Le web que nous connaissions a basculé. Pour la première fois depuis dix ans, le trafic automatisé a dépassé le trafic humain : 51 % des requêtes en ligne sont désormais générées par des bots. Derrière ce chiffre en apparence technique se cache une réalité beaucoup plus dérangeante : l’Internet n’est plus conçu pour les humains. Il est scanné, sondé, analysé… par des intelligences artificielles, des scripts malveillants, et des outils automatisés toujours plus sophistiqués. Quelles sont les conséquences pour la sécurité, la performance et la visibilité en ligne ? Il est temps d’ouvrir les yeux.
Une majorité silencieuse : quand les bots prennent le dessus
Depuis plus de dix ans, les humains dominaient le trafic web. Mais en 2024, un basculement historique s’est opéré : le rapport annuel d’Imperva révèle que 51 % du trafic Internet mondial est désormais généré par des bots, reléguant le trafic humain à une minorité pour la première fois. Cette inversion de tendance marque une rupture profonde dans la manière dont le web fonctionne et se structure aujourd’hui.
En 2013, les bots représentaient environ 38 % du trafic, un chiffre relativement stable jusqu’en 2019. Mais la montée en puissance de l’automatisation, combinée aux progrès fulgurants de l’intelligence artificielle, a accéléré le phénomène. En moins de cinq ans, les bots capables d’imiter le comportement humain, de contourner les protections et de cibler des APIs ont explosé, rendant l’activité automatisée plus discrète, plus efficace et surtout plus difficile à filtrer.
| Année | Trafic humain (%) | Trafic bots (%) | Dont bots malveillants (%) | Événement marquant |
|---|---|---|---|---|
| 2013 | 62 % | 38 % | ~20 % | Première mesure de référence Imperva |
| 2016 | 56 % | 44 % | ~25 % | Début du scraping massif sur mobile |
| 2019 | 51 % | 49 % | ~29 % | Montée des bots de credential stuffing |
| 2021 | 52 % | 48 % | ~33 % | Explosion du e-commerce post-COVID |
| 2023 | 53 % | 47 % | 32 % | L’IA commence à s’intégrer aux bots |
| 2024 | 49 % | 51 % | 37 % | Rupture historique |
Identifier les bots malveillants : exemples, classifications et techniques à connaître
Tous les bots ne se valent pas. Du script rudimentaire au robot autonome piloté par intelligence artificielle, les écarts sont immenses en termes de sophistication et de dangerosité :
- Les bots simples sont les plus faciles à créer : une suite de requêtes répétitives qui vise à scanner des pages, tester des identifiants ou envoyer du spam. Ils peuvent facilement être détectés par des outils de sécurité classiques grâce à leur comportement répétitif et prévisible.
- Les bots avancés, eux, simulent le comportement humain. Ils utilisent des navigateurs headless, manipulent JavaScript, contournent les captchas, changent régulièrement d’IP ou de signature et s’adaptent aux réponses du serveur. Leur objectif est de passer inaperçus pour extraire un maximum de données ou exploiter des vulnérabilités.
Bots malveillants pilotés par intelligence artificielle : comment ils opèrent ?
Depuis 2023, une nouvelle génération de bots est apparue : les bots dopés à l’intelligence artificielle. Ils ne se contentent plus d’exécuter des scripts préprogrammés, ils prennent des décisions en temps réel.
Grâce à l’IA, ces bots peuvent :
- résoudre automatiquement des captchas complexes
- analyser la structure d’un site et adapter leur comportement en conséquence
- mimer des mouvements humains (scroll, clics aléatoires, délais variables)
- optimiser leurs attaques (ex. : affiner une attaque par force brute en apprenant des erreurs précédentes)
Ils brouillent la frontière entre trafic humain et automatisé. Ils échappent de plus en plus souvent aux protections classiques, même celles basées sur le comportement.
Voir aussi : Les hackers détournent les IA grands public.
Le coût caché des bots : une surcharge serveur
Chaque requête automatisée sollicite les ressources de votre serveur, au même titre qu’un visiteur légitime. Lorsque ces requêtes sont massives, récurrentes ou malveillantes (scanning, scraping, tests de formulaire), elles entraînent :
- une augmentation de la charge CPU et mémoire
- une consommation excessive de bande passante
- des ralentissements visibles pour les utilisateurs humains
Ces pics de charge non anticipés peuvent générer des coûts d’infrastructure supplémentaires, voire perturber le fonctionnement normal du site. Dans les cas les plus extrêmes, certaines plateformes sont contraintes de renforcer leur hébergement ou de mettre en place des solutions de filtrage avancées pour maintenir la qualité de service.
La cibles préférées des bots : les sites vulnérables
Les bots malveillants ne ciblent pas au hasard. Contrairement à l’idée reçue selon laquelle seuls les grands groupes seraient visés, la majorité des attaques automatisées se concentrent en réalité sur des cibles plus accessibles : les petites entreprises, les sites e-commerce, les plateformes dotées d’APIs non sécurisées. Autrement dit, des structures techniquement exposées et sous-équipées en matière de cybersécurité.
Les pirates ne forcent pas une porte blindée, ils cherchent une fenêtre mal fermée
PME, e-commerce, APIs ouvertes : des proies faciles
Les PME et les commerçants en ligne représentent une cible de choix pour les bots malveillants. Moins protégées que les grandes entreprises, ces structures disposent souvent de ressources limitées pour surveiller en temps réel l’activité anormale sur leur site.
Les sites e-commerce en particulier sont très exposés :
- Fiches produits copiées (scraping de catalogue)
- Prix automatiquement récupérés pour du comparatif concurrentiel sauvage
- Simulations de transactions, de réservations ou d’ajouts au panier
- Tentatives de contournement des systèmes de stock
Les APIs non protégées (ou insuffisamment monitorées) ouvrent quant à elles la voie à des attaques automatisées ciblées invisibles pour l’utilisateur mais dévastatrices pour l’entreprise.
Les failles les plus exploitées par les bots
Les bots cherchent avant tout la simplicité et la répétition. Ils exploitent systématiquement des points d’entrée peu ou mal protégés :
- Formulaires ouverts sans CAPTCHA : idéal pour le spam ou le brute-force
- EndPoints d’API non authentifiés : pour tester des identifiants ou aspirer des données
- Pages de connexion sans limite de tentatives : pour les attaques par credential stuffing
- Structure HTML stable et prévisible : facilitant le scraping à grande échelle
Ces faiblesses techniques sont rarement visibles à l’œil nu, mais elles sont identifiables par un bot configuré pour scanner et détecter des comportements attendus.
Sources et ressources
Cet article vous a-t-il été utile ?
À propos de l'auteur
Adrien Piron
