Qu’est-ce que le trafic de bots ? Comment protéger votre site web contre le trafic indésirable des bots ?

Le trafic de bots désigne le trafic internet généré par des logiciels automatisés (bots) conçus pour exécuter des tâches répétitives, le plus souvent simples. Ces bots fonctionnent en continu, souvent bien plus rapidement que n’importe quel humain.

Près de la moitié du trafic internet mondial provient de bots. S’il existe des bots utiles pouvant apporter de la valeur à votre site web, environ 30 % du trafic total est lié à des bots malveillants. Ces derniers sont conçus pour exécuter toutes sortes d’actions néfastes : extraction de contenu, account takeovers, accaparement de stocks, etc.

Pire encore, près de deux tiers des entreprises sont totalement non protégées contre les attaques simples de bots. Même lorsqu’ils échouent à atteindre leur objectif, les bots peuvent surcharger vos serveurs et dégrader les performances de votre site web, voire même le rendre indisponible. Une gestion efficace du trafic de bots est donc essentielle pour toute entreprise présente en ligne.

Points clés

• Les bots représentent environ la moitié du trafic internet, dont une grande partie est malveillante.
• La majorité des bots sont nuisibles, mais certains bots utiles jouent un rôle important.
• Les “bad bots” peuvent causer divers problèmes : vol de données, surcharge de serveur, biais dans les analyses, etc.
• Détecter et gérer le trafic de bots est crucial pour garantir les performances et la sécurité de votre site web.
• Une gestion efficace des bots repose sur un mix d’outils natifs et de solutions spécialisées.

Qu’est-ce qu’un bot ?

Les bots sont des logiciels automatisés conçus pour exécuter des tâches spécifiques sur Internet. Ils peuvent aller de simples scripts à des programmes complexes pilotés par l’intelligence artificielle. Les bots sont programmés pour accomplir rapidement et efficacement des tâches répétitives, en imitant souvent le comportement humain pour interagir avec les sites web et services en ligne. S’il existe des bots utiles et nécessaires (comme ceux des moteurs de recherche ou les crawlers SEO), une part importante du trafic bot provient de bots malveillants.

Comment fonctionne les bots de trafic ?

Les bots de trafic fonctionnent en envoyant des requêtes automatisées aux sites web, simulant le comportement d’un utilisateur humain. Ils peuvent être programmés pour naviguer sur des pages web, remplir des formulaires, cliquer sur des liens et même acheter vos produits ou services. Les bots utilisent diverses techniques pour éviter d’être détectés, telles que la rotation des adresses IP, des modèles de navigation similaires à ceux des humains et des agents utilisateurs sophistiqués. Certains bots avancés utilisent des algorithmes d’apprentissage automatique pour adapter leur comportement en fonction des réponses du site web.

Quels types de bots malveillants existe-t-il ?

Contrairement aux bons bots, les bots malveillants ne respectent pas les règles définies dans votre fichier robots.txt. Ils cherchent à dissimuler leur identité et leur origine, et essaient souvent de se faire passer pour de véritables visiteurs. Mais la principale différence entre les bons et les mauvais bots réside dans les tâches qu’ils exécutent : les hackers et fraudeurs programment les bad bots pour réaliser des actions perturbatrices, voire destructrices. S’ils ne sont pas bloqués, ils peuvent causer des dommages durables.

Bots de scraping

Les bots de scraping (ou scraper bots) volent le contenu de votre site pour le republier ou le vendre sur d’autres plateformes. Par exemple, un bot de scraping peut voler des informations tarifaires privées sur vos produits pour les divulguer à vos concurrents, vous faisant ainsi perdre votre avantage concurrentiel. Ce type de scraping tarifaire est fréquent dans les secteurs où le prix est un facteur décisif, comme la billetterie ou les agences de voyage.

Bots de credential stuffing

Ces bots utilisent des identifiants volés (généralement issus de violations de données) pour « inonder » les pages de connexion d’autres sites avec des combinaisons connues de noms d’utilisateur et mots de passe. L’objectif est d’accéder à des comptes utilisateurs. Les internautes ayant souvent recours aux mêmes identifiants pour plusieurs services, ces attaques peuvent être très efficaces.

Lire aussi : Dans les coulisses d’une attaque de credential stuffing massivement distribuée

Bots spammeurs

Ces bots publient du contenu indésirable ou envoient des e-mails en masse, souvent contenant des liens vers des sites frauduleux. On retrouve fréquemment des bots de spam dans les commentaires de blogs, les publications sur les réseaux sociaux et les forums.

Bots de fraude publicitaire

Les bots de fraude publicitaire cliquent sur des publicités au coût par clic (PPC) pour générer des revenus ou fausser le coût d’une campagne. Résultat : l’annonceur paie des frais publicitaires élevés pour une campagne qui n’a en réalité aucun impact.

Bots d’attaque par déni de service (DoS)

Dans le cadre des attaques DDoS de niveau 7, les bots envoient de nombreuses requêtes vers des éléments gourmands en ressources d’une application web, comme des téléchargements de fichiers volumineux ou des soumissions de formulaires. Cela provoque des ralentissements, voire une interruption totale du service.

Bots de fraude à la carte bancaire

Ces bots effectuent de petites transactions pour deviner des informations manquantes sur une carte bancaire, comme le code CVV ou la date d’expiration. Ils multiplient les tentatives jusqu’à en réussir une, récupérant ainsi les données manquantes. Leur activité entraîne souvent des rétrofacturations pour les sites e-commerce et nuit à votre fraud score.

Bots de fraude aux cartes cadeaux

Ces bots volent de l’argent sur les comptes de cartes cadeaux. Ils sont courants, car les entreprises protègent généralement moins les cartes cadeaux que les cartes bancaires. Pourtant, la fraude aux cartes cadeaux nuit à votre réputation auprès des clients et peut entraîner d’importantes pertes de revenus.

Quelles sont les conséquences des bots malveillants ?

Si vous ne protégez pas efficacement votre entreprise contre les bots, vous finirez inévitablement par faire face à des problèmes sérieux. Bien qu’il soit difficile de savoir exactement à quel type de problème vous serez confronté, voici quelques-unes des principales conséquences :

• augmentation de la bande passante et des coûts serveurs,
• rapports Google Analytics et autres KPI biaisés,
• baisse des taux de conversion,
• dégradation des performances du site et de l’expérience utilisateur,
• pression accrue sur les data centers,
• risque de fuite de données et de failles de sécurité.

Comment détecter les bots

Le trafic bot doit d’abord être correctement identifié avant de pouvoir être géré. Voici quelques signes à surveiller dans votre trafic et vos indicateurs business.

Augmentation du trafic et du taux de rebond

Une augmentation anormale du trafic ou des pics soudains sont souvent le signe d’un afflux massif de bots, ou d’un même bot revenant en boucle sur votre site. Une hausse du taux de rebond indique que le bot quitte le site après avoir exécuté sa tâche, sans explorer d’autres pages.

Temps de chargement des pages

Une baisse brutale de la vitesse de chargement des pages — surtout si vous n’avez pas apporté de modifications majeures à votre site — est un indicateur classique de trafic de bots malveillants. Bien que d’autres facteurs puissent ralentir un site, cela doit vous inciter à examiner de près vos autres KPI.

Un seul bot aura peu d’impact sur les performances globales, mais les attaques malveillantes impliquent souvent un grand nombre de bots qui ciblent votre site simultanément, comme dans les attaques DDoS de couche 7.

Baisse anormale du taux de rebond

Si votre taux de rebond chute à un niveau anormalement bas, cela peut signaler une activité intense de web scraping ou de scalping de billets. Les bots explorent alors un grand nombre de pages à la recherche de données à extraire.

Performances SEO

Cet impact est plus difficile à mesurer immédiatement, mais le vol de contenu par des bots de scraping peut nuire à votre positionnement dans les résultats des moteurs de recherche (SERP).

Il est possible que votre site se fasse dépasser par un site qui republie votre contenu. Pire encore, Google pourrait vous pénaliser pour duplication. Pensez à ajouter des balises canoniques à chaque article de blog pour indiquer que votre contenu est l’original, même s’il est copié ailleurs.

Réclamations clients concernant des produits indisponibles

Si vos clients se plaignent de ne pas pouvoir acheter certains produits, vous êtes peut-être victime de scalper bots. Conçus pour acheter à une vitesse extrême, ces bots empêchent les vrais utilisateurs d’arriver jusqu’à la page de paiement, ce qui génère une grande frustration.

Comment empêcher le trafic des bots sur votre site web

Que faire une fois que vous avez identifié un problème de trafic de bots ? Eh bien, vous les arrêtez. Bien que votre objectif principal soit de bloquer le trafic des bots malveillants, vous devez également gérer le trafic des bots bienveillants et vérifiés. Tous les bots bienveillants et vérifiés ne sont pas forcément utiles pour votre site. Même s’ils ne nuisent pas délibérément à votre site, ils peuvent néanmoins ralentir ses performances en générant un trafic inutile. De plus, une gestion adéquate de ces “bons” bots vous aidera à les différencier des mauvais.

Gérer les bons bots

Les bons bots déclarent ouvertement leur identité et sont en général faciles à gérer. Deux approches principales sont possibles :

Robots.txt

La méthode la plus courante consiste à définir des règles dans votre fichier robots.txt. Le principe est simple : autoriser les bons bots qui apportent de la valeur à votre site, et bloquer ceux qui n’en apportent pas.

Listes de blocage et d’autorisation

Si vous disposez d’une solution de gestion des bots, vous pouvez configurer des listes de blocage ou d’autorisation. Par exemple, DataDome peut mettre en place une liste d’autorisation pour les bons bots autorisés à explorer votre site. Une bonne solution de gestion des bots permet également de contrôler leur trafic avec des fonctionnalités comme la limitation du débit ou le timeboxing, afin que vous puissiez autoriser l’accès selon vos propres conditions.

Gérer les bots malveillants

Pour gérer et atténuer les effets des mauvais bots, plusieurs approches sont possibles :

Investir dans une solution de gestion des bots

Les bots imitent de mieux en mieux le comportement humain. Une solution avancée de gestion des bots est aujourd’hui indispensable. Certains utilisent désormais l’IA et l’apprentissage automatique pour accomplir leurs tâches et dissimuler leur identité. La meilleure défense ? Une solution de gestion des bots basée sur l’IA, comme DataDome. Autrement dit : combattre le feu par le feu.

DataDome détecte les bots en temps réel grâce à une analyse comportementale, ce qui permet d’identifier efficacement même les bots les plus sophistiqués, capables, par exemple, de falsifier leur user-agent (UA) et de faire tourner des centaines voire des milliers d’adresses IP parfaitement propres.

Beaucoup de solutions de gestion des bots sont aujourd’hui relativement abordables et faciles à utiliser. Si vous prenez la cybersécurité au sérieux, investir dans une véritable solution de détection et d’atténuation des bots est indispensable.

CAPTCHA

Une approche courante pour bloquer le trafic des bots consiste à utiliser des CAPTCHA. Mais ce n’est pas une solution universelle de gestion des bots. Deux raisons principales à cela :

• un usage excessif des CAPTCHA peut dégrader l’expérience utilisateur et augmenter le taux de rebond de votre site ;
• les bots utilisent des services de fermes à CAPTCHA pour les contourner.

Considérez le CAPTCHA comme une première ligne de défense. Ce n’est pas une solution définitive. La solution de gestion des bots de DataDome inclut son propre CAPTCHA, conçu pour être résolu en moins de 3 secondes en moyenne par un humain.

Web Application Firewall (WAF)

Une autre méthode courante pour contrer le trafic de bots est le pare-feu applicatif (WAF). Il agit comme un bouclier entre votre page web et vos utilisateurs : tout le trafic passe d’abord par le WAF avant d’atteindre l’utilisateur. C’est, en quelque sorte, un serveur proxy inversé.

Un WAF est utile pour protéger les applications contre les attaques les plus courantes. Il peut bloquer une partie du trafic de bots non désiré. Mais les WAF sont conçus pour protéger les applications, pas pour détecter les bots. Ils sont inefficaces contre les bots sophistiqués qui cherchent activement à contourner vos protections.

Gestion basée sur les adresses IP

Bloquer les adresses IP connues pour être à l’origine de trafic malveillant est une bonne pratique. Attention cependant à ne pas bloquer des IP publiques, ce qui pourrait empêcher l’accès à de vrais utilisateurs. De plus, les bots modernes utilisent aujourd’hui un grand nombre d’adresses IP différentes, ce qui rend cette méthode de moins en moins efficace.

Contrôles d’accès renforcés

Il est judicieux de mettre en place des contrôles d’accès plus stricts sur les zones sensibles de votre site, comme celles réservées aux administrateurs ou celles qui donnent accès à des bases de données. Des mesures de sécurité supplémentaires, telles que l’authentification multi-facteur, peuvent bloquer le trafic de bots qui lancent des attaques par credential stuffing ou d’autres activités malveillantes.

Conclusion

La manière la plus efficace de protéger votre entreprise contre le trafic des bad bots est d’utiliser une solution spécialisée de gestion des bots. Idéalement basée sur l’intelligence artificielle, car c’est la seule façon de garder une longueur d’avance sur les bots malveillants qui utilisent eux-mêmes l’IA. Les meilleures solutions de gestion des bots s’appuient sur l’apprentissage automatique pour analyser le comportement des visiteurs et bloquer les bots malveillants avant même qu’ils n’atteignent votre réseau.

Sources

1. https://datadome.co/resources/datadome-global-bot-security-report-2024/
2. https://support.google.com/webmasters/answer/6062608