Qu’est-ce qu’un bot ?

Les bots sont omniprésents !

Les bots sont le moteur invisible qui fait tourner une grande partie de l’Internet moderne, et leur impact, qu’il soit bon ou mauvais, se fait ressentir dans le monde entier. Que l’on parle des bots d’indexation sur lesquels reposent les principaux moteurs de recherche comme Google ou des bots de bourrage d’identifiants qui essaient d’accéder à vos comptes pour mettre la main sur vos informations personnelles, ces robots seraient responsables d’au moins 40 % de l’ensemble du trafic Web mondial. Dans cet article, nous vous invitons à découvrir le monde des bots : ce qu’ils sont, leur mode de fonctionnement, ainsi que leur situation actuelle et future.

Un bot (abréviation de « robot ») est un logiciel conçu pour exécuter des tâches automatisées sur Internet. Ils peuvent être programmés pour explorer automatiquement des sites web et y collecter des données, pour dialoguer avec des utilisateurs dans des chats Web, pour remplir des formulaires ou encore pour exécuter des tâches répétitives. Les bots se chargent généralement de tâches qui peuvent être accomplies par des personnes, mais avec une efficacité, une précision et une portée largement supérieures, ce qui explique leur omniprésence. 

Qui utilise des bots ?

Si les bots étaient autrefois réservés aux seules personnes ayant les compétences nécessaires pour les développer, ils sont désormais vendus par de nombreuses entreprises et achetés sur des marketplaces, ou encore sur le dark web, par des personnes et organisations qui les utilisent de multiples manières. Toute personne ayant suffisamment d’argent ou de connaissances techniques peut utiliser un bot pour réaliser diverses activités, qu’elles soient légales ou illégales. Les bots peuvent être :

• Des bots d’indexation (web crawlers) qui explorent, analysent et indexent des pages Web. 

• Des bots de scraping de compte qui utilisent de manière automatisée des identifiants de connexion dérobés afin d’obtenir un accès non autorisé à des comptes utilisateurs sur de nombreuses plateformes.

• Des bots de fraude au clic qui simulent des clics sur des publicités en ligne pour gonfler artificiellement les revenus publicitaires ou saboter les campagnes publicitaires de marques et entreprises concurrentes.

Il existe des douzaines de types de bots que vous pouvez découvrir ici.

Bots légaux et bots malveillants

Avant de nous pencher sur les bots, il faut savoir que ces robots sont souvent répartis en deux catégories : les bots légitimes et les bots malveillants. Bien qu’ils aient tous deux les mêmes capacités, les bots légitimes sont utilisés à des fins légales et/ou éthiques, et vous les utilisez probablement au quotidien ! Google et la majorité des moteurs de recherche utilisent des robots d’indexation (crawler bots) pour trouver et renvoyer les meilleurs résultats pour chaque recherche, tandis que les assistants personnels intelligents comme Alexa er Siri sont des exemples de chatbots qui effectuent des tâches et autres services pour nous. De nombreuses personnes utilisent également des bots traducteurs pour lire du contenu dans d’autres langues, des bots de trading pour effectuer des opérations d’achat et bien d’autres encore qui simplifient notre mode de vie moderne.

De l’autre côté du miroir, les bots malveillants sont ceux utilisés à des fins illégales, qu’ils soient impliqués dans des cyberattaques ou des activités frauduleuses, ou encore ceux qui ne respectent pas les conditions de service d’une application et les règles de comportement des fichiers robot.txt. Bien que ces derniers ne soient pas illégaux en soi, ce genre d’actions contraires à l’éthique enfreint les instructions des éditeurs de sites Web et ces bots sont donc définis comme malveillants eux aussi. Les bots malveillants représentent une part colossale du trafic Web mondial. Pour mieux comprendre leur ampleur, sachez que les bots malveillants ont lancé plus de 1,3 milliard d’attaques rien qu’au cours du troisième trimestre 2020 ! Pour ceux qui seraient en train de calculer, cela représente 15 millions d’attaques par jour !

Comment les bots malveillants sont-ils utilisés ?

Les attaques de bots sont menées par des hackers qui souhaitent nuire à des entreprises ou individus afin d’en retirer un gain personnel. Bien qu’il existe différents types de bots malveillants, une grande partie d’entre eux sont utilisés pour dérober des informations confidentielles ou perturber des entreprises.

Ces bots malveillants peuvent servir à voler des information personnelle identifiable (Personally Identifiable Information, IPP) telles que des noms, numéros de sécurité sociale, numéros de carte de crédit, noms d’utilisateur, mots de passe, etc. Quel que soit le type d’information confidentielle auquel vous accédez sur votre ordinateur, il y a de fortes chances que des hackers s’y intéressent. Une fois en leur possession, ces informations peuvent être utilisées pour réaliser des achats, accéder à des comptes privés ou même être vendues sur le dark web. Essayez par exemple de rentrer l’un de vos mots de passe sur haveIbeenpwned.com. Ce site bien connu scanne le dark web à la recherche de listes de mots de passe vendues illégalement et vous informe en cas de résultat positif.

Les bots malveillants peuvent aussi être utilisés pour nuire à des entreprises. Ces attaques sont généralement menées par des hackers qui souhaitent gagner une certaine notoriété ou ébranler les activités d’une entreprise, entraînant des pertes financières ou une perte de crédibilité. 

Les hacktivistes ont également l’habitude de s’en prendre à des organismes publics ou à des entreprises à des fins militantes. Tout récemment, suite à la guerre russo-ukrainienne, des hacktivistes biélorusses opposés au régime russe ont utilisé des bots pour infecter le réseau ferroviaire biélorusse afin de perturber le mouvement des troupes russes dans le pays. Certains groupes de hackers tels que Anonymous font également souvent parler d’eux.

Il faut savoir que les motifs des attaques sont quasiment infinis. Il ne s’agit là que de quelques exemples de la manière dont elles sont utilisées par les hackers pour parvenir à leurs fins. Consultez notre article sur les types de bots malveillants pour découvrir les bots les plus répandus à l’heure actuelle.

Mode opératoire des attaques de bots

Tandis que vous lisez cet article à partir du front end du site Web de Fastly, les bots malveillants, eux, tentent d’accéder aux applications sous un autre angle. Ils sont lancés à partir d’interfaces de ligne de commande (Command-line interfaces, CLI) ou d’interfaces utilisateur graphiques (Graphical user interfaces, GUI) qui créent des couches faciles à utiliser, appelées overlays, et grâce auxquelles même un hacker débutant peut lancer une attaque.

Les bots comportent du code avec des instructions qui leur permettent de remplir leurs tâches dans la CLI sans accéder à Internet d’une manière conventionnelle comme nous avons l’habitude de le faire. Si le bot parvenait à extraire des informations, les résultats seraient affichés dans cette fenêtre. 

Le lancement d’une attaque à partir d’une plateforme GUI est aussi simple que d’utiliser tout autre logiciel. L’interface vous indique quoi saisir et vous pouvez lancer une attaque contre l’application de votre choix d’un simple clic. La photo d’exemple ci-dessous montre un service de DDoS à louer qui utilise un botnet regroupant des dizaines de milliers de bots pour lancer des attaques d’au moins 500 Gbit/s sur une application. Pour donner une idée de son ampleur, une attaque DDoS dont le volume est considéré comme élevé est généralement mesurée à 50 Gbit/s ou plus, ce qui signifie que ce service propose un volume dix fois plus important à la portée de toute personne qui en a les moyens !

Le futur des bots

L’évolution continue de l’IA et du machine learning va renforcer le développement des bots pour tout type d’utilisations. Les bots qui tirent parti des dernières avancées dans ces domaines ressembleront et agiront de plus en plus comme des humains dans la manière dont ils dialoguent avec nous et/ou automatisent des tâches. Par exemple, les chatbots qui utilisent les dernières percées en matière de traitement automatique des langues (Naturale language processing, NLP) et les grands modèles de langage (Large language models, LLM) qui y sont associés ressembleront encore plus à des personnes réelles lorsqu’ils répondent à des messages. Il est possible que des scénarios de science-fiction comme celui du film Her deviennent un jour une réalité, et que les chatbots optimisés par IA semblent si réels que des êtres humains puissent tomber amoureux de ces robots (nous ne jugeons personne).

Les avancées dans le domaine de l’IA et du machine learning représentent également une préoccupation majeure pour les professionnels en sécurité des applications, car les bots malveillants sont voués à devenir de plus en plus difficiles à détecter. De nombreuses approches ayant fait leurs preuves pour détecter et bloquer ces bots deviendront obsolètes et inefficaces contre les bots à la pointe de la technologie, forçant les spécialistes de la sécurité à revoir rapidement leur approche pour vous protéger. Bien qu’il s’agisse là d’un tableau dystopique de la situation, la réalité n’est pas aussi désespérée. Dans le jeu du chat et de la souris auquel se prêtent hackers et spécialistes de la sécurité, les avancées technologiques représentent de nouveaux cyber-champs de bataille que les deux camps essaient de contrôler temporairement. Même si les hackers parviennent à lancer des attaques fructueuses, l’histoire a montré qu’il n’existe aucune menace que les professionnels ne sont pas parvenus à neutraliser tôt ou tard.

Approche automatisée de la gestion des bots

Les bots malveillants peuvent avoir des répercussions négatives sur vos finances et vos expériences clients. Le WAF de nouvelle génération Fastly agit rapidement pour identifier et atténuer les activités menées par les bots malveillants, en protégeant vos applications et API contre plusieurs types d’attaques de bots. Il s’agit d’une solution éprouvée au service des entreprises de toute taille dans le monde entier. Découvrir ses capacités.