Les robots malveillants prolifèrent sur internet et représentent aujourd'hui près d'un tiers (30 %) du trafic internet mondial. Ces bots sont fréquemment utilisés par les cybercriminels pour cibler les entreprises en ligne et mener différents types de fraudes et de cyberattaques.
DataDome, scale-up française spécialisée dans l'utilisation de l'IA pour lutter contre la fraude en ligne et les bots malveillants, vient de publier son « Rapport sur la sécurité anti-bots en France ».
Pour mieux comprendre comment les entreprises françaises se défendent contre les bots malveillants, DataDome a testé près de 1 200 des plus grands sites Web basés en France dans divers secteurs.
Ses résultats mettent en lumière l'état actuel de la protection contre les bots selon les secteurs d'activité et la taille des entreprises, la performance des différents systèmes de détection et l'efficacité des Captchas traditionnels.
Dans le détail, on découvre que :
- 72 % des sites web français testés ne sont pas protégés contre les attaques de bots, y compris les moins sophistiquées.
- Les CAPTCHAS se révèlent inefficaces : sur 76 % des sites Web étudiés, les outils CAPTCHA n'ont pas réussi à détecter un seul bot.
- Les bots les plus « performants » (du point de vue de l'attaquant) sont les faux bots Chrome.
Le secteur le plus exposé aux attaques de bots simples est celui des coupons et de la billetterie. Plus de 3 sites web sur 4 dans ce secteur ont laissé passer tous nos bots.
Le secteur qui représente le plus grand nombre de sites web dans cet échantillon,
l’e-commerce (47 % de tous les sites web testés), ne s'en sort pas beaucoup mieux. Près de 3 sites sur 4 ont échoué à l’ensemble des tests, et moins de 10 % d'entre eux ont réussi à détecter tous les bots.
Les secteurs présentant le niveau de protection le plus élevé selon cette étude sont les médias et les petites annonces. Parmi les sites de médias testés, 30 % ont réussi à détecter toutes les requêtes des bots. Malgré tout, deux tiers des sites web testés ont laissé passer toutes les requêtes des bots.
CAPCHAS inutiles
Sans surprise, les grandes entreprises sont généralement mieux protégées contre les attaques de bots que les entreprises plus petites. Sur les 1 156 entreprises digitales de cet échantillon, 77 % des entreprises comptant 50 employés ou moins n'étaient pas protégées du tout.Les faux Googlebots présentent le taux de détection le plus élevé : plus de 75 % n'ont pas été détectés ou bloqués, laissant les sites web non protégés exposés à des menaces telles que le spam de contenu, la fraude au clic et le scanning de vulnérabilités.
Les faux bots Chrome utilisent les mêmes en-têtes HTTP que les vrais navigateurs Chrome, et ils effectuent leurs requêtes via des proxys résidentiels. Seuls 15 % des faux bots Chrome ont été détectés, ce qui témoigne d’un niveau de risque élevé pour les attaques DDoS de la couche 7, les fraudes par account takeover et d'autres menaces automatisées ciblant les entreprises digitales en France.
Les bots basés sur Curl sont souvent utilisés pour la récupération de données et le scraping d'informations, telles que les détails des produits, les prix, les commentaires d'utilisateurs et les articles d'actualité.
Les sites web qui ne sont pas en mesure de détecter et de bloquer ces bots sont également vulnérables à la création de faux comptes et aux attaques de déni de stock, dans lesquelles ils ajoutent des produits aux paniers d'achat mais n'achèvent jamais la transaction.
Enfin, les CAPCHA ne représentent pas une arme efficace. Bien qu'ils soient agaçants pour les utilisateurs légitimes, les CAPTCHA traditionnels tels que reCAPTCHA Enterprise et hCaptcha sont encore très utilisés.
Mais les bots les contournent ! Sur les 1 156 sites web inclus dans cette étude, 334 (environ un tiers) disposaient d'un outil CAPTCHA. Parmi ceux-ci, 234 s'appuyaient exclusivement sur ce CAPTCHA, sans aucune autre mesure détectable de protection
anti-bots.
