Méga BaaS In
Les robots utilisés par les grands modèles de langage (LLM) pour indexer le web ne sont que la partie émergée de l’iceberg. 37 % du trafic Internet émanerait en effet de « robots malveillants » (contre 19 % il y a 10 ans), contre 14 % pour les robots légitimes, et 49 % pour les internautes humains (contre plus de 60 % il y a encore 5 ans).
Pour la première fois en dix ans, le trafic généré par des bots automatisés a dépassé celui émanant d’être humains l’an passé. Ces derniers représentaient en effet un peu plus de 60 % du trafic Internet jusqu’en 2020, contre 49 % seulement en 2024.
Les « gentils bots », tels que les crawlers qui indexent les pages web, sont quant à eux passés de 20 % environ à 14 %. Les « robots malveillants », a contrario, voient leur trafic augmenter depuis six ans, passant de 19 à 37 %.
Les chiffres émanent du 12e rapport « Bad Bot » (.pdf) d’Imperva, une entreprise états-unienne de cybersécurité rachetée par Thales en 2023 pour 3,6 milliards de dollars. Elle précise que son analyse « s’appuie sur des données collectées sur l’ensemble du réseau mondial d’Imperva en 2024, y compris le blocage de 13 000 milliards de requêtes de robots malveillants dans des milliers de domaines et d’industries »
Le rapport définit ces robots malveillants comme des programmes automatisés conçus pour effectuer des activités nuisibles, telles que la récupération de données, le spam et le lancement d’attaques par déni de service distribué (DDoS).
Ils peuvent également extraire des données de sites web sans autorisation pour les réutiliser, obtenir un avantage concurrentiel, et « sont souvent utilisés pour le scalping, qui consiste à obtenir des articles à disponibilité limitée et à les revendre à un prix plus élevé », souligne le rapport.
Ils peuvent aussi, a contrario, être utilisés pour remplir des formulaires pour, par exemple, créer des comptes fictifs, tromper les CAPTCHA, s’attaquer à la double authentification et voler des identités (« Credential Stuffing / Cracking »).
Le nombre de vols d’identités numériques imputables à des « bad bots » aurait ainsi augmenté de 40 % depuis 2023, et 54 % depuis 2022. Une explosion « probablement due » au fait que les cybercriminels utilisent l’IA pour automatiser les tentatives d’authentification et les attaques par force brute, ce qui les rend en outre plus sophistiquées et plus difficiles à détecter.
Le rapport souligne que l’augmentation de fuites et de vols de données rend également ce type d’attaques plus faciles à exploiter. Or, le centre de ressources sur le vol d’identité (Identity Theft Resource Center), qui documente depuis 2005 les violations de données signalées publiquement aux États-Unis, a de son côté identifié une augmentation de 211 % de notifications par rapport à 2023.
Des plateformes de Bots-as-a-Service (BaaS)
Le rapport précise aussi que « les attaquants utilisent de plus en plus des techniques sophistiquées pour imiter le trafic humain et mener des activités malveillantes, ce qui rend ces attaques plus difficiles à détecter et à atténuer ».
Cette expansion serait largement due à l’adoption rapide de l’IA et des grands modèles de langage (LLM), « qui ont rendu le développement de robots plus accessible et réalisable même pour les moins qualifiés techniquement », mais également permis le lancement de plateformes de Bots-as-a-Service (BaaS).
Bytespider, un robot d’exploration du web exploité par ByteDance, le propriétaire chinois de TikTok, officiellement utilisé pour télécharger des données d’entraînement pour ses LLM, serait à lui seul responsable de 54 % de toutes les attaques basées sur l’IA, devant AppleBot (26 %), ClaudeBot (13 %) et ChatGPT User Bot (6 %).
Le rapport précise, cela dit, que cette prévalence de ByteSpider « peut être attribuée en grande partie au fait qu’il est largement reconnu comme un robot d’exploration légitime, ce qui en fait un candidat idéal pour l’usurpation d’identité » :
« Les cybercriminels déguisent souvent leurs robots malveillants en robots d’exploration pour échapper à la détection et contourner les mesures de sécurité qui placent les robots d’exploration connus sur liste blanche. »
L’équipe Threat Research d’Imperva a également constaté une augmentation de 55 % des attaques dirigées contre les API. 44 % du trafic de bots avancés prennent ces interfaces pour cibles, contre seulement 10 % ciblant les applications.
Les cybercriminels déploient en effet des bots spécifiquement conçus pour exploiter les vulnérabilités dans les flux des API, se livrant à des fraudes automatisées aux paiements, à des détournements de comptes ou encore à l’exfiltration de données.
31 % des attaques enregistrées l’an passé émanaient de « bad bots »
Au total, 31 % de toutes les attaques enregistrées l’an passé par Imperva émanaient de tels « bad bots » et de l’un des 21 types d’attaques automatisées identifiés par l’Open Web Application Security Project (OWASP).
L’entreprise recommande dès lors de renforcer les défenses des sites web afin de de pouvoir distinguer les consommateurs légitimes des robots malveillants :
« La mise en œuvre d’une analyse avancée du trafic, de mécanismes de détection des robots en temps réel et de mesures d’authentification robustes peut contribuer à protéger votre plateforme, en garantissant un accès équitable aux clients réels. »
Imperva souligne à ce titre que de nombreux outils et scripts de robots reposent sur des user-agents de versions de navigateurs obsolètes. Alors qu’a contrario, les internautes humains sont quant à eux obligés de mettre à jour automatiquement leurs navigateurs vers des versions plus récentes.
L’entreprise, qui a également constaté un recours accru aux services de proxies, afin de masquer la provenance des robots malveillants, recommande la mise en œuvre de contrôles d’accès pour les fournisseurs d’IP connus pour être utilisés à cet effet, « tels que Host Europe GmbH, Dedibox SAS, Digital Ocean, OVH SAS et Choopa LLC ».