DataDome, une startup française a mis à l’épreuve 5000 sites web dans tous les secteurs du e-commerce avec son outil de test basé sur une IA, le Bot Tester. Son principe ? Envoyer différents types de requêtes de robots en petits paquets. Si l'une des requêtes n'est pas bloquée, le site web est vulnérable aux attaques de bots du même type. Trois types d’outils sont utilisés, une commande Linux Curl (envoi de requêtes http à la cible), un faux Google bot et un simulacre d’un bot Chrome qui imite son User Agent. Les résultats ne devraient pas rassurer les webmasters des sites déclarés vulnérables. Seuls 8,5 % des cibles ont pu détecter toutes les requêtes de bots et 18,8 % ont détecté certains des bots mais pas tous. Plus inquiétant, près de 3 cibles web sur 4 ont laissé passer les neuf différents types de bots, une combinaison de vecteurs d'attaques avec des origines géographiques diverses via des proxies aux États-Unis, Canada et France.
Même s’ils sont dotés d’outils de défense contre les bots, les sites web ne savent pas détecter plus de la moitié des robots, pourtant basiques. Un médiocre bilan par conséquent.
Tous les secteurs du e-commerce sont touchés mais les jeux d’argent sont les mieux protégés
Le graphique ci-dessus détaille le niveau de protection par secteurs.
Les deux secteurs qui représentent le plus grand nombre de sites web de l’échantillon, le commerce électronique (69 % de tous les sites web inclus) et les petites annonces (20 %), sont aussi les secteurs les plus exposés aux attaques simples de robots. D’autre part
74,6 % des sites de commerce électronique et 72,7 % des sites de petites annonces ont échoué aux tests. De plus 72,7 % des sites de petites annonces ont échoué à tous les tests. Le secteur le mieux préparé aux attaques de bots, celui des jeux d’argent, est le plus protégé. Un résultat tout relatif cependant car avec 29,4 % des sites de jeux d'argent qui ont réussi à détecter tous les bots de test, il reste que 44,1 % d’entre eux n’ayant détecté que quelques bots.
Les sites de e-commerce allemands sont les moins protégés
Selon les résultats de Bot Tester, les niveaux de préparation aux attaques de robots sont assez similaires dans les pays européens. Cependant, en Allemagne 79,1 % des sites web ont laissé passer les requêtes des robots. En France, 11,3 % des sites testés ont bloqué toutes les requêtes. En Allemagne et au Royaume-Uni, moins de 8 % des sites web seraient bien protégés. Peu d’entités web disposent d’un système de défense éprouvé. Ainsi, seuls 22,6 % des sites français testés et 24,5 % des sites britanniques ont mis en place un système de détection des bots.Les cyberattaques sur des sites de e-commerce par les robots malveillants peuvent être redoutables avec des impacts de plusieurs ordres, l'extraction de données, l'usurpation de comptes, les attaques par déni de services (Ddos), la fraude aux paiements, etc. Mieux vaut donc se pencher sur ce problème qui visent les sites web à forte valeur ajoutée pour les pirates.
