Le trafic bot est un trafic non humain vers un site Web. Bien qu’une partie du trafic bot soit bénéfique, le trafic bot abusif peut causer des perturbations.
Cet article s'articule autour des points suivants :
Contenu associé
Qu’est-ce qu’un bot ?
Qu’est-ce que la gestion des bots ?
Qu’est-ce que l’infiltration de comptes ?
Qu'est-ce que le scraping de contenu ?
Extraction de données
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le trafic bot décrit tout trafic non humain vers un site web ou une application. Le terme trafic de bots a souvent une connotation négative, mais en réalité le trafic de bots n’est pas nécessairement bon ou mauvais ; cela dépend entièrement de l’objectif des bots.
Certains bots sont essentiels pour des services utiles tels que les moteurs de recherche et les assistants numériques (par exemple Siri, Alexa). La plupart des entreprises accueillent ces types de robots sur leurs sites.
D'autres bots peuvent être malveillants, par exemple les bots utilisés pour le credential stuffing, le scraping de données et le lancement d'attaques DDoS. Même les « mauvais » bots les plus bénins, comme des robots d'indexation non autorisés, peuvent constituer une nuisance, parce qu’ils peuvent perturber les analytiques de site et générer une fraude au clic.
D'après une estimation, plus de 40 % de tout le trafic Internet est composé de trafic de bots, et une partie importante de ce trafic est constituée de bots malveillants. Cela explique pourquoi tant d'organisations cherchent des moyens de gérer le trafic de bots qui agissent sur leurs sites.
Les ingénieurs web peuvent examiner directement les requêtes réseau vers leurs sites et identifier le trafic probable de bots. Un outil d'analytique web intégré, tel que Google Analytics ou Heap, peut également aider à détecter le trafic de bots.
Les anomalies suivantes révélés par les analytiques sont caractéristiques du trafic de bots :
Comme mentionné précédemment, le trafic bot non autorisé peut influencer les métriques d'analytique telles que le nombre de consultations, le taux de rebond, la durée de session, la géolocalisation des utilisateurs et les conversions. Ces écarts dans les métriques peuvent créer une importante frustration chez le propriétaire du site . il est extrêmement difficile de mesurer la performance d’un site « inondé » par l'activité de bots. Les tentatives d’amélioration du site, telles que les tests A/B et l’optimisation du taux de conversion, sont également paralysées par le bruit statistique créé par les bots.
Google Analytics offre l’option « d’exclure tous les recherches issues des bots et araignées connus » ( les araignées sont des bots de moteurs de recherche qui parcourent les pages Web). Si la source de trafic bot peut être identifiée, les utilisateurs peuvent également fournir une liste d’adresses IP spécifiques qui seront ignorées par Google Analytics.
Bien que ces mesures empêchent certains bots de perturber les analytiques, elles n'arrêteront pas tous les bots. En outre, la plupart des bots malveillants poursuivent un objectif autre que de perturber les analytiques du trafic, et ces mesures ne font rien pour atténuer l'activité nuisible des bots à part préserver des données d'analytiques.
L’envoi massif de trafic de bots est une méthode fréquemment utilisée par les attaquants pour lancer une attaque DDoS. Lors de certains types d’attaques DDoS, une telle quantité de trafic d'attaque est dirigée vers un site web que le serveur d'origine est surchargé et que le site est ralenti voire totalement indisponible pour les utilisateurs légitimes.
Certains sites web peuvent être financièrement paralysés par le trafic de bots malveillants, même si leurs performances ne sont pas affectées. Les sites qui dépendent de la publicité et les sites qui vendent des marchandises avec un stock limité sont particulièrement vulnérables.
Pour les sites qui diffusent des publicités, les bots qui arrivent sur le site et cliquent sur divers éléments de la page peuvent déclencher de faux clics d’annonce : c’est ce que l’on appelle la fraude au clic. Cela peut provoquer initialement une augmentation des revenus d’annonces, mais les réseaux de publicité en ligne savent parfaitement détecter les clics de bots. S’ils suspectent qu’un site Web commet une fraude au clic, ils prendront des mesures, généralement en bannissant ce site et ses propriétaire de leur réseau. Ainsi, les propriétaires de sites hébergeant des annonces sont très prudents à l’égard de la fraude au clic par les bots.
Les sites ne disposant que de stocks limités peuvent être visés par les bots d'accaparement de stock. Comme leur nom l'indique, ces bots s'attaquent aux sites d'e-commerce et placent des quantités de biens dans leur panier d'achat, afin de rendre ces articles indisponibles aux acheteurs légitimes. Dans certains cas, ces actions peuvent également déclencher un réassort non nécessaire auprès du fournisseur ou du fabricant. Les bots d'accaparement de stock ne finalisent jamais les achats, ils sont simplement conçus pour perturber la disponibilité du stock.
La première étapes pour arrêter ou gérer le trafic bot vers un site Web est d’inclure un fichier robots.txt. Il s’agit d’un fichier qui fournit des instructions pour que les bots qui parcourent la page, et il peut être configuré pour empêcher les bots de consulter ou d’interagir complètement avec la page. Il est cependant à noter que seuls les bons bots obéissent aux règles d’un fichier robots.txt ; il ne peut pas empêcher les bots malveillants de parcourir le site Web.
Un certain nombre d’outils peuvent aider à atténuer le trafic bot abusif. Une solution de limitation du taux peut détecter et empêcher le trafic bot originaire d’une seule adresse IP bien qu’une grande partie du trafic bot malveillant sera négligée. En plus de la limitation du taux, un ingénieur réseau peut examiner le trafic d’un site et identifier les requêtes réseau suspectes, pour fournir une liste d’adresses IP à bloquer par un outil de filtre tel qu’un WAF. Il s’agit d’un processus très fastidieux qui n’arrête qu’une partie du trafic bot malveillant.
En dehors du contrôle du volume de requêtes et de l'intervention directe d'un technicien, le moyen le plus efficace et le plus facile pour arrêter le trafic lié aux bots nuisibles consiste à utiliser une solution de gestion des bots. Ce type de solution peut tirer parti de notre système d'informations et met en œuvre l'analyse comportementale pour arrêter les bots malveillants avant qu'ils n'atteignent votre site web. La solution Cloudflare Bot Management, par exemple, s'appuie sur les informations issues des millions de propriétés Internet que nous protégeons et utilise à l'apprentissage automatique (Machine Learning) pour identifier et empêcher l'utilisation abusive des bots, le tout de manière proactive. Disponible dans les offres Pro et Business, le mode Super Bot Fight (Superlutte contre les bots) permet aux petites entreprises de bénéficier d'un degré de visibilité et de contrôle similaire sur leur trafic lié aux bots.