Grande fragilité des sites web les plus fréquentés face aux bots
Par Bertrand Lemaire | Le | Cybersécurité
Selon une étude réalisée par DataDome qui a testé les sites web français à la plus forte audience, ceux-ci sont fragiles face aux attaques par bots.
Les sites web peuvent faire l’objet de plusieurs types d’attaques. Il existe bien sûr des attaques par déni de service (DDoS) ou par l’exploitation de failles du CMS pour réaliser du defacing ou du vol de données. Il ne faut pas oublier les attaques par bots dont l’objet est d’entrer de manière automatique sur un grand nombre de sites à la manière d’un visiteur légitime, en général à des fins de fraude. Une telle attaque peut aussi perturber l’expérience des utilisateurs légitimes voire aboutir à du vol de données. DataDome a testé 1 156 sites web français parmi les plus fréquentés avec son simulateur de bots. Selon DataDome, les bots représentent jusqu’à 30 % du trafic Internet mondial. Les résultats de l’étude montrent une très grande faiblesse des principaux sites web français.
Ainsi, 72,1 % des sites web français testés ne sont pas protégés contre les attaques de bots, même non sophistiqués, et n’ont détecté aucun des bots testés. Pire : seulement 11,3 % des sites ont réussi à bloquer toutes les requêtes de bots et 16,5 % ont détecté et bloqué certains bots (mais pas tous). Les plus mauvais résultats ont été obtenus sur les sites de billetterie et, juste derrière, d’e-commerce sont les plus exposés aux attaques de bots. Les sites de médias, eux, ont été 30 % à détecter et bloquer toutes les simulations d’attaques. Selon DataDome, la taille de l’entreprise possédant le site n’est pas significative. Plus étonnant peut-être, l’usage de captcha se révèle inefficace. Parmi les 234 sites web équipés uniquement d’un tel outil, moins de 8 % ont détecté et bloqué tous les bots, 76 % n’ayant détecté aucun bot.
Les faux bots Chrome sont les plus performants et les moins détectés (15 % de taux de détection). Selon l’éditeur, cela démontre « un niveau élevé de risque pour les attaques DDoS de la couche 7, la fraude par account takeover et d’autres menaces automatisées ciblant les entreprises en ligne en France. » Les bots les plus basiques, basés sur Curl, n’ont été détectés que dans 16 % des cas et les faux bots Google (Googlebots) dans 25 % des cas.
A propos de l’étude
L’étude « La sécurité anti-bots en France » a été réalisée par DataDome. Elle est basée sur l’usage de DataDome BotTester pour tester 1 156 sites web français en simulant des attaques de bots parmi 1 200 plus grands sites transactionnels français (en termes de trafic), 44 sites ayant été exclus pour cause de données incomplètes. Les sites testés appartenaient aux catégories suivantes : e-commerce, petites annonces, banque et assurance, services, coupons/billetterie et médias. Trois types de requêtes ont été utilisés pour cette étude : Curl, faux GoogleBot et faux Bot Chrome. Par ailleurs, les requêtes ont utilisé des proxys résidentiels pour simuler des attaques depuis la France, les États-Unis et le Canada. « Le BotTester a été soigneusement conçu pour ne causer aucun dommage aux sites web qu’il teste, ou à leurs utilisateurs » précise l’éditeur.