
Threat Spotlight : l’évolution du trafic de bots malveillants
Autrefois utilisés principalement par les moteurs de recherche, les bots sont désormais utilisés à des fins différentes, bonnes ou mauvaises. Parmi les « bons » bots, citons notamment les robots d’indexation de moteurs de recherche et d’autres bots similaires utilisés pour agréger ou surveiller le contenu. Ces bots respectent les règles définies par le propriétaire du site Web dans le fichier robots.txt, publient des méthodes permettant de les valider en tant que tels et évitent de submerger les sites Web et les applications qu’ils visitent.
Conçus pour nuire, les bots malveillants peuvent être utilisés à des fins différentes et se déclinent en plusieurs catégories, des simples bots de scraping, qui visent à dérober des données à partir d’une application (et qui sont faciles à bloquer), aux bots persistants avancés qui imitent le comportement humain et tentent d’échapper à la détection autant que possible. Ces derniers lancent différents types attaques, notamment le Web scraping et le price scraping, le piratage des inventaires, les tentatives de piratage de compte et les attaques par déni de service distribué (DDoS).
Les chercheurs de Barracuda suivent les bots sur Internet et leurs effets sur les applications depuis plusieurs années. En analysant ces modèles de trafic au cours des six premiers mois de l’année 2023, ils ont identifié plusieurs tendances intéressantes.
De janvier 2023 à juin 2023, les bots représentaient près de 50 % du trafic Internet, les bots malveillants constituant 30 % du trafic. Un pourcentage en baisse par rapport à 2021, où les bots malveillants représentaient 39 % du trafic Internet selon une étude menée par Barracuda.
L’Amérique du Nord a généré 72 % du trafic de bots malveillants au premier semestre 2023. Environ deux tiers (67 %) du trafic de bots malveillants provenaient de fournisseurs d’hébergement, tandis que 33 % provenaient d’adresses IP résidentielles et autres. La plus grande partie du trafic généré par des bots provient des deux principaux acteurs du cloud public, AWS et Azure, ce qui fausse les données géographiques en faveur de l’Amérique du Nord.
Voyons de plus près ce qui cause ces tendances et d’où vient le trafic.
La bulle des bots e-commerce
Lors du lancement de la PlayStation 5 en 2020, les gens se sont rapidement rendu compte qu’elle était en rupture de stock partout, sauf chez les revendeurs non autorisés qui utilisaient des bots de e-commerce pour acheter rapidement toutes les PS5 disponibles et les revendre au prix fort. Les bots malveillants se sont alors retrouvés sous les feux des projecteurs et, de la fin 2020 à la mi-2022, nous avons constaté un volume important de trafic de bots malveillants provenant de ces types de bots de e-commerce.
De nombreuses personnes se sont mises à utiliser des bots malveillants pour acheter des produits lancés en édition limitée : des baskets, des vêtements, des figurines Funko Pops, etc. Les forums de bots étaient bondés de personnes qui essayaient de trouver des moyens de contourner les restrictions et les protections anti-bots, et beaucoup ont gagné de l’argent. Cette tendance s’est finalement arrêtée à la fin de l’année 2022, lorsque le marché de la revente de baskets s’est effondré à la suite de la hausse de l’inflation.
Cette diminution du trafic provenant des bots de e-commerce a probablement été la principale cause de la baisse du trafic des bots malveillants, qui sont passés de 39 % du trafic Internet au premier semestre 2021 à 30 % au premier semestre 2023.

Sources du trafic des bots
Dans leur analyse, les chercheurs de Barracuda ont également découvert des informations intéressantes sur l’origine du trafic des bots malveillants. Les États-Unis sont le pays d’origine de près des trois quarts (72 %) du trafic de bots malveillants. Les quatre régions suivantes sont les Émirats arabes unis (12 %), l’Arabie saoudite (6 %), le Qatar (5 %) et l’Inde (5 %). Cependant, les données pour les États-Unis sont faussées, car 67 % du trafic de bots malveillants provient des plages d’adresses IP des datacenters de cloud public.


Les chercheurs de Barracuda ont également constaté un important trafic de bots malveillants (33 %) provenant d’adresses IP résidentielles. Cela s’explique en grande partie par le fait que les créateurs de bots essayent de se cacher dans le trafic résidentiel en utilisant l’adresse IP de quelqu’un d’autre par l’intermédiaire de proxys afin de contourner les blocages d’adresses IP.
Les pirates utilisent cette tactique depuis quelques années maintenant, en particulier pour des activités comme le Web scraping ou d’autres attaques de bots. Les pirates ne souhaitent pas réaliser leurs actions malveillantes à partir de leur propre adresse IP en raison de la traçabilité. Ils utilisent donc un service qui fournit des plages d’adresses IP résidentielles anonymes.
Cela peut parfois conduire les utilisateurs d’adresses IP résidentielles à se retrouver dans « l’enfer des CAPTCHA », c’est-à-dire qu’ils sont incapables de réussir les CAPTCHA de Google ou de Cloudflare parce que leur adresse IP a été utilisée par l’un de ces pirates et signalée pour activité malveillante.
Intensification des attaques contre les API
Les groupes de menaces les plus graves sont toujours en activité, se perfectionnent et causent de graves dommages. Les bots deviennent plus intelligents et, par conséquent, les piratages de compte, y compris les attaques contre les API, augmentent. Les attaques contre les API augmentent. En effet, ces dernières sont relativement sous-protégées et plus faciles à attaquer avec l’automatisation, car elles sont faites pour l’automatisation.
Ces piratages de compte commencent généralement par une attaque par force brute ou une attaque par credential stuffing/password spraying (bourrage de mots de passe). Lors d’une attaque par force brute, les cybercriminels essayent des permutations et des combinaisons d’identifiants jusqu’à ce qu’ils en trouvent une qui fonctionne. Par exemple, un pirate peut utiliser une liste de noms d’utilisateur courants (comme admin ou administrateur) et de mots de passe (comme chasseur123 ou mot de passe) et continuer à itérer jusqu’à ce qu’il réussisse. Dans le cas du credential stuffing, les pirates partent d’identifiants connus provenant d’une violation de données et comptent sur le fait que les gens réutilisent leurs mots de passe sur d’autres sites. Ces attaques sont très efficaces et réussissent plus rapidement, car la réutilisation des mots de passe est courante.
Les défenses telles que les limites de débit et l’authentification multifacteur (MFA) peuvent aider à détecter et à stopper les attaques par force brute. Les pirates essayent alors d’utiliser des bots de type « low-and-slow » pour contourner les limites de débit et d’autres techniques comme le phishing et le MFA bombing pour contourner l’authentification multifacteur. Malheureusement, de nombreuses entreprises n’ont pas mis en place de limites de débit et une surveillance appropriée, ce qui peut entraîner des problèmes plus importants, comme ce fut le cas avec l’attaque contre Optus en 2022.
Les défenses qui marchent
Lorsqu’il s’agit de se protéger des attaques de bots, les entreprises peuvent parfois être dépassées par le nombre de solutions nécessaires. La bonne nouvelle, c’est que ces solutions se regroupent en services de protection des applications Web et des API (WAAP). Pour protéger votre entreprise, ainsi que vos données, analyses et stocks, vous devez investir dans une technologie WAAP qui identifie et bloque les bots malveillants. Cela améliorera l’expérience utilisateur et renforcera la sécurité globale.
- Mettez en place une sécurité adéquate des applications. Installez une solution Web Application Firewall ou WAF-as-a-Service et veillez à ce qu'elle soit correctement configurée avec une limitation et une surveillance du débit. Il s’agit-là d’une première étape importante pour garantir le bon fonctionnement de votre solution de sécurité des applications.
- Investissez dans la protection contre les bots. Assurez-vous que la solution de sécurité des applications que vous choisissez inclut une protection anti-bots afin qu’elle puisse détecter et arrêter efficacement les attaques automatisées avancées.
- Tirez parti du machine learning. Grâce à une solution qui exploite la puissance du machine learning, vous pouvez détecter et bloquer efficacement les attaques masquées des bots « presque humains ». Assurez-vous également d’activer la protection contre le credential stuffing pour empêcher le piratage de compte.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter