Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Jul 06, 2023
Les bad bots arrivent pour les API
En 2022, 47,4 % de tout le trafic Internet provenait de bots, soit une augmentation de 5,1 % par rapport au
En 2022, 47,4 % de tout le trafic Internet provenait de bots, soit une augmentation de 5,1 % par rapport à l'année précédente, selon Imperva. La proportion de trafic humain (52,6 %) a diminué pour atteindre son plus bas niveau en huit ans.
Pour la quatrième année consécutive, le volume de trafic de bots malveillants - des applications logicielles automatisées malveillantes capables d'abus, d'utilisation abusive et d'attaques à grande vitesse - est passé à 30,2 %, soit une augmentation de 2,5 % par rapport à 2021.
Le niveau stupéfiant d'activité de mauvais bots sur Internet en 2022 était le plus élevé depuis la création du rapport Imperva Bad Bot en 2013.
L'activité malveillante des bots représente un risque important pour les entreprises, car elle peut entraîner la compromission de compte, le vol de données, le spam, des coûts d'infrastructure et de support plus élevés, une perte de clients et des services en ligne dégradés.
Collectivement, des milliards (USD) sont perdus chaque année en raison d'attaques automatisées sur les sites Web, l'infrastructure, les API et les applications des organisations.
Au cours de la dernière décennie, le rapport annuel Imperva a fourni aux responsables de la sécurité et des affaires des informations utiles et pratiques sur l'évolution de la technologie des bots et du trafic automatisé. Imperva a documenté ces tendances annuelles dans le but de sensibiliser le public au risque commercial associé à l'activité des bots malveillants.
Jalons dans l'évolution de la technologie des bad bot :
"Les bots ont évolué rapidement depuis 2013, mais avec l'avènement de l'intelligence artificielle générative, la technologie évoluera à un rythme encore plus rapide et plus inquiétant au cours des 10 prochaines années", déclare Karl Triebes, SVP et GM, Application Security, Imperva.
« Les cybercriminels se concentreront davantage sur l'attaque des terminaux API et de la logique métier des applications avec une automatisation sophistiquée. En conséquence, la perturbation des activités et l'impact financier associés aux mauvais bots deviendront encore plus importants dans les années à venir », a poursuivi Triebes.
En 2022, la proportion de bad bots classés comme "avancés" représentait 51,2 % de tout le trafic de bad bots. En comparaison, le niveau de sophistication des mauvais bots en 2021 était de 25,9 %. Il s'agit d'une tendance préoccupante pour les entreprises, car les robots malveillants avancés utilisent les dernières techniques d'évasion et imitent étroitement le comportement humain pour échapper à la détection en parcourant des adresses IP aléatoires, en entrant via des proxys anonymes et en changeant d'identité.
De plus, 15 % de toutes les tentatives de connexion au cours des 12 derniers mois, tous secteurs confondus, ont été classées comme piratage de compte. Les cybercriminels utilisent de mauvais bots pour faciliter le bourrage d'informations d'identification et les attaques par force brute, car l'automatisation peut parcourir rapidement les informations d'identification jusqu'à ce qu'elle réussisse.
Ces attaques peuvent empêcher les clients d'accéder à leur compte, fournir aux fraudeurs des informations sensibles, contribuer à la perte de revenus de l'entreprise et augmenter le risque de non-conformité.
En 2022, 17 % de toutes les attaques contre les API provenaient de mauvais bots abusant de la logique métier. Une attaque de logique métier exploite les failles dans la conception et la mise en œuvre d'une API ou d'une application dans le but de manipuler des fonctionnalités légitimes pour voler des données sensibles ou accéder illégalement à des comptes.
De plus, 35 % des attaques de prise de contrôle de compte en 2022 ciblaient spécifiquement une API. Lorsque les API sont appelées par programme, les attaquants peuvent facilement automatiser le processus de tentative de prise de contrôle d'un compte sans déclencher d'alarme.
Pendant ce temps, la santé et le droit et le gouvernement ont connu une augmentation considérable du volume d'attaques de bots malveillants en 2022. Les jeux (58,7 %) et les télécommunications (47,7 %) ont enregistré la plus forte proportion de trafic de bots malveillants sur leurs sites Web et applications. Pris ensemble, les bots sont un problème croissant pour toutes les industries.
Sur les 13 pays analysés dans le rapport, 7 avaient des niveaux de trafic de mauvais robots qui dépassaient la moyenne mondiale de 30,2 %. L'Allemagne (68,6 %), l'Irlande (45,1 %) et Singapour (43,1 %) se classent parmi les trois premiers, tandis que les États-Unis dépassent également la moyenne à 32,1 %.
Un mauvais bot sur cinq a choisi Mobile Safari comme navigateur de choix en 2022, contre 16,1 % en 2021. Les navigateurs mis à jour offrent des paramètres de confidentialité qui masquent le comportement des mauvais bots, ce qui rend plus difficile pour les organisations de détecter et d'arrêter le trafic automatisé.
"Chaque organisation, quelle que soit sa taille ou son secteur d'activité, devrait être préoccupée par le volume croissant de robots malveillants sur Internet", a poursuivi Triebes.
« D'une année sur l'autre, la proportion de trafic de robots augmente et les perturbations causées par l'automatisation malveillante entraînent des risques commerciaux tangibles - des problèmes de réputation de la marque à la réduction des ventes en ligne et des risques de sécurité pour les applications Web, les applications mobiles et les API. Les entreprises ont besoin d'agir maintenant et d'investir dans la gestion des bots et la prévention en ligne qui peuvent identifier et arrêter l'automatisation sophistiquée qui cible les API et la logique métier des applications », a conclu Triebes.