Secu
Bots : évolution des tactiques et défis
Par Laurent Delattre, publié le 17 juillet 2025
Plus malins, plus discrets, les bots malveillants innovent, exploitent les faiblesses des dispositifs traditionnels, usurpent les comportements humains et déjouent les défenses les plus courantes pour mieux cibler applications, API et secteurs vulnérables. Voici 3 tendances contre lesquels il va falloir savoir se protéger.
De David Warburton, Directeur, F5 Labs
Dans le paysage numérique actuel, où les applications et les API constituent le cœur des entreprises, une menace existe : les bots. Alors que les mesures de sécurité traditionnelles se concentrent sur la prévention des attaques malveillantes, les menaces automatisées passent inaperçues en imitant le comportement humain et en exploitant les failles de la logique applicative de manière inattendue.
Le rapport 2025 sur les bots avancés, récemment publié par F5 Labs, met en lumière l’évolution des tactiques des bots et les défis qu’ils représentent. Voici trois tendances qui m’ont particulièrement marqué cette année, ainsi que des mesures que les entreprises peuvent prendre pour se protéger.
1 – Attaque par “bourrage” d’identifiants
Quand des mots de passe volés exposent des données précieuses
Imaginez un scénario où des cybercriminels utilisent des identifiants volés facilement disponibles pour accéder à des comptes utilisateurs sensibles. C’est la réalité du bourrage d’identifiants (credential stuffing), une attaque largement menée par des bots qui exploite la pratique répandue de la réutilisation des mots de passe. Selon F5 Labs, certaines organisations constatent que plus de 80 % de leur trafic de connexion provient de campagnes de bourrage d’identifiants lancées par des bots. Le rapport souligne que, même avec un taux de réussite faible de 1 à 3 % par campagne d’attaque, le volume massif de connexions automatisées se traduit par un nombre considérable de comptes compromis.
Des incidents tels que la violation de PayPal en 2022, où près de 35 000 comptes utilisateurs ont été consultés pour exposer des informations personnelles monétisables, alimentent d’immenses bases de données de noms d’utilisateur et de mots de passe destinées à un usage malveillant sur d’autres services en ligne. Même un faible taux de réussite peut produire des résultats significatifs, car de nombreuses personnes réutilisent leurs mots de passe. Ces informations peuvent ensuite être utilisées pour des transactions frauduleuses, des vols de données ou être revendues sur le dark web pour des attaques ciblées.
Ces dernières années, plusieurs marques bien connues ont signalé des attaques par bourrage d’identifiants. Le déclin de l’entreprise de tests génétiques 23andMe a été en partie attribué à une campagne de bourrage d’identifiants qui a exposé des informations de santé et d’ascendance des clients. Les données se retrouvaient en vente sur le dark web à un tarif de 1 000 dollars pour 100 profils, jusqu’à 100 000 dollars pour 100 000 profils.
L’entreprise a pointé du doigt le faible taux d’adoption de l’authentification multi-facteurs (MFA) par ses clients comme principale défaillance. Mais en réalité, l’aspect insidieux du bourrage d’identifiants réside dans sa capacité à contourner les mesures de sécurité traditionnelles. Les bots utilisent des identifiants légitimes sans chercher à exploiter de vulnérabilités, et ne déclenchent donc pas d’alertes classiques. L’authentification multi-facteurs peut aider, mais avec la montée des serveurs mandataires de phishing en temps réel (RTPP), elle n’est plus infaillible. Les organisations doivent mettre en œuvre des solutions intelligentes de détection des bots, qui analysent les schémas de connexion, l’empreinte des appareils et les anomalies comportementales pour comprendre réellement ce qu’il se passe.
2 – Le secteur de l’hôtellerie sous siège
La montée du “carding”
Si les secteurs financier et du commerce de détail sont souvent considérés comme des cibles de choix pour les cyberattaques,il est clair que le secteur de l’hôtellerie est fortement ciblé par l’activité malveillante des bots. En particulier, le carding et le business de de fausses cartes cadeaux ciblent les sites web et les API du secteur, certaines organisations connaissant une hausse de 300 % de l’activité malveillante des bots par rapport à l’an passé. Nos recherches indiquent également que la valeur moyenne des cartes cadeaux visées par les bots est en augmentation.
Le carding utilise des bots pour valider des numéros de carte de crédit volés en les testant rapidement sur des pages de paiement et des API. Les attaquants s’en servent pour vérifier des soldes, transférer des points ou utiliser des récompenses illégalement. Ces bots ciblent souvent des vulnérabilités telles que des schémas simples ou des numéros de cartes cadeaux séquentiels.
La vulnérabilité du secteur hôtelier provient du fait que les points de fidélité et les cartes cadeaux constituent une forme de monnaie numérique. Les cybercriminels peuvent facilement convertir ces actifs en espèces ou les utiliser pour acheter des biens et services.
Pour se protéger, les entreprises du secteur hôtelier doivent mettre en œuvre des stratégies robustes de détection et d’atténuation des bots, spécifiquement adaptées à ces menaces. Cela inclut la surveillance des activités liées aux cartes cadeaux, l’analyse des schémas de transaction et la mise en place de solutions capables de différencier les humains des bots. Les CAPTCHAs, autrefois solution privilégiée pour bloquer les bots, sont contournés depuis des années par les opérateurs de bots.
3 – Contourner les gardiens
Les proxies résidentiels et l’inefficacité des CAPTCHAs
Les défenses traditionnelles contre les bots, telles que les CAPTCHAs et le blocage d’adresses IP, échouent face à des tactiques d’évasion de plus en plus sophistiquées. Les opérateurs de bots peuvent aisément externaliser la résolution de CAPTCHAs à des fermes de clics humaines, où des individus sont payés de petites sommes pour résoudre les défis à la demande.
De plus, la montée des réseaux de proxies résidentiels constitue un facteur significatif. Ces réseaux font transiter le trafic des bots par des adresses IP résidentielles via des appareils compromis, masquant ainsi les véritables adresses IP des bots. Les proxies résidentiels sont désormais largement utilisés par les opérateurs de bots et la majorité du trafic des bots semble désormais provenir de ces réseaux.
Le fournisseur de gestion des identités Okta a signalé que la large disponibilité des services de proxy résidentiel a contribué à une augmentation des attaques de bourrage d’identifiants sur ses utilisateurs l’an dernier. L’entreprise a déclaré que des millions de requêtes frauduleuses avaient transité par des proxies résidentiels, donnant l’apparence de provenir d’appareils mobiles et de navigateurs d’utilisateurs lambda, plutôt que de l’espace IP des fournisseurs de serveurs privés virtuels (VPS).
Pour lutter efficacement contre ces techniques avancées d’évasion, les organisations doivent aller au-delà des défenses traditionnelles et adopter des solutions intelligentes de lutte contre les bots. Ces solutions exploitent le machine learning et l’analyse comportementale pour identifier les bots en fonction de leurs caractéristiques uniques. En se concentrant sur les comportements humains simulés, plutôt qu’en se fiant aux adresses IP ou aux CAPTCHAs, les organisations peuvent détecter et bloquer plus efficacement les attaques sophistiquées de bots.
En fin de compte, le niveau de défense contre les bots qu’une organisation met en place dépend de son appétence au risque. Chaque entreprise doit évaluer les coûts et bénéfices potentiels des différentes stratégies d’atténuation et déterminer le niveau de risque qu’elle est prête à accepter.
Éliminer totalement le trafic automatisé peut s’avérer irréaliste — voire indésirable, certaines activités automatisées étant légitimes et bénéfiques. Cependant, ne pas traiter l’activité malveillante des bots peut entraîner d’importantes pertes financières, des atteintes à la réputation et de la frustration chez les clients.
La clé est de trouver le bon équilibre. En comprenant les différents types de bots ciblant les organisations, en évaluant l’impact potentiel de leurs activités et en mettant en œuvre des mesures appropriées de détection et d’atténuation, il est possible de gérer efficacement le risque lié aux bots et protéger les entreprises — ainsi que les clients — contre les menaces avancées des bots.
À LIRE AUSSI :
À LIRE AUSSI :
