De nos jours, protéger les sites web contre les bots est devenu primordial. Les sites web particulièrement interactifs, qui offrent des fonctions telles que l’inscription des utilisateurs et des formulaires en ligne, sont une cible privilégiée des logiciels automatisés. La détection et la réduction du trafic des bots revêtent une grande importance pour qu’un site web reste opérationnel et accessible aux vrais utilisateurs.

Multiple Bots

Qu’est-ce qu’un bot ?

Un bot est un logiciel automatisé conçu pour effectuer une série de tâches répétitives sans intervention humaine. Les bots peuvent être utilisés afin de créer des milliers de comptes d’utilisateur, de prélever des informations sur le site web, d’envoyer des spams ou tout simplement d’augmenter le trafic du site web dans une mesure telle que celui-ci n’est plus à même de répondre à toutes les requêtes. Alors qu’il peut être facile de repérer un seul bot exécutant de nombreuses tâches dans un laps de temps court, les bots tendent à répartir leur trafic sur de nombreux appareils et réseaux afin de minimiser le risque d’être détectés.

Les bots étant de plus en plus perfectionnés, il est important de conserver une longueur d’avance.

Méthodes de protection

Rate limiting

Rate Limiting

Le rate limiting (limitation du débit) constitue le moyen le plus élémentaire de protéger un site web contre les bots. Le site web se base sur un identifiant unique attribué à chaque utilisateur pour limiter le trafic autorisé en provenance de cet utilisateur. Par exemple, les requêtes d’un utilisateur se limitent à quelques-unes envoyées en rafale chaque seconde et restent bien en dessous de ce seuil dans la plupart des situations. Maintenir des limites de débit aussi strictes que possible sans pour autant nuire à l’expérience utilisateur est une pratique courante.

La difficulté du rate limiting réside dans le choix ou la création de l’identifiant pour l’utilisateur. On peut commencer par l’adresse IP de l’utilisateur, ce qui peut fonctionner pour certaines applications. Cela n’est toutefois pas la meilleure approche sur le long terme. Des utilisateurs multiples partagent souvent une même adresse IP, en particulier les utilisateurs mobiles qui sont susceptibles de partager la même adresse IPv4 publique avec des centaines, si ce n’est des milliers d’autres utilisateurs. Les bots n’ont en outre aucun mal à dissimuler leur véritable adresse IP en se servant de proxys. Afin de contourner cette limitation, le rate limiting est couramment associé au fingerprinting (prise d’empreintes)

Fingerprinting

Fingerprinting

Le fingerprinting est utilisé afin de générer pour un utilisateur ou un appareil un identifiant unique qui ne dépend généralement pas de l’adresse IP. Ces identifiants peuvent être utilisés par les sites web afin de suivre le comportement des utilisateurs, de détecter les utilisateurs suspects ou de limiter le débit pour l’utilisateur.

Créer un bon identifiant qui permet d’identifier un même utilisateur parmi les adresses IP et les sessions de navigation n’est pas une mince affaire.

Les informations habituellement utilisées afin d’établir l’empreinte digitale d’un internaute sont le type, la version et les réglages du navigateur, le système d’exploitation, les extensions installées dans le navigateur, le fuseau horaire, la langue, la résolution de l’écran, le matériel utilisé et d’autres caractéristiques de cette nature. Considérée seule, chacune de ces données ne présente pas un grand intérêt en soi, mais qu’on les combine et voilà le site web en mesure de générer une empreinte digitale avec un risque relativement faible que des utilisateurs partagent la même empreinte (on parle alors de collision). Il est rare que des utilisateurs présentent une combinaison de paramètres parfaitement identique. Néanmoins, les assaillants les plus sophistiqués sont capables de manipuler leurs empreintes digitales jusqu’à prendre n’importe quelle identité. Le fingerprinting ne peut donc pas être l’unique solution mobilisée pour se protéger contre les bots.

Honeypot

Honeypots

Nombreux sont les bots qui ne ciblent pas un site web spécifique, mais préfèrent suivre automatiquement des liens jusqu’à trouver des sites web pour y injecter du contenu et remplir des formulaires. Les honeypots sont une option afin de protéger votre site web contre de telles attaques.

La façon la plus simple de créer un honeypot consiste à ajouter un champ supplémentaire à votre formulaire, qui sera masqué pour les utilisateurs normaux au moyen d’une feuille de style CSS. Certains bots ne remarquent pas que le champ est invisible et le remplissent malgré tout. Le site web peut alors vérifier si le champ a été rempli et ainsi écarter les entrées suspectes. Si cette méthode peut offrir une protection contre les bots pendant un certain temps, même les plus naïfs d’entre eux finissent par reconnaître les champs des honeypots et, une fois repérés, les contourner sans difficulté. Il arrive en outre que les utilisateurs de logiciels de lecture d’écran (personnes non voyantes ou malvoyantes) remplissent eux aussi ce champ par inadvertance, ce qui les empêche d’utiliser votre site web.

reCAPTCHA v2

Tâches de reconnaissance d’images

Les tâches de reconnaissance d’images sont un moyen efficace de faire le tri entre utilisateurs réels et bots. Elles requièrent une interaction manuelle de la part de l’utilisateur et se veulent difficiles à résoudre par des bots. Il peut s’agir de répéter une séquence de caractères déformés ou de sélectionner des images correspondant à une description.

Même si ces types de tâches sont généralement difficiles à résoudre pour les bots, de nombreux services proposent aujourd’hui une résolution automatique pour un prix très abordable. Ces services fonctionnent généralement avec une intelligence artificielle ou grâce à une main-d’œuvre bon marché. En outre, les tâches de reconnaissance d’images et de sons ne sont pas accessibles à tous et nuisent à l’expérience utilisateur, ce qui se traduit par un nombre accru d’abandons. Les exploitants de sites web doivent donc faire face à un défi particulier au moment de garantir l’accessibilité de leur site.

Secure captcha

Solutions de protection anti-bots gérée

L’intégration de toutes ces précautions anti-bots peut représenter une charge de travail considérable pour un site web particulier. C’est la raison pour laquelle ont été créées des solutions de sécurité web gérées qui visent à protéger les sites web contre les bots tout en étant relativement faciles à mettre en œuvre. Friendly Captcha est l’une de ces solutions.

Friendly Captcha est l’unique solution sur le marché basée sur un proof of work sophistiqué . Friendly Captcha utilise une combinaison de cryptographie avancée et de fingerprinting avec une protection intégrale de la vie privée afin de défendre les sites web et les formulaires contre les attaques. Chaque utilisateur se voit attribuer un puzzle cryptographique unique que le navigateur se charge de résoudre en arrière-plan. En association une version anonymisée de l’empreinte digitale de l’utilisateur à des paramètres de vérification supplémentaires, Friendly Captcha est en mesure de détecter les requêtes suspectes émanant d’un utilisateur et d’ajuster la difficulté de ses puzzles cryptographiques. Comparé à d’autres solutions de protection anti-bots gérée, Friendly Captcha est accessible à tous, ne nécessite aucune interaction manuelle de la part de l’utilisateur, respecte totalement la vie privée et ralentit tout trafic suspect.

Secured bot protection process

Protégez votre site web contre les robots sophistiqués

Si Friendly Captcha vous semble être la solution idéale pour vous ou votre société, n’hésitez pas à regarder une live demo ou vous créer un compte gratuit pour l’essayer dans votre propre environnement.