Rapport sur le trafic de Bad Bot : près de la moitié de tout le trafic Internet de 2021 n’était pas humain – CPO Magazine
Le rapport Imperva Bad Bot 2022 contient des conclusions révélatrices, l’élément principal étant que le trafic de mauvais bots est sur le point de dépasser l’activité humaine sur Internet.
Le trafic des bots représentait 42,3 % de toutes les activités Internet en 2021, contre 40,8 % en 2020. Le trafic des mauvais bots est près du double de celui des soi-disant « bons bots » qui remplissent des fonctions légitimes telles que l’indexation et les réponses automatisées.
Après plusieurs années d’accalmie, le trafic des bad bots repart à la hausse
Le trafic de robots a dépassé pour la dernière fois le trafic humain sur Internet en 2014, l’année du début de cette étude annuelle d’Imperva. Une augmentation du trafic humain majoritaire qui a suivi, jusqu’à 62 % à certains moments, était due en grande partie à la suppression significative des mauvais bots (ceux qui opèrent avec une intention malveillante). Ces bots gênants sont à nouveau en hausse depuis 2019, dépassant à nouveau largement leurs «bons» homologues et menaçant de dominer à nouveau Internet.
Comme le note le rapport, il existe une corrélation directe entre l’activité des mauvais bots et les taux de cybercriminalité. Les bad bots sont généralement le premier élément d’un plan d’attaque, qu’il s’agisse de surveiller un réseau cible ou de tenter de compromettre des comptes. Parmi les autres fonctions éligibles au statut de mauvais bot, citons le scalping d’articles de vente au détail, le grattage de contenu de sites Web, les attaques par déni de service distribué (DDoS) et les systèmes de «déni d’inventaire» dans lesquels des articles chauds sont immobilisés dans des paniers d’achat virtuels pour manipuler les prix ou refuser les ventes aux concurrents.
Les mauvais bots sont devenus assez avancés au cours de la dernière décennie, se mêlant au bon trafic de bots pour échapper à la détection et, dans certains cas, employant des techniques très sophistiquées pour imiter l’activité humaine. Les robots malveillants les plus avancés peuvent utiliser des navigateurs Web modifiés, imiter les mouvements de souris et les clics de type humain, changer régulièrement les adresses IP et les demandes de temps pour apparaître davantage comme un utilisateur final légitime. Ces bots particuliers, appelés la classe « évasive », représentent désormais la majorité du trafic de bots malveillants à 65,6 %.
Le trafic de bots malveillants a également tendance à varier tout au long de l’année, atteignant un pic en décembre lorsque les acteurs de la menace tentent d’exploiter les achats de vacances. Cela a continué d’être le cas, le trafic de bots malveillants représentant 30 % de toute l’activité Internet en décembre 2021, contre 24 % au début de l’année.
Certaines industries sont également très ciblées et ont connu une augmentation substantielle du trafic de bots malveillants en 2021. Les sites de sports, de jeux d’argent et de restauration ont tous enregistré des augmentations de plus de 20 % par rapport au trafic de bots de 2020. Les robots malveillants les plus sophistiqués ont de plus en plus tourné leur attention vers les sites Web de voyage, de vente au détail, d’automobile, d’éducation et gouvernementaux.
Il existe également une forte disparité régionale dans le trafic des bots. Les États-Unis sont le grand favori des bad bots, attirant 43,1 % de leurs attaques. La deuxième cible la plus fréquente est l’Australie à 6,8 %.
Le trafic de robots va de plus en plus vers des tentatives de prise de contrôle de compte
Une grande partie de la hausse du trafic de mauvais robots provient des activités de prise de contrôle de compte. Celles-ci vont des attaques classiques de « force brute » qui tentent séquentiellement les mots de passe répertoriés dans un fichier de dictionnaire, à la variante de « credential stuffing » qui n’utilise que des connexions compromises provenant de violations de données. Ces types d’attaques ont augmenté de 148 % en 2021, et plus de 65 % d’entre elles utilisent désormais une forme « évasive » de bad bot avancé pour contourner les défenses automatisées.
Certains pays qui ne sont pas parmi les plus ciblés pour le trafic global de bots sont parmi ceux qui font le plus souvent l’objet de tentatives de prise de contrôle de compte : Singapour, la France, Porto Rico et le Chili sont tous en tête de liste juste derrière les États-Unis. Les services financiers et les sites de voyage sont également plus fortement ciblés par ces types d’attaques que tout autre secteur, plus du double de la catégorie suivante sur la liste (services aux entreprises) ; les bad bots les plus avancés affichent une forte préférence pour les sites de voyage et de vente au détail. Le problème est toujours fortement orienté vers les États-Unis, cependant, avec 22% des résidents du pays (plus de 24 millions de foyers) qui, selon les estimations, ont connu une prise de contrôle de compte à un moment donné.
Le rapport révèle que le trafic de robots malveillants dans son ensemble augmente en fréquence, en complexité et en intensité. Imperva affirme que la plus grande attaque de bot qu’elle ait jamais enregistrée a eu lieu en janvier 2022, utilisant plus de 400 000 adresses IP pour inonder un site Web d’offres d’emploi avec 400 millions de tentatives de connexion sur une période prolongée. Les bad bots trouvent également de nouvelles voies d’attaque, telles que l’inscription dans des collèges dans le but de les arnaquer pour obtenir des subventions et des aides financières.
Rien n’indique que ce trafic problématique de robots est sur le point de ralentir, restant un casse-tête de sécurité pour les organisations à court terme. John Gunn, PDG de Token, suggère qu’il est essentiel d’appuyer sur des alternatives sans mot de passe : « La prise de contrôle de compte à l’aide d’informations d’identification volées reste la menace n°1 pour chaque organisation et les bots automatisent et accélèrent ce processus. Une authentification biométrique solide, efficace et pratique est essentielle pour garantir la sécurité.
Garret Grajek, PDG de YouAttest, suggère que les organisations peuvent prendre une mesure plus immédiate pour aborder les politiques de gouvernance des identités : cela devrait alarmer toute personne impliquée dans l’informatique que 28 % des ressources mondiales pour la gestion du trafic Web vont à la gestion du trafic de robots. Un trafic malveillant par nature – puisque le déni de service est l’un des tenants du principe de la CIA : Confidentialité, Intégrité et Disponibilité. Les entreprises doivent se rendre compte que ce trafic se produit et que son contenu est malveillant par nature. Et comme de nombreux bots transportent du trafic qui entraînera éventuellement des analyses et des évaluations de vulnérabilité, une entreprise doit renforcer ses défenses. Étant donné que plus de 65 % des attaques finiront par utiliser des informations d’identification affaiblies, une politique de gouvernance des identités est primordiale.