Technologies

Cyber : comment Amadeus fait face aux bad bots dopés à l'IA

Une des attaques menées par les bots consiste à bloquer des sièges via de fausses réservations. Aboutissant au décollage d’avions à moitié remplis… (Photo : Friasfoto/Pixabay)

Dans l'aérien, les bots malveillants, de plus en plus dopés à l'IA, sont devenus une réelle source d'embarras. Aboutissant même à un sous-remplissage des avions. Amadeus affine ses moyens de lutte contre ces menaces.

PublicitéLes activités online sont, depuis des années, la cible de robots plus ou moins malveillants. Pour la première fois, en 2024, le trafic provenant de bots automatisés a supplanté celui d'origine humaine, représentant 51 % de l'ensemble du trafic internet, selon une analyse de Thales. Comme le précisait le groupe français, l'IA est en train de démocratiser la création de bots - malveillants ou non -, permettant à des acteurs moins aguerris de se lancer dans cette activité.

Toujours selon Thales, la première cible des robots malveillants est devenue l'industrie du voyage, qui totalise à elle seule 27% des attaques en 2024, un bond de 6 points en un an. Spécialisé dans les systèmes de distribution pour les compagnies aériennes, Amadeus est bien placé pour constater cette évolution. Selon Olivier Thonnard, le directeur des opérations de sécurité d'Amadeus, qui s'exprimait lors d'une conférence sur les Assises de la sécurité 2025, plusieurs types d'acteurs sont à l'origine de ce trafic robotisé. Que leur activité soit malveillante ou non, elle suppose invariablement d'investir en infrastructures pour ne pas frustrer les vrais clients des services online. « Il y a d'abord certains acteurs du voyage, qui peuvent faire du scraping (collecte de données en masse, NDLR), voire du blocage de sièges sur certains vols, ou encore certains agrégateurs et concurrents, qui peuvent faire de la récupération de données tarifaires. Et bien entendu des cybercriminels, dont certains élaborent des arnaques au SMS. »

Attaque par déni d'inventaire

Les mécanismes de certaines de ces attaques sont directement liés au fonctionnement des compagnies aériennes. Dans leurs processus de réservation en ligne, celles-ci permettent aux clients de bloquer un siège sur un vol pendant une certaine durée, qui peut aller de 5 minutes à... plusieurs heures. Une fonctionnalité qu'exploitent les assaillants pour créer des attaques par déni d'inventaire. « Leurs robots arrivent jusqu'à la page de paiement, mais ne paient évidemment pas, et bloquent des sièges, ce qui évidemment ne permet pas une optimisation des réservations de la compagnie sur certains vols », souligne le directeur du SOC d'Amadeus. Un autre type d'attaques appelées 'SMS pumping' repose sur la fonction d'envoi des cartes d'embarquement sur le téléphone des clients des compagnies. « Les cybercriminels peuvent parfois générer des SMS en masse, afin de récupérer une partie de cette surconsommation, ce qui peut entrainer des coûts supplémentaires pour les compagnies aériennes », précise Olivier Thonnard.

<img src="https://www.cio-online.com/fichiers/telechargement/olivier-thonnard.jpg" width="74%">
Olivier Thonnard, directeur des opérations de sécurité d'Amadeus : « bloquer 100% des bots malveillants est impossible. Par contre, on peut rendre ces attaques non profitables. » (Photo : D.R.)

PublicitéCertes, ces attaques n'ont pas attendu l'IA pour se déployer. Mais le responsable d'Amadeus souligne que l'usage de la technologie est désormais suspecté dans 41% des attaques robotisées. Notamment parce que la technologie permet d'aller plus vite dans la création de bots malveillants et de monter à l'échelle plus facilement. « S'y ajoute la capacité de l'IA à offrir de nouvelles capacités d'évasion aux bots », souligne Olivier Thonnard. Il s'agit de rendre les bots plus intelligents pour échapper aux techniques de protection existantes. Par exemple, via la résolution de captcha (ou le recours à des fermes dédiées dans des pays à faible coût de main d'oeuvre, appelées captcha farms), via une navigation automatisée de plus en plus simple à mettre en place ou via la création de bots capables de s'adapter aux défenses qu'on lui oppose (on parle alors de bots polymorphiques).

Rendre les attaques non profitables

« Notre objectif est d'endiguer le phénomène et d'éviter la submersion, indique Olivier Thonnard. Bloquer 100% des bots malveillants est impossible. Par contre, on peut rendre ces attaques non profitables. » Ce changement de posture résulte d'un constat : actuellement, notamment avec l'IA, échapper aux blocages mis en place par les équipes de sécurité prend moins de temps aux assaillants que n'en demande l'adaptation desdits systèmes de protection aux défenseurs. « Si l'adaptation est parfois plus difficile, l'IA nous permet aussi d'accélérer l'amélioration des systèmes de protection », dit le directeur du SOC d'Amadeus.

Le spécialiste des solutions logicielles pour l'aérien travaille, en collaboration avec Thales donc, sur plusieurs pistes. La première consiste, via des techniques de Machine Learning, à établir une sorte d'ADN des bots, mis à jour au fil du temps. Et de bloquer le trafic jugé malveillant en se basant sur certaines parties de cette ADN, rendant plus complexe le contournement de ces protections par les acteurs malveillants. « Car ils ne savent pas quels composants de leur bot entraîne le blocage », dit Olivier Thonnard, qui indique que cette technique a, par exemple, permis de réduire sur un cas d'usage près de 80% des 'fausses' réservations de siège sur une compagnie aérienne.

Un crypto challenge pour freiner les bots

Amadeus et Thales ont également imaginé un défi cryptographique soumis aux navigateurs, sans impact notable pour les utilisateurs mais qui oblige les bots à mobiliser des infrastructures supplémentaires. « Ça les freine très rapidement, assure le directeur du SOC. A condition de déployer ce challenge crypto partout, API y compris ! » Cette technique a, par exemple, permis de réduire de 70% le trafic vers une compagnie aérienne !

D'autres pistes technologiques, comme pour détecter le recours à des captcha farms - via l'analyse des temps de propagation - ou à des proxys résidentiels (autrement dit des machines piratées et détournées par des exploitants de bots malveillants), sont à l'étude, dans le cadre de collaboration entre Thales et Amadeus. « La lutte contre les bots peut aussi passer par des échanges avec les compagnies aériennes, souligne encore Olivier Thonnard. Des changements dans leurs approche sur la gestion des flux de réservations peut notamment rendre le blocage de sièges moins facile. » Donc compliquer la vie des développeurs de bots malveillants et rendre leurs activités moins rentables.