Barracuda full logo

Threat Spotlight : l’évolution du trafic de bots malveillants

Thèmes:
18 oct. 2023
|
Tushar Richabadas

Autrefois utilisés principalement par les moteurs de recherche, les bots sont désormais utilisés à des fins différentes, bonnes ou mauvaises. Parmi les « bons » bots, citons notamment les robots d’indexation de moteurs de recherche et d’autres bots similaires utilisés pour agréger ou surveiller le contenu. Ces bots respectent les règles définies par le propriétaire du site Web dans le fichier robots.txt, publient des méthodes permettant de les valider en tant que tels et évitent de submerger les sites Web et les applications qu’ils visitent.

Conçus pour nuire, les bots malveillants peuvent être utilisés à des fins différentes et se déclinent en plusieurs catégories, des simples bots de scraping, qui visent à dérober des données à partir d’une application (et qui sont faciles à bloquer), aux bots persistants avancés qui imitent le comportement humain et tentent d’échapper à la détection autant que possible. Ces derniers lancent différents types attaques, notamment le Web scraping et le price scraping, le piratage des inventaires, les tentatives de piratage de compte et les attaques par déni de service distribué (DDoS).

Les chercheurs de Barracuda suivent les bots sur Internet et leurs effets sur les applications depuis plusieurs années. En analysant ces modèles de trafic au cours des six premiers mois de l’année 2023, ils ont identifié plusieurs tendances intéressantes.

De janvier 2023 à juin 2023, les bots représentaient près de 50 % du trafic Internet, les bots malveillants constituant 30 % du trafic. Un pourcentage en baisse par rapport à 2021, où les bots malveillants représentaient 39 % du trafic Internet selon une étude menée par Barracuda.

L’Amérique du Nord a généré 72 % du trafic de bots malveillants au premier semestre 2023. Environ deux tiers (67 %) du trafic de bots malveillants provenaient de fournisseurs d’hébergement, tandis que 33 % provenaient d’adresses IP résidentielles et autres. La plus grande partie du trafic généré par des bots provient des deux principaux acteurs du cloud public, AWS et Azure, ce qui fausse les données géographiques en faveur de l’Amérique du Nord.

Voyons de plus près ce qui cause ces tendances et d’où vient le trafic.

La bulle des bots e-commerce

Lors du lancement de la PlayStation 5 en 2020, les gens se sont rapidement rendu compte qu’elle était en rupture de stock partout, sauf chez les revendeurs non autorisés qui utilisaient des bots de e-commerce pour acheter rapidement toutes les PS5 disponibles et les revendre au prix fort. Les bots malveillants se sont alors retrouvés sous les feux des projecteurs et, de la fin 2020 à la mi-2022, nous avons constaté un volume important de trafic de bots malveillants provenant de ces types de bots de e-commerce.

De nombreuses personnes se sont mises à utiliser des bots malveillants pour acheter des produits lancés en édition limitée : des baskets, des vêtements, des figurines Funko Pops, etc. Les forums de bots étaient bondés de personnes qui essayaient de trouver des moyens de contourner les restrictions et les protections anti-bots, et beaucoup ont gagné de l’argent. Cette tendance s’est finalement arrêtée à la fin de l’année 2022, lorsque le marché de la revente de baskets s’est effondré à la suite de la hausse de l’inflation.

Cette diminution du trafic provenant des bots de e-commerce a probablement été la principale cause de la baisse du trafic des bots malveillants, qui sont passés de 39 % du trafic Internet au premier semestre 2021 à 30 % au premier semestre 2023. 

répartition du trafic des bots malveillants

Sources du trafic des bots

Dans leur analyse, les chercheurs de Barracuda ont également découvert des informations intéressantes sur l’origine du trafic des bots malveillants. Les États-Unis sont le pays d’origine de près des trois quarts (72 %) du trafic de bots malveillants. Les quatre régions suivantes sont les Émirats arabes unis (12 %), l’Arabie saoudite (6 %), le Qatar (5 %) et l’Inde (5 %). Cependant, les données pour les États-Unis sont faussées, car 67 % du trafic de bots malveillants provient des plages d’adresses IP des datacenters de cloud public. 

pays d’origine des bots malveillants
D’après notre ensemble d’échantillons, la majeure partie du trafic des bots provient des deux principaux acteurs du cloud public (AWS et Microsoft Azure) selon une proportion pratiquement égale. Cela est peut-être dû au fait qu’il est facile de créer un compte gratuitement avec l’un ou l’autre des fournisseurs, puis de l’utiliser pour configurer les bots malveillants. Il est donc relativement simple d’identifier et de bloquer ces bots. Si votre application ne s’attend pas à recevoir du trafic provenant d’une plage d’adresses IP d’un datacenter spécifique, vous pouvez envisager de la bloquer, comme vous le feriez grâce au blocage basé sur la géolocalisation.
bots malveillants cloud public par rapport aux plages d’adresses IP résidentielles

Les chercheurs de Barracuda ont également constaté un important trafic de bots malveillants (33 %) provenant d’adresses IP résidentielles. Cela s’explique en grande partie par le fait que les créateurs de bots essayent de se cacher dans le trafic résidentiel en utilisant l’adresse IP de quelqu’un d’autre par l’intermédiaire de proxys afin de contourner les blocages d’adresses IP.

Les pirates utilisent cette tactique depuis quelques années maintenant, en particulier pour des activités comme le Web scraping ou d’autres attaques de bots. Les pirates ne souhaitent pas réaliser leurs actions malveillantes à partir de leur propre adresse IP en raison de la traçabilité. Ils utilisent donc un service qui fournit des plages d’adresses IP résidentielles anonymes.

Cela peut parfois conduire les utilisateurs d’adresses IP résidentielles à se retrouver dans « l’enfer des CAPTCHA », c’est-à-dire qu’ils sont incapables de réussir les CAPTCHA de Google ou de Cloudflare parce que leur adresse IP a été utilisée par l’un de ces pirates et signalée pour activité malveillante.

Intensification des attaques contre les API

Les groupes de menaces les plus graves sont toujours en activité, se perfectionnent et causent de graves dommages. Les bots deviennent plus intelligents et, par conséquent, les piratages de compte, y compris les attaques contre les API, augmentent. Les attaques contre les API augmentent. En effet, ces dernières sont relativement sous-protégées et plus faciles à attaquer avec l’automatisation, car elles sont faites pour l’automatisation.

Ces piratages de compte commencent généralement par une attaque par force brute ou une attaque par credential stuffing/password spraying (bourrage de mots de passe). Lors d’une attaque par force brute, les cybercriminels essayent des permutations et des combinaisons d’identifiants jusqu’à ce qu’ils en trouvent une qui fonctionne. Par exemple, un pirate peut utiliser une liste de noms d’utilisateur courants (comme admin ou administrateur) et de mots de passe (comme chasseur123 ou mot de passe) et continuer à itérer jusqu’à ce qu’il réussisse. Dans le cas du credential stuffing, les pirates partent d’identifiants connus provenant d’une violation de données et comptent sur le fait que les gens réutilisent leurs mots de passe sur d’autres sites. Ces attaques sont très efficaces et réussissent plus rapidement, car la réutilisation des mots de passe est courante.

Les défenses telles que les limites de débit et l’authentification multifacteur (MFA) peuvent aider à détecter et à stopper les attaques par force brute. Les pirates essayent alors d’utiliser des bots de type « low-and-slow » pour contourner les limites de débit et d’autres techniques comme le phishing et le MFA bombing pour contourner l’authentification multifacteur. Malheureusement, de nombreuses entreprises n’ont pas mis en place de limites de débit et une surveillance appropriée, ce qui peut entraîner des problèmes plus importants, comme ce fut le cas avec l’attaque contre Optus en 2022.

Les défenses qui marchent

Lorsqu’il s’agit de se protéger des attaques de bots, les entreprises peuvent parfois être dépassées par le nombre de solutions nécessaires. La bonne nouvelle, c’est que ces solutions se regroupent en services de protection des applications Web et des API (WAAP). Pour protéger votre entreprise, ainsi que vos données, analyses et stocks, vous devez investir dans une technologie WAAP qui identifie et bloque les bots malveillants. Cela améliorera l’expérience utilisateur et renforcera la sécurité globale.

  • Mettez en place une sécurité adéquate des applications. Installez une solution Web Application Firewall ou WAF-as-a-Service et veillez à ce qu'elle soit correctement configurée avec une limitation et une surveillance du débit. Il s’agit-là d’une première étape importante pour garantir le bon fonctionnement de votre solution de sécurité des applications.
  • Investissez dans la protection contre les bots. Assurez-vous que la solution de sécurité des applications que vous choisissez inclut une protection anti-bots afin qu’elle puisse détecter et arrêter efficacement les attaques automatisées avancées.
  • Tirez parti du machine learning. Grâce à une solution qui exploite la puissance du machine learning, vous pouvez détecter et bloquer efficacement les attaques masquées des bots « presque humains ». Assurez-vous également d’activer la protection contre le credential stuffing pour empêcher le piratage de compte.
e-book : Le nouvel ABC de la sécurité des applications
Tushar Richabadas

Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.

Connectez-vous avec lui sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.