Le 10ème rapport annuel de l’éditeur Imperva constate la montée en puissance des « bad bots ». De plus en plus sophistiqués, ces programmes malveillants ciblent aujourd’hui en particulier les APIs.

Éditeur spécialisé en cybersécurité, Imperva vient de publier son rapport 2023 Imperva Bad Bot Report, centré sur l’analyse mondiale du trafic automatisé des bots sur Internet. Selon celui-ci, en 2022, près de la moitié de l’ensemble du trafic Internet provenait de bots (des logiciels qui automatisent des tâches et font communiquer deux applications ou sites Web), soit une augmentation de 5,1 % par rapport à l’année précédente.

La part du trafic d’origine humaine tombe à son niveau le plus bas depuis huit ans : 52,6% !

Dans ces volumes, le trafic des « Bad Bots » (applications logicielles automatisées malveillantes) représente 30,2 % du trafic mondial, soit une augmentation de 2,5 % par rapport à 2021. Sans surprise, le niveau global de l’activité des Bad Bots est le plus élevé depuis la création du rapport en 2013.

Ainsi, Imperva annonce avoir détecté durant l’année 2022, 6 000 milliards de requêtes provenant de Bad Bots.

Autre constat, ces programmes deviennent de plus en plus sophistiqués et difficiles à détecter. Exemple, ils imitent de mieux en mieux le comportement humain pour échapper à la détection et passent par des adresses IP aléatoires. Le rapport explique ainsi que les Bad Bots « trompent la logique commerciale en exploitant le mode de fonctionnement d’une entreprise, plutôt que d’exploiter des vulnérabilités techniques. Ils permettent des abus, des détournements et des attaques à grande vitesse sur les sites web, les applications mobiles et les API, et des attaques sur les sites web, les applications mobiles et les API. Ils permettent aux opérateurs de robots, aux attaquants, aux concurrents peu recommandables et aux fraudeurs d’effectuer un large éventail d’activités malveillantes. Parmi ces activités, citons le web scraping, l’exploration de données concurrentielles, la collecte de données données personnelles et financières, l’ouverture de session par force brute, le scalpage, la fraude publicitaire numérique, le déni de service, le spam, la fraude transactionnelle, etc. Par ailleurs, les Bad Bots peuvent consommer de la bande passante, ralentir les serveurs et voler des données sensibles, entraînant des pertes financières et portant atteinte à la réputation d’une entreprise« .

Autres évolutions inquiétantes, les Bad Bots ciblent désormais de plus en plus souvent les API. Imperva anticipent même que les API deviendront la principale cible d’attaques des Bad Bots en 2023. Sur l’ensemble des attaques qui ont ciblé les API au cours de l’année écoulée, 17 % étaient des robots malveillants qui abusaient de la logique commerciale et 21 % étaient d’autres types de menaces automatisées. Pour rappel, une attaque de logique commerciale est une attaque qui cible les failles dans la conception et la mise en œuvre d’une application. Ces failles peuvent être exploitées par les attaquants pour manipuler des fonctionnalités légitimes à des fins malveillantes. Le rapport d’Imperva donne quelques exemples. Typiquement un compagnie aérienne a vu une facture IT s’allonger de 500 000 dollars après que des Bots aient massivement exploiter son API de recherche d’informations de vols. Autre exemple, une banque en ligne a été surchargée par plus de 2 millions de demandes d’authentification sur son API de Login entraînant des blocages de comptes et des fraudes. Et ce cas est loin d’être isolé. Imperva a ainsi constaté une hausse de 155% des attaques visant à prendre le contrôle de comptes, 35% de ces attaques étant réalisées contre les API de login.

Selon Imperva, 15 % de toutes les tentatives de connexion au cours des 12 derniers mois ont été classées comme des tentatives de prises de contrôle de compte par des cyberattaquants. « Avec l’avènement de l’IA générative, la technologie évoluera à un rythme encore plus rapide au cours des 10 prochaines années. Les cybercriminels se concentreront davantage sur l’attaque des points d’extrémité des API », explique d’ailleurs Karl Triebes, vice-président senior et directeur général de la sécurité des applications chez Imperva.

Le rapport d’Imperva dresse un historique de ces « bad bot » :

  • Le EarthLink Spammer, l’un des premiers botnets au monde, a été découvert en 2000. Créé par un seul individu, il a envoyé plus d’un million de courriels dans un objectif de phishing.
  • En 2015, la sophistication de ces programmes a permis à un seul bot de faire défiler de nombreuses adresses IP et d’effectuer une seule requête.
  • En 2016, les bad bots se sont adaptés aux appareils mobiles. Le volume de bots se faisant passer pour des navigateurs mobiles a augmenté de 42,78 %.
  • En 2020 et 2021, entre autres grâce au scraping, les bots ont été à la base d’arnaques en ligne liées à la pandémie.