qui rend ces menaces particulièrement difficiles à atténuer. Pour protéger leurs API, les commerçants devraient appliquer des protocoles d’authentification et d’autorisation stricts, définir des limites de trafic afin d’éviter toute utilisation abusive et procéder régulièrement à des évaluations de sécurité complètes et à des tests de pénétration.
Ces attaques pilotées par l’IA présentent des risques importants non seulement pour les commerçants, mais aussi pour les consommateurs. Les cybercriminels utilisent l’IA pour mener des attaques de bots, exploiter les failles dans la logique métier et perturber les systèmes, faisant peser un risque accru sur les informations personnelles sensibles, y compris les numéros de cartes bancaires, les adresses ou les informations de compte. Une attaque réussie peut entraîner le vol d’identité, un préjudice financier ou encore la perte de confiance dans la plateforme de commerce en ligne, les opérations frauduleuses et l’accès non autorisé aux comptes ayant un impact négatif sur l’expérience d’achat des consommateurs.
« Ces dernières années, nous avons vu des menaces de sécurité, telles que les bots Grinch et les attaques DDoS, causer des perturbations majeures pendant la période des achats de Noël, affectant à la fois les commerçant et les consommateurs. Aujourd’hui, avec la généralisation des outils d’IA générative et des LLM, les commerçants sont confrontés à une nouvelle vague de cybermenaces sophistiquées », prévient Mme Singh. « Sans défenses solides, les commerçants risquent de devoir faire face à une véritable déferlante d’attaques pilotées par l’IA qui pourraient perturber leurs opérations, compromettre les données des clients et ternir leur réputation pendant la période la plus critique de l’année. Pour atténuer efficacement ces menaces, les commerçants doivent adopter une stratégie globale qui non seulement les protège de ces attaques, mais leur permet également de réagir rapidement sans perturber l’expérience d’achat. »
Informations complémentaires :
- A lire : “Seven Cybersecurity Tips to Protect Your Retail Business This Holiday Season”.
- Découvrez comment les produits et solutions d’Imperva aident les commerçants à protéger leurs applications, API et données contre les risques de sécurité.
- Consultez le blog Imperva pour obtenir les dernières actualités sur les produits et solutions, ainsi que du renseignement sur les menaces (Imperva Threat Research).
A propos d’Imperva
Imperva, société du Groupe Thales, est un leader de la cybersécurité qui aide les entreprises à protéger les applications critiques, les APIs et les données, partout, à grande échelle et avec le meilleur retour sur investissement. Grâce à une approche intégrée combinant l’Edge, la sécurité des applications et celle des données, Imperva protège les entreprises – des startups cloud native aux multinationales – à chaque étape de leur transformation numérique. Imperva Threat Research et notre communauté mondiale d’analyse nous permettent de rester à l’avant-garde du paysage des menaces et d’intégrer dans nos solutions, de manière transparente, les dernières expertises en matière de sécurité, de confidentialité et de conformité.