Faudra-t-il s'attendre à voir augmenter les risques liés aux bots sur les services exposés au web ? Un dernier rapport de F5 Labs (l'entité recherche de F5 Networks) apporte quelques éléments de réponse montrant bien que les systèmes de traitements automatisés, au premier rang desquels les bots et autres assistants IA, prennent de plus en plus de place dans la part des requêtes web générant des contenus (pages web qui affichent un produit, un article, un prix ou un service). Et parmi eux des bots loin d'être bienveillants.
D'après le rapport, 50,04 % des demandes de pages pour le contenus web proviennent de sources automatisées, contre 22,3 % de demandes liées à de la recherche sur le web et 21,5 % des transactions. Ces résultats suggèrent par ailleurs une croissance significative du type de scrapers web profitant de l'essor des LLM tels que ceux d'OpenAI, Anthropic et Perplexity. « Pendant des années, le trafic de bots a principalement ciblé les flux de recherche, ainsi que les aspects du parcours utilisateur où une personne s'inscrit ou se connecte pour utiliser un service, ajoute un article à son panier, passe à la caisse ou cherche à modifier son mot de passe », a expliqué David Warburton, directeur de F5 Labs. « L'énorme recrudescence du scraping de contenu, sans aucun doute associée à l'explosion de l'IA générative et des LLM, souligne à quel point le trafic des bots est dynamique et la nécessité pour les entreprises d'être constamment à l'affût des changements dans les schémas d'attaque. »
Part du trafic (services web ou API mobile) issus de bots en fonction du secteur d'activité. (crédit : F5 Labs)
Evaluer les risques aux bots et attaques automatisées
Sur l'ensemble des requêtes HTTP tous secteurs et plateformes confondus, 21,22 milliards des transactions contrôlées (10,2 %) provenaient de diverses sources automatisées, dont la plupart légitimes et sans risque, mais 10 milliards (4,8 %) consistaient en un trafic de bots malveillants. « Il s'agit de bots qui ont persisté longtemps après la mise en place de mesures d'atténuation. La quantité moyenne de bots affectant les sites et les API sans mesures d'atténuation est souvent bien plus élevée », peut-on lire dans le rapport. Certains secteurs d'activité sont plus exposés que d'autres comme l'hôtellerie avec 44,6 % du trafic provenant de bots, la santé (32,6 %) et le commerce en ligne (22,7 %). Sur mobile, le divertissement (23 %) apparait de loin comme le secteur le plus ciblé, loin devant l'e-commerce (4,5 %) et la restauration rapide (4,2 %).
Processus de base de la mise en place et de l'utilisation d'un réseau proxy IP résidentiel et risques associés aux bots. (crédit : F5 Labs)
« Les bots et l'automatisation sont là pour durer. Avec la montée en puissance des agents d'IA, une part encore plus importante du trafic vers les applications API web et mobiles proviendra de sources non humaines. Il est donc important pour les entreprises de s'attaquer à ce problème et de mettre en place des contrôles solides pour assurer leur sécurité et celle de leurs clients », prévient F5 Labs qui pousse dans la foulée quelques recommandations. Parmi lesquelles : évaluer les méthodes utilisées pour gérer les bots et leur automatisation et en comprendre les risques, et mettre en œuvre une stratégie de gestion des risques appropriée aux bots et attaques automatisées.
Commentaire