LendingTree

Les solutions d’amélioration de la sécurité, des performances et serverless de Cloudflare offrent à LendingTree une sécurité à la mesure de son activité

LendingTree est une place de marché en ligne qui permet aux emprunteurs particuliers et professionnels de se mettre en relation avec plusieurs organismes de crédit, afin de trouver les meilleures conditions pour des prêts hypothécaires, des prêts étudiants, des prêts professionnels, des cartes de paiement, des comptes de dépôt et des assurances. LendingTree travaille en partenariat avec plus de 400 institutions financières dans le monde. Plus de 15 millions d’utilisateurs actifs utilisent LendingTree pour surveiller leur crédit, rechercher des prêts et gérer leur santé financière.

Défi : remplacer une solution de sécurité très coûteuse qui bloquait une grande quantité de trafic légitime

Lorsque John Turner, responsable de la sécurité des applications, a rejoint l’équipe de LendingTree, l’entreprise était confrontée à plusieurs problématiques de coûts et de performances avec son fournisseur de sécurité. La protection anti-DDoS du fournisseur était mesurée, ce qui entraînait, pour LendingTree, des coûts extrêmement élevés en cas de dépassement. La solution bloquait également du trafic légitime.

« La solution n’était pas intelligente ; elle était statique, » explique Turner. « Nous devions définir manuellement des limites arbitraires sur le nombre de requêtes par minute. Lorsque nous dépassions ce nombre, le prestataire déchargeait le trafic, le gérait à notre place et nous facturait les dépassements. »

Ces limites causaient des problèmes considérables chaque fois que LendingTree lançait une campagne de marketing. « Chaque fois que nous diffusions un nouveau spot télévisé ou une nouvelle campagne sur les réseaux sociaux, les requêtes dépassaient la limite arbitraire que notre fournisseur nous imposait de spécifier, et la solution interprétait alors le pic de trafic comme une attaque DDoS et bloquait du trafic légitime, » se souvient Turner. « Nous perdions non seulement ces clients potentiels, mais nous perdions également l’argent que nous avions dépensé pour les faire venir sur notre site, et notre prestataire nous facturait le coût de la protection contre les attaques DDoS. »

John Turner s’est adressé à Cloudflare en raison de sa précédente expérience professionnelle avec l’entreprise. « Dans le cadre de mon activité de conseil, j’ai recommandé Cloudflare à mes clients à de nombreuses reprises. Je savais que les produits de Cloudflare étaient efficaces et offraient une valeur attrayante, » explique-t-il. Chez LendingTree, Turner a décidé de mettre en œuvre les suites de performance et de sécurité de Cloudflare, notamment Bot Management, le pare-feu WAF et la protection contre les attaques DDoS, ainsi que Workers, la plateforme serverless de Cloudflare.

Cloudflare Bot Management bloque les attaques lancées contre les API de LendingTree par les bots malveillants

L’offre d’atténuation des attaques DDoS de Cloudflare n’est pas mesurée, et offre une capacité d’atténuation de 51 Tb/s ; ainsi, LendingTree n’a pas à se préoccuper de définir des limites de trafic arbitraires. LendingTree bénéficie également des nombreux autres avantages qu’offre Cloudflare en matière de sécurité, notamment la gestion des bots.

Les bots malveillants responsables de l’utilisation abusive des API de LendingTree coûtaient beaucoup d’argent à l’entreprise, non seulement en termes de coûts de bande passante, mais aussi également de coûts d’opportunité. En raison de la sophistication des bots et du fait qu’ils récupéraient les données financières de l’entreprise, John Turner pensait que certains étaient déployés par des entreprises concurrentes. LendingTree ne pouvait pas restreindre complètement l’accès aux API, car ses partenaires devaient pouvoir y accéder pour obtenir des informations sur les taux actuels.

« Notre facture pour un service d’API particulier est passée de 10 000 USD à 75 000 USD par mois, pratiquement du jour au lendemain. Le mois suivant, elle s’est élevée à 150 000 USD », explique John Turner. « Mon équipe a dû passer beaucoup de temps à enquêter sur ces attaques et à créer des règles personnalisées pour tenter de les arrêter. Et parce que les auteurs des attaques ajustaient constamment leurs tactiques, les règles que nous écrivions n’étaient que partiellement efficaces pendant un court laps de temps. »

Cloudflare Bot Management a offert à LendingTree des résultats immédiats. « Dans les 48 heures qui ont suivi l’activation de Cloudflare Bot Management, les attaques contre un point de terminaison API particulier ont chuté de 70 %, » rapporte Turner.

Contrairement aux solutions précédemment utilisées par LendingTree, Cloudflare Bot Management ne grève pas le trafic automatisé légitime. « Sur des centaines de milliers de requêtes, nous n’avons identifié qu’un seul cas dans lequel une requête légitime a été marquée comme malveillante, » explique Turner.

Turner a également obtenu la confirmation qu’au moins un concurrent était effectivement responsable de l’utilisation abusive de l’API de LendingTree. « Dès que nous avons mis un terme à l’utilisation abusive de l’API, les tarifs d’un concurrent particulier ont immédiatement augmenté, » se souvient-il. « Après cela, j’ai lu un article de presse indiquant que, soudainement, toutes les entreprises à l’exception de LendingTree proposaient des taux élevés sur les emprunts immobiliers. Nous soupçonnons fortement que nos concurrents extrayaient les données de notre API et utilisaient nos propres données pour proposer des tarifs inférieurs aux nôtres. »

Cloudflare Workers permet à LendingTree d’effectuer des tests A/B et d’acheminer le trafic à la périphérie du réseau

John Turner explique qu’il utilise la plateforme serverless Cloudflare Workers pour résoudre rapidement les problèmes de codage à la périphérie du réseau. « Workers est mon couteau suisse. J’ai de nombreux scénarios d’utilisation pour ce produit, » explique-t-il. « Il me permet de résoudre facilement les problèmes qui ne peuvent pas être corrigés rapidement en réécrivant le code. » Ces scénarios d’utilisation incluent l’injection d’en-têtes de ressources d’origines croisées (Cross Origin Resource Sharing, CORS), la réécriture de paramètres, l’inspection de paquets, l’exécution de tests A/B, ainsi que l’examen et le routage du trafic TLS entrant.

« Workers examine les requêtes entrantes pour confirmer qu’elles sont bien conformes à TLS 1.0, puis achemine ces requêtes, » explique Turner. « Grâce à Workers, j’ai pu identifier qu’une grande partie de ce trafic provenait de nos serveurs, qui communiquaient via Internet, même s’ils étaient installés les uns à côté des autres, dans le même datacenter. Je n’aurais pas pu identifier ce problème sans Workers. La capacité d’exécuter du code à la périphérie et d’acheminer le trafic en conséquence nous fait gagner du temps et de l’argent. »

John Turner a récemment utilisé Workers pour injecter des en-têtes de partage de ressources d’origines croisées (Cross Origin Resource Sharing, CORS) et résoudre un problème de communication entre les systèmes de LendingTree et l’un de ses sites partenaires, gérés par AOL. « Nous avons pu utiliser Workers pour identifier le problème et rétablir le service en quelques minutes, sans temps d’arrêt ni changement de code, » se souvient Turner. « Sans Workers, nous aurions dû refacturer le code et changer de serveur, ce qui aurait demandé des semaines. »

Workers a transformé la façon dont LendingTree réalise les tests A/B. Avant Workers, LendingTree devait exécuter tous les tests A/B de son côté, en utilisant des proxys NGINX. « Nous disposions d’un système de test A/B entièrement rédigé en interne, » explique John Turner. LendingTree commence désormais à utiliser Cloudflare Workers pour réaliser des tests A/B à la périphérie du réseau, ce qui permet d’obtenir de meilleures performances avec moins de complexité.

Cloudflare Workers a changé la donne pour LendingTree. Nous pouvons exécuter JavaScript de manière asynchrone dans une session client ou parallèlement à celle-ci, manipuler les données et prendre des décisions sans impacter les performances ou la disponibilité. « Aucune autre solution ne propose cette fonctionnalité. »

Des outils de sécurité et de performance supplémentaires de Cloudflare offrent davantage de protection, d’optimisation et de réduction des coûts

LendingTree a intégré un plusieurs outils de sécurité et de performance de Cloudflare à l’échelle de l’entreprise.

Par exemple, LendingTree a encore renforcé sa protection contre les bots malveillants en associant Bot Management avec le service Limitation du taux de Cloudflare et des règles de pare-feu WAF personnalisées. « Au cours des quatre à cinq derniers mois, le service Limitation du taux de Cloudflare nous a permis d’économiser environ 250 000 $ en mettant un terme à l’utilisation abusive de nos points de terminaison API, » déclare Turner.

Le pare-feu WAF de Cloudflare est un autre composant essentiel des défenses de sécurité de LendingTree. « Compte tenu de tout ce que propose le pare-feu WAF de Cloudflare, son prix est très attrayant ; de plus est, il est facile à utiliser et très efficace, » déclare Turner. Nous n’avons plus besoin d’équipes dédiées pour gérer les règles du pare-feu WAF ou pour étudier les flux d’informations concernant les menaces. Le pare-feu WAF de Cloudflare s’occupe de tout pour nous. »

Lorsque LendingTree a remarqué une baisse des conversions, Google a suggéré à l’entreprise d’améliorer ses temps de chargement des pages. John Turner a utilisé les outils d’optimisation des performances de Cloudflare pour apporter des modifications, puis a demandé à Google de vérifier à nouveau les temps de chargement des pages de LendingTree. Les employés de Google ont été stupéfaits. « En tirant simplement parti des fonctions de performance intégrées de Cloudflare, nous avons amélioré jusqu’à 70 % les temps de chargement des pages, » se souvient Turner. « Le personnel de Google a déclaré n’avoir jamais vu les performances d’un site augmenter si rapidement après qu’une personne ait apporté quelques modifications seulement. »

LendingTree utilise les certificats TLS de Cloudflare pour économiser de l’argent et éviter les défaillances dues aux certificats expirés. « Nous avons des milliers de propriétés différentes. À cette échelle, ce n’était qu’une question de temps avant que nous omettions le renouvellement d’un certificat, » explique Turner. « Grâce aux certificats TLS de Cloudflare, qui se renouvellent automatiquement, nous économisons environ 50 000 $ par an, sur les coûts administratifs comme sur les pertes de revenus dues aux défaillances imputables aux certificats expirés. »

Turner déclare que les économies réalisées par LendingTree grâce à Cloudflare couvrent intégralement le coût des services de Cloudflare. « En nous permettant de diffuser nos produits de manière rapide, sûre et fiable, Cloudflare nous offre une sécurité à la mesure de l’entreprise, » conclut-il.

LendingTree
Études de cas associées
Résultats essentiels
  • Cloudflare Bot Management a réduit de 70 % le nombre d’attaques lancées contre un point de terminaison API qui était fréquemment la cible d’une utilisation abusive.

  • Avec Workers, LendingTree a immédiatement résolu un problème de communication entre ses systèmes et l’un de ses sites partenaires, sans interruption du service ni modification du code.

  • Cloudflare Rate Limiting a permis à LendingTree d’économiser 250 000 USD sur cinq mois en mettant un terme à l’utilisation abusive des points de terminaison API.

  • Grâce à la suite de performance de Cloudflare, LendingTree a amélioré jusqu’à 70 % les temps de chargement de pages.

« Cloudflare Workers a changé la donne pour LendingTree. Nous pouvons exécuter JavaScript de manière asynchrone dans une session client ou parallèlement à celle-ci, manipuler les données et prendre des décisions sans impacter les performances ou la disponibilité. Aucune autre solution ne propose cette fonctionnalité. »

John Turner
Responsable de la sécurité des applications

« Au cours des quatre à cinq derniers mois, le service Limitation du taux de Cloudflare nous a permis d’économiser environ 250 000 USD en mettant un terme à l’utilisation abusive de nos points de terminaison API »

John Turner
Responsable de la sécurité des applications