Dans le spectre des cyberattaques, il y a celles qui cherchent à rendre un site hors ligne, celles qui cherchent à mettre la main sur les données des utilisateurs ou encore celles qui visent à détourner des ressources pour d’autres usages malveillants.
L’attaque par déni d’inventaire, elle, n’entre dans aucune de ces catégories. L’OWASP la classe dans la famille des attaques automatisées car, comme sa grande sœur l’attaque par DDoS, elle s’appuie sur des botnets pour perturber les activités d’un site web, en l’occurrence ici, d’un site marchand.
Pour rappel, un botnet est un réseau de machines compromises, contrôlées à distance par un attaquant, et utilisées pour envoyer un nombre de requêtes colossal à un instant T.
Mais ici, contrairement au déni de service, l’objectif n’est pas de submerger les serveurs du site et de le rendre indisponible, mais plutôt de vider artificiellement ses stocks.
Des inventaires faussés
Dans une attaque par déni d’inventaire, la mécanique est en apparence très simple : des bots sélectionnent et conservent dans leur panier des articles issus d’un stock limité, sans jamais les acheter, les payer ni les « reposer », empêchant ainsi les autres utilisateurs de les acquérir.
L’opération peut être répétée tant que le botnet reste actif, ce qui peut bloquer un produit pendant de longues minutes, voire plusieurs heures.
Évidemment, cette attaque ne se limite pas aux biens physiques et peut viser différents types de services. Une variante consiste à effectuer des réservations (chambres d’hôtel, tables au restaurant, séjours, sièges d’avion, etc.) ou à utiliser des parcours de type « retrait en magasin » sans paiement effectif.
Le risque d’un épuisement artificiel des stocks est d’autant plus élevé lorsqu’un produit fait l’objet d’une très forte demande à un instant donné, comme des places de concert par exemple, un contexte dans lequel des plateformes comme Ticketmaster sont régulièrement confrontées à des attaques menées par des bots de shopping.
Des solutions existent
Pour les sites hébergés sur de grandes plateformes protégées par des solutions anti‑bots, le risque est drastiquement réduit. Ces solutions reposent essentiellement sur l’analyse du comportement des visiteurs (vitesse de navigation, répétitivité des actions, origine des connexions, empreinte du navigateur, etc.) et cherchent à bloquer les bots qui remplissent les paniers sans jamais procéder au paiement.
D’autres réglages contribuent à limiter l’impact de ces attaques, comme la durée de réservation limitée dans le panier, le vidage automatique des paniers inactifs, la mise en place de quotas par compte ou par adresse IP, ou encore le prépaiement par carte bancaire, particulièrement efficace pour les réservations de restaurants ou d’hôtels.
Il arrive aussi que des attaques par déni d’inventaire soient menées sans botnet, par l’action coordonnée de nombreux individus malveillants, ce qui peut suffire à perturber fortement l’activité de petites structures disposant de ressources limitées.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !