D’ici à la fin de 2023, la majorité du trafic sur internet pourrait ne plus être associée à des utilisateurs humains. Il sera remplacé par un trafic automatisé sous la forme de bots. Un « bot » est une application logicielle qui exécute des tâches automatisées sur internet. Gerald Delplace, AVP EMEA South chez Imperva, nous livre son analyse.
A lire aussi : IA Générative : beaucoup de peur et d’angoisse à dépasser dans les entreprises françaises
Les bots ne sont pas nécessairement mauvais – en fait, il y a beaucoup de bons bots, responsables de l’indexation des sites web pour les moteurs de recherche, du suivi des performances des sites web et d’autres fonctions utiles. Mais une part importante de l’automatisation entre dans la catégorie des « bad bots ». Ils récupèrent des données sur les sites web sans autorisation, perpètrent des attaques par déni de service distribué (DDoS) agressives et perturbatrices, et se livrent même à la fraude et au vol en ligne. En 2022, les « bad bots » représentaient 30,2 % de l’ensemble du trafic web, soit près de deux fois plus que les « good bots », et ce chiffre augmente chaque année.
Aujourd’hui, les bots constituent un problème important dans tous les secteurs d’activité, mais il n’en a pas toujours été ainsi. La sophistication de la technologie des bots a énormément évolué au cours de la dernière décennie, mettant de nouvelles capacités dangereuses entre les mains des opérateurs. Les organisations qui ne reconnaissent pas la menace que représentent les robots malveillants d’aujourd’hui risquent de se rendre vulnérables aux attaques.
Comment les « bad bots » ont-ils évolué ?
En 2013, le botnet Pushdo a été le plus répandu, infectant plus de 4,2 millions d’adresses IP, y compris celles d’entreprises privées, d’agences gouvernementales et de réseaux militaires. Bien que Pushdo ait mis en évidence l’ampleur de l’activité des « bad bots », il était principalement utilisé pour diffuser du spam et des chevaux de Troie malveillants, à l’instar des « bots » du début des années 2000. L’avancée la plus notable s’est produite en 2014, lorsque les chercheurs en sécurité ont observé pour la première fois des bots exploitant les paramètres des navigateurs mobiles pour récupérer des données. Il s’agissait d’un indicateur clé de l’adaptation des attaquants à la prévalence accrue des environnements web et applicatifs mobiles.
La sophistication des robots malveillants s’est accélérée à partir de là. En 2015, les opérateurs ont modifié leurs tactiques pour privilégier la qualité plutôt que la quantité. Plutôt que d’utiliser une adresse IP pour effectuer 1 000 requêtes, un robot pouvait passer par 1 000 adresses IP différentes et effectuer une requête par adresse. Cela permettait aux opérateurs de mieux dissimuler leur identité, et la sophistication croissante des robots les rendait plus difficiles à distinguer du reste du trafic web. Outre les activités malveillantes menées par les bots, cela a eu pour effet secondaire de fausser les chiffres du trafic web et les analyses de marquage, ce qui a eu des répercussions en aval pour les entreprises.
En 2016, la navigation sur le web mobile a dépassé pour la première fois la navigation sur ordinateur de bureau, ce qui a entraîné une augmentation de 42,8 % d’une année sur l’autre des robots malveillants prétendant être des navigateurs mobiles. La sensibilisation au problème a également augmenté au cours de cette période, en grande partie grâce à l’élection présidentielle américaine de 2016. À cette époque, les robots malveillants ont fait la une des journaux pour s’être engagés dans des campagnes de désinformation basées sur les médias sociaux et destinées à influencer le résultat de l’élection. Il s’agissait d’une étape importante dans l’évolution de la technologie des robots. C’était la première fois que les robots faisaient partie du discours dominant et cela montrait à quel point la technologie était devenue sophistiquée et évoluée.
Les « bad bots » sont de plus en plus perfectionnés et de plus en plus dangereux
Si les bots ont été utilisés dans des campagnes de fraude en ligne par le passé, les attaques de type « mega credential stuffing » se sont multipliées au cours des dernières années. Lors d’une attaque observée, les opérateurs ont passé 60 heures à tenter plus de 44 millions de connexions. La disponibilité d’identifiants piratés a entraîné une augmentation de ces attaques à grande échelle, qui peuvent mettre à rude épreuve l’infrastructure. Le volume élevé de trafic de robots associé à une attaque de credential stuffing à grande échelle peut entraîner des ralentissements ou des temps d’arrêt comparables à ceux d’une attaque DDoS.
La pandémie de COVID-19 a fait entrer les « bad bots » dans le courant dominant. Pendant la pandémie, les bots ont été utilisés pour s’emparer d’objets tels que des systèmes de jeu de nouvelle génération, des rendez-vous pour des vaccins, des biens de première nécessité, etc. Ils ont également été utilisés pour commettre des fraudes à grande échelle et des escroqueries visant à obtenir des fonds d’aide COVID destinés aux personnes dans le besoin. Ces tactiques sont devenues monnaie courante parmi les opérateurs de bots, et les bots d’aujourd’hui utilisent des techniques d’évasion plus avancées que jamais. Les robots les plus sophistiqués sont désormais capables de déjouer les CAPTCHA. De plus en plus, les robots ciblent les API vulnérables pour récupérer des données précieuses et sensibles auprès d’organisations qui ne se doutent de rien. Avec des milliards de dollars potentiellement en jeu, l’arrêt de ces robots doit être une priorité.
Les robots deviennent de plus en plus sophistiqués
Rien qu’au cours des 12 derniers mois, la sophistication des bots a pratiquement doublé, et l’avènement d’outils tels que l’IA générative ne fera qu’accélérer leur rythme de progression. Plus ces robots seront sophistiqués, plus il sera difficile de les arrêter. Les organisations doivent agir rapidement pour s’assurer qu’elles ont mis en place des protections efficaces. Alors que l’activité des robots se rapproche de 50 % de l’ensemble du trafic internet, l’atténuation de l’impact potentiel de ces robots doit être une priorité absolue. Ceux qui n’agissent pas se mettent en danger, ainsi que leurs clients et leur réputation.