Les fournisseurs d'IA générative réécrivent les règles du trafic automatisé – Rapport F5

• Un nouveau rapport de F5 Labs révèle que plus de la moitié des demandes de pages de contenu Web sont désormais automatisées à mesure que l'utilisation des scrapers LLM s'intensifie.
• Plus d’un tiers des tentatives de connexion dans le secteur technologique sont des attaques de prise de contrôle de compte.
• Les secteurs de la santé et de l’hôtellerie sont les plus ciblés sur le Web ; le divertissement est le plus ciblé sur mobile.

SEATTLE – L’essor de l’IA générative signifie que les robots accèdent désormais à certains types de contenu Web plus que les humains, selon une nouvelle étude de F5.

Laboratoires F52025 Rapport avancé sur les robots persistants analyse 207 milliards de transactions Web et API de novembre 2023 à septembre 2024. Il examine les enregistrements des clients disposant de défenses anti-bots existantes, démontrant comment les opérateurs de trafic automatisé se comportent lorsqu'ils sont confrontés à des contre-mesures.

Le rapport révèle que 50,04 % des demandes de pages de contenu¹ provenaient de sources automatisées, contre 22,3 % des demandes de recherche sur le Web et 21,5 % des transactions d'ajout au panier. Cela suggère une croissance significative du type de scrapers Web utilisés par les fournisseurs de LLM tels qu'OpenAI, Anthropic et Perplexity, et la persistance de ces robots à continuer d'envoyer des requêtes lorsqu'ils sont bloqués. 

Au total, 21,22 milliards de transactions surveillées (10,2 %) provenaient de diverses sources automatisées, certaines d'entre elles bénignes, mais 10 milliards (4,8 %) étaient constituées de trafic de robots malveillants.

« Pendant des années, le trafic des robots a principalement ciblé les flux de recherche, ainsi que les aspects du parcours utilisateur où quelqu'un s'inscrit ou se connecte pour utiliser un service, ajoute un article à son panier, effectue un paiement ou cherche à modifier son mot de passe », a déclaré David Warburton, directeur de F5 Labs . « L'essor considérable du scraping de contenu, sans aucun doute associé à l'explosion de l'IA générative et des LLM, souligne le dynamisme du trafic des robots et la nécessité pour les organisations d'être constamment à l'affût des changements dans les modèles d'attaque. »

Les robots s'assouplissent, mais pas pour tout le monde

Les modèles et la prévalence du trafic de robots varient selon le secteur. Les secteurs les plus ciblés sur le Web étaient l’hôtellerie (44,6 % du trafic provenant de robots), la santé (32,6 %) et le commerce électronique (22,7 %). 

Sur mobile, le divertissement (23%) était de loin le secteur le plus ciblé, loin devant le eCommerce (4,5%) et le QSR (4,2%). 

Plusieurs secteurs d’activité connaissent encore des niveaux élevés d’attaques de credential stuffing qui cherchent à prendre le contrôle des comptes utilisateurs. Sur le Web, plus d'un tiers des tentatives de connexion des entreprises du secteur technologique ont été des tentatives de prise de contrôle de compte (33,5 %), devant le commerce de détail général (25,7 %) et les jeux (19,6 %). Sur mobile, ces attaques étaient plus fréquentes contre les sociétés de divertissement (24,7 %) et les fournisseurs de commerce électronique (23,8 %).

La sophistication des attaques varie également selon le secteur. La grande majorité du trafic automatisé ciblant les soins de santé, tant sur le Web que sur mobile, a été classé comme « basique ». D’autres secteurs ont connu des niveaux relativement élevés de trafic plus sophistiqué considéré comme « avancé » : les trois premiers sur le Web étant le commerce de détail général, les banques et les compagnies aériennes. 

Malgré des niveaux élevés de trafic de robots, la majorité des industries suivies ont connu une baisse de l'activité automatisée par rapport à 2023, ce qui suggère que les contrôles de robots en place avaient l'effet souhaité.

Les valeurs aberrantes sont l'hôtellerie sur le Web, qui a augmenté de 18,3 % et la restauration rapide sur le Web, en hausse de 11,2 %. Bien qu'il ait connu une part de trafic de robots beaucoup plus importante sur mobile que toute autre industrie, le secteur du divertissement a tout de même enregistré une baisse de 11,5 % par rapport à 2023.

« Certaines industries sont des cibles permanentes pour le trafic indésirable de robots », a ajouté Warburton. « L'hôtellerie connaît des volumes élevés parce que les agrégateurs veulent récupérer les données sur les tarifs et la disponibilité des chambres d'hôtel, ou parce que des acteurs malveillants tentent de voler des points de fidélité. De même, les fournisseurs de commerce électronique sont ciblés par des revendeurs et des robots formés pour exploiter les détails des bons et des cartes-cadeaux.

D’après les données, il est clair que certains secteurs se sont adaptés au fil du temps : des secteurs largement ciblés tels que les compagnies aériennes et les services financiers ont mis en place des défenses pour contrecarrer les attaquants moins sophistiqués, ce qui signifie qu’ils doivent désormais faire face à une proportion plus élevée de trafic provenant d’opérateurs plus avancés et très persistants. 

L’atténuation : une arme à double tranchant ?

Le rapport a également évalué l’impact de la dissuasion sur le trafic des robots, en comparant les expériences des clients qui surveillaient le trafic automatisé avec celles des clients qui l’atténuaient.

Sur mobile, la tendance était claire et attendue. Les organisations qui atténuent le trafic ont constaté une part significativement plus faible d'activité automatisée dans leur trafic de recherche (0,9 % contre 24,8 % pour celles qui surveillent simplement), une tendance observée dans la connexion (5 % pour les atténuateurs contre 21,7 % pour celles qui surveillent) et l'inscription (2,4 % contre 21,7 %).

Sur le Web, c’était une autre histoire. Dans la plupart des flux de travail, le trafic automatisé était plus élevé pour les organisations qui atténuaient activement les robots. Ces clients ont vu 20,9 % de trafic automatisé dans la recherche contre 14,9 % pour ceux qui se contentaient de surveiller, et l'équation était la même dans l'ajout au panier (19,2 % contre 14,9 %). 18,2 %), en caisse (8,6 % contre 7,4 %) et recouvrement de compte (6,6 % contre 4,6%). 

« En règle générale, nous nous attendons à ce que l’atténuation entraîne une baisse du trafic de robots, car les opérateurs bloqués se déplacent à la recherche de cibles plus faibles », a déclaré Warburton. « Il existe cependant aujourd’hui des modèles économiques entiers construits autour du scraping de données, des prix et de la propriété intellectuelle: ces opérateurs ne vont pas abandonner facilement lorsqu’ils seront dissuadés. Une augmentation du trafic peut signifier que ces acteurs font plus d’efforts et de plus de manières, mais pas nécessairement qu’ils réussissent. La tendance constante de cette recherche, et de toute notre expérience au F5, est que l’atténuation fonctionne et que la dissuasion fait la différence.

[1] Défini comme des demandes de pages qui affichent un produit, un article, un prix ou un service. Le « contenu » était l’un des 17 flux évalués dans le rapport, avec d’autres tels que : « Rechercher », « Ajouter au panier », « Devis » (pour les assurances, etc.), « Inscription », « Transaction », « Connexion », « Gestion du compte », « Évaluations » et « Paiement ».