Comment détecter et prévenir les bots sur votre site web
Comment détecter et prévenir les bots sur votre site web
Les bots sont utilisés comme une manière pour les humains d’automatiser les tâches qui sont souvent répétitives et chronophages. Bien que les bots puissent être utilisés sans créer de dommages, ils peuvent également affecter les analyses et la sécurité d’une entreprise. Les entreprises doivent donc être prudentes et prêtes à réduire tous les risques provenant des bots. Voilà comment.
La première étape pour détecter les bots et se protéger contre eux est de comprendre leur fonctionnement.
Les bots sont intelligents et peuvent être utilisés pour automatiser les tâches et améliorer les interactions d’un utilisateur avec votre site. Par exemple, certaines entreprises utilisent les bots pour des questions/réponses automatisées ou pour assurer une surveillance active. Malheureusement, cette même technologie peut aussi être utilisée pour nuire. Il est donc nécessaire que les entreprises puissent faire la différence entre les bons et les mauvais bots, ce qui peut être compliqué.
Comme indiqué, tout le trafic des bots n’est pas dangereux ni illégitime. Les bots peuvent aider à réaliser de nombreuses tâches qui permettent aux entreprises d’être plus efficaces et plus productives. Parmi les fonctionnalités bénéfiques des bots figurent :
Les crawlers sur les moteurs de recherche/les réseaux sociaux.
Automatisation de tâches qui, autrement, prendraient beaucoup de temps, par exemple les extensions des navigateurs qui insèrent automatiquement des codes coupon lorsqu’un utilisateur consulte un site.
Les intégrations propriétaires avec des partenaires (par ex. des agrégateurs et des agences de voyage en ligne, comme lorsque les bots obtiennent des prix, pour faire des recherches rapides).
Ainsi, alors que vous voulez détecter et prévenir les mauvais bots, vous voulez être sûr de ne pas cibler en même temps les bons bots.
En général, les attaques les plus basiques menées par les mauvais bots entraînent du trafic sur un site web ne provenant pas d’utilisateurs réels. Cela peut avoir un impact négatif non seulement sur vos analyses mais aussi sur votre sécurité en général et la fiabilité de votre site pour les clients. Quelques exemples de trafic négatif de bots incluent de :
Remplir votre entreprise de spams en complétant des formulaires de contact avec de fausses informations.
Donner l’impression que votre site web a plus d’utilisateurs qu’il en n’a réellement.
Vous faire croire que vous avez des prospects alors que ce n’est pas le cas.
Être en contact avec des concurrents sur les réseaux sociaux.
Poster automatiquement des commentaires négatifs.
Les pires bots, toutefois, peuvent entièrement automatiser les attaques sur votre réseau s’ils ne sont pas détectés assez tôt. Ces attaques peuvent inclure les suivantes :
Pénétrer dans les comptes des utilisateurs pour faire des fausses transactions et/ou voler des données.
Surcharger les serveurs pour fermer totalement un réseau, ce qui peut affecter la réputation et la situation financière d’une entreprise.
Les bots sont de plus en plus sophistiqués au fur et à mesure que l’intelligence artificielle se développe. Par exemple, des bots ont créé du contenu pour pousser des agendas politiques très réels sur les réseaux sociaux et les espaces numériques, en ayant des impacts dans le monde réel.
La bonne nouvelle, c’est que l’intelligence qui suit le rythme des mauvais bots est aussi de plus en plus sophistiquée. Alors qu’il est de plus en plus facile de détecter et de prévenir les bots, les risques qu’ils posent ne sont pas aussi importants que d’autres inquiétudes liées à la sécurité.
Comme indiqué, les bots peuvent être détectés en reconnaissant manuellement des caractéristiques telles que les suivantes :
Un nombre de pages consultés inhabituellement élevé.
Un trafic de référence inconnu.
Du trafic provenant de lieux et/ou d’appareils qui, en temps normal, n’interagissent pas avec votre site.
Une ponctuation et une grammaire maladroites.
Mais alors que les entreprises s’agrandissent, la détection manuelle devient impossible. Les entreprises ont donc besoin de manières plus efficaces d’avoir une solution de détection des bots à jour.
Une solution de détection des bots devrait pouvoir gérer tout le spectre d’activité des bots, et impliquer plusieurs techniques de détection, notamment :
Anomalies des attributs de l’appareil et du réseau (par exemple, utilisateur-agent, références).
Vitesses d’utilisation (par ex. volumes de trafic anormaux depuis des adresses IP spécifiques).
Anomalies comportementales (par ex. des interactions clavier/souris non humaines).
Donc, votre solution de détection des bots vous a aidé à détecter des bots. L’étape suivante est de les empêcher de causer des dommages.
Pour commencer, quand on passe de la « détection » à la « prévention », une exigence supplémentaire très importante est ajoutée : la détection en temps réel. En bref, les entreprises doivent pouvoir détecter le trafic des bots dès que possible et les empêcher de créer les dommages qu’ils visent.
Avant cela, il est important de reconnaître que la prévention signifie aussi que votre entreprise devra tenir compte de l’expérience utilisateur. La précision de la détection doit être assez sophistiquée pour ne pas ajouter de frictions à l’expérience utilisateur attendue par les utilisateurs légitimes. Seuls les mauvais bots doivent être interceptés. Si les utilisateurs légitimes sont confondus avec les bots, vous aurez encore plus de problèmes à gérer.
La bonne nouvelle, c’est qu’il existe plusieurs techniques de haut niveau pour prévenir les bots :
Bloquer le trafic qui vient assurément de bots est une méthode très efficace. Toutefois, elle ne devrait être utilisée que lorsqu’il existe un niveau élevé de certitude qu’il s’agit bien d’un bot. N’oubliez pas, si vous partez du présupposé que tout le monde est un bot, vous risquez d’empêcher les utilisateurs légitimes d’accéder au réseau.
En général, les solutions spécifiques orientées vers la gestion des bots incluent la capacité à bloquer réellement le trafic des bots. Toutefois ces solutions pourraient ne pas être très efficaces pour lutter contre d’autres types de fraudes et affecter les ressources. Au lieu de cela, il faut chercher des solutions pouvant être intégrées pour maximiser votre potentiel général pour bloquer les fraudes. Par exemple, PingOne Fraud propose la détection des bots et peut être intégré à PingOne Authorize pour réaliser ce cas d’usage pour bloquer les bots.
Une deuxième méthode permettant de prévenir les bots est d’ajouter une difficulté sous la forme d’un CAPTCHA, qui est l’une des méthodes les plus courantes. La plupart des utilisateurs ont déjà été confrontés à un CAPTCHA. Les CAPTCHA, s’ils sont bien réalisés, permettent de créer un niveau de friction adapté pour les utilisateurs en leur demandant de résoudre facilement une question qui serait très difficile pour un bot. Il s’agit par exemple de grilles incluant plusieurs images que vous devez identifier.
Certes, il est vrai que les bots sophistiqués peuvent contourner assez facilement un CAPTCHA en stimulant/reproduisant des interactions humaines avec la souris. Et il existe des ressources en accès libre et des tutoriels pour le faire.
Cela étant dit, utiliser un CAPTCHA est une solution très accessible qui fonctionne avec certaines détections de bots. Et bien qu’il ne s’agisse pas de la méthode préférée des utilisateurs, une fois encore, nous sommes nombreux à y être habitués.
Enfin, une troisième méthode de prévention des bots est d’incorporer une solution de MFA pour votre organisation et vos clients. La MFA peut être utilisée pour les cas où vous suspectez qu’un bot essaye de se connecter à des comptes, en particulier les bots qui ont recours au credential stuffing pour voler les informations des comptes et les utiliser pour y accéder. Le MFA ne permet pas seulement de réduire considérablement cela. Il présente aussi l’avantage de ne pas ajouter de frictions aux utilisateurs légitimes. Le MFA vous aide à vous assurer que vos utilisateurs sont bien ceux qu’ils prétendent être tout en maintenant les bots à l’écart.
Bien que les méthodes décrites ci-dessus fonctionnent bien pour prévenir les bots, il existe une autre méthode pour aider les équipes : se mettre à la place de l’attaquant.
Les bots sont sophistiqués, mais pas plus que les personnes qui sont derrière eux. Alors, pourquoi un attaquant voudrait-il utiliser un bot pour traverser votre réseau ? Commencez par réfléchir aux motivations de l’attaquant.
Ensuite, pensez aux technologies qu’ils utiliseraient pour réaliser une attaque par bot, lesquels correspondent souvent à leurs motivations (mais pas toujours).
En général, le trafic de bots consiste à tenter d’usurper des comptes avec des attaques par force brute pour deviner un mot de passe. Les bots peuvent aussi créer des tas de nouveaux comptes pour réaliser une fraude aux nouveaux comptes à grande échelle. En général, si l’on examine les caractéristiques d’une session, les professionnels de l’identité peuvent savoir si un utilisateur est humain ou non. Pour ce faire, ils peuvent regarder les technologies spécifiques que les attaquants utilisent puis les implications de ces technologies.
Plusieurs technologies peuvent être utilisées pour mettre en place des bots, qu’il s’agisse de technologies très basiques qui reproduisent simplement le trafic HTTP d’un client légitime (navigateur web/appli mobile) ou de technologies plus sophistiquées qui contrôlent réellement un client légitime.
Une bonne règle de base est que les bots/technologies plus simples sont plus faciles et moins coûteux à faire évoluer, car ils ont besoin de moins de ressources. Cela signifie qu’ils pourraient être plus faciles à détecter et à prévenir. De même, plus les bots sont avancés, plus l’attaque sera ciblée et plus il sera difficile de les détecter et de les prévenir.
Donc, quelle technologie utiliseraient vos attaquants, et pourquoi ?
Il est important de détecter et de prévenir les bots pour protéger votre réseau, mais ce faisant, il faut que vos clients restent satisfaits de leur expérience numérique. Conserver les utilisateurs tout en tenant les bots à l’écart est un équilibre qu’il peut être difficile à trouver, mais une bonne solution de détection des bots peut aller très loin.
Si votre organisation a besoin d’aide pour détecter les bots, découvrez PingOneFraud.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
