Bots malveillants et prédateurs du Web : comment les attaques automatisées redéfinissent la cybersécurité

À l’heure où l’intelligence artificielle (IA) se démocratise, un danger discret mais croissant pèse sur l’écosystème du Web : des robots malveillants — “bad bots” — de plus en plus nombreux, automatisés et souvent difficilement détectables. Selon le dernier rapport du 2025 Imperva Bad Bot Report, le trafic généré par des bots automatisés a franchi un seuil symbolique : pour la première fois depuis une décennie, il dépasse le trafic humain, à hauteur de 51 % du trafic Web mondial. Parmi eux, 37 % est considéré comme malveillant.

Mais que sait-on exactement ? Comment ces bots fonctionnent-ils ? Et surtout, que signifie cette évolution pour les entreprises, les contenus en ligne… et plus largement pour la santé du Web ?

De l’automatisation utile aux armées silencieuses : évolution des bots

Historiquement, certains bots d’indexation ou d’analyse automatisée servaient des usages légitimes — moteurs de recherche, comparateurs de prix, etc. Mais les choses ont changé. Ces dernières années, la montée en puissance de l’IA et des modèles de langage a permis de créer des bots “intelligents”, capables de mimer le comportement humain, de naviguer dans des sites complexes, d’interagir avec des API, et de contourner certaines protections traditionnelles.

Selon le 2025 Global Bot Security Report de DataDome, le trafic issu de crawlers LLM et d’agents IA a été multiplié par quatre en quelques mois au sein de leur panel — confirmant qu’il ne s’agit plus de scrapers primitifs mais d’agents dynamiques, capables d’exécuter du JavaScript, gérer des sessions authentifiées, remplir des formulaires, voire interagir avec des services critiques.

Un tsunami silencieux : des chiffres alarmants

Les données récentes donnent le vertige. Imperva indique qu’en 2024, les bots automatisés représentaient 51 % du trafic global — un tournant historique. Parmi eux, 37 % sont classés “malveillants” (“bad bots”).

De son côté, DataDome a testé près de 17 000 sites dans 22 industries et conclut que seulement 2,8 % de ces domaines étaient “pleinement protégés” contre les bots en 2025 — contre 8,4 % l’année précédente. Cela signifie qu’une écrasante majorité reste vulnérable, souvent sans s’en rendre compte.

Autrement dit, la montée des bots malveillants ne s’accompagne pas d’une montée équivalente des défenses — du moins pas de façon généralisée.

À quoi servent ces bots malveillants ?

Leur utilité pour les acteurs malveillants est multiple — et souvent nuisible :

• Scraping massif de contenu (textes, images, données privées ou publiques) : certains bots collectent massivement des données pour entraîner des IA, extraire des informations sensibles ou revendre des contenus, sans consentement.
• Analyse d’applications / tests de vulnérabilités automatisés : des bots peuvent explorer des endpoints cachés, tester des failles d’injection ou des configurations faibles — en simulant un usage légitime.
• Fraude, abus d’API, usurpation, exploitation de ressources : bots de “credential stuffing”, automatisation de processus d’achat, bots envoyant des requêtes massives (DoS-like), abus de formulaires ou endpoints critiques, etc.

Dans le contexte actuel, l’essor des modèles d’IA rend l’entrée dans l’écosystème “bot malveillant” beaucoup plus accessible — ce qui augmente le nombre potentiel d’attaquants, y compris des acteurs peu expérimentés.

Pourquoi la situation est-elle si difficile à contenir ?

Plusieurs facteurs rendent la défense complexe :

• Défenses traditionnelles dépassées : beaucoup de sites continuent à s’appuyer sur des méthodes anciennes — règles “robots.txt”, filtrage d’agent utilisateur, blocage IP — qui ne suffisent plus face à des bots “humanoïdes”, capables de simuler un vrai navigateur, de changer d’IP (via des proxys résidentiels), de varier leurs comportements.
• Volume et échelle : avec des milliards de requêtes envoyées automatiquement, saturation des ressources serveur, impacts sur les performances, la gestion des logs, les coûts infrastructurels, etc.
• Fragmentation des pratiques de sécurité : l’étude de DataDome montre qu’une forte majorité des sites — PME, petits acteurs, médias, projets open source — restent “partiellement” ou “non protégés”.
• Complexité croissante des bots eux-mêmes : des bots “agentic” capables d’interagir, d’exécuter du JavaScript, de naviguer comme un humain — ce qui élargit considérablement leur surface d’attaque.

Impacts pour la société, les entreprises et le Web

Cette montée des bots agressifs pose des questions majeures, au-delà de la simple cybersécurité :

• Économie numérique fragilisée : pour des sites dépendant de publicités, d’abonnements ou d’engagement humain, la présence massive de bots “extracteurs de valeur” fausse les métriques, dégrade les revenus, et rend la monétisation plus difficile.
• Inégalités entre acteurs : les grandes entreprises avec des moyens (sécurité, budgets, équipes spécialisées) peuvent déployer des protections sophistiquées. Les petites structures — PME, associations, blogs, projets open source — sont beaucoup plus vulnérables.
• Risques d’espionnage, de vol de données, d’abus : des bots automatisés peuvent exfiltrer des données sensibles, tester des failles, compromettre des serveurs ou servir de première étape à des attaques ciblées.
• Fragilisation du Web centré sur l’humain : si le trafic humain devient minoritaire, si les bots saturent les contenus, interactions et valeur réelle — ce sont la diversité, la créativité, les petits acteurs du Web qui sont menacés.

Quelles solutions (réelles) aujourd’hui — et leurs limites

Face à ce constat, plusieurs pistes de protection émergent :

• Protections “multi-couches” : WAF (pare-feu d’application), détection comportementale, analyse des accès / anomalies, filtrage IP et requêtes suspectes. Mais ces défenses doivent évoluer rapidement pour s’adapter aux nouvelles capacités des bots.
• Honeypots ou pièges : créer des pages factices, des leurres pour identifier les bots, les piéger ou détourner leur attention — certaines entreprises de sécurité explorent des méthodes de “leurre intelligent” plutôt que de simple blocage.
• Analyse comportementale avancée : tenter de distinguer le trafic humain du trafic automatisé non plus via des règles statiques, mais par l’intention, la cohérence, et la détection d’anomalies. Les solutions doivent “apprendre” pour rester efficaces.
• Durcissement des configurations, réduction de la surface d’attaque : fermer les endpoints inutilisés, sécuriser les API, restreindre les accès, renforcer l’authentification… Ces mesures restent basiques mais essentielles.

Malgré tout, ces solutions montrent leurs limites. Les bots deviennent tellement sophistiqués — navigation “humaine”, proxys résidentiels, exécution de code, adaptation en temps réel — que la distinction entre “utilisateur réel” et “bot malveillant” devient floue. Comme le montre la recherche académique récente “FP-Inconsistent”, des bots peuvent modifier leurs « empreintes navigateur » pour échapper à la détection, rendant de nombreux outils classiques obsolètes.

Le Web pourrait peu à peu devenir un espace dominé par l’automatisation hostile — un “Internet des machines” — au détriment des humains, de la confiance, de la diversité.

Pourquoi l’information reste parcellaire — et ce qu’il reste à clarifier

Malgré l’abondance récente de rapports, plusieurs incertitudes persistent :

• Beaucoup d’études proviennent de sociétés privées (entreprises de cybersécurité, plateformes commerciales), ce qui peut introduire des biais, tant dans la sélection des sites testés que dans l’interprétation des résultats. Les chiffres peuvent varier fortement selon la méthodologie et le type de sites analysés.
• Quand on s’intéresse aux bots “agentic” (agents web, IA, multi-tabs, exécution JS, etc.), l’analyse académique existe — mais les cas publics de compromissions réelles à grande échelle, documentés, restent rares ou peu médiatisés. Le risque théorique existe, mais cela ne signifie pas que des catastrophes généralisées aient déjà eu lieu.
• Enfin : la rapidité de l’évolution des technologies rend vite obsolète ce qu’on croit savoir. Une parade efficace aujourd’hui peut être contournée demain — ce qui rend la lutte contre les bots malveillants un “jeu de chat et de souris” permanent.

En guise de conclusion — vers un Web sous haute surveillance… ou un Web malade ?

Le constat est clair : les bots malveillants, automatisés, dopés à l’IA, sont en train de redéfinir les menaces sur le Web. Ils exploitent la puissance des infrastructures, la faiblesse des défenses, l’automatisation accessible — et menacent, à terme, l’équilibre même du Web tel que nous l’avons connu.

Pour les entreprises, c’est un impératif : renforcer la sécurité, revoir les logiques de défense, et adopter des pratiques proactives. Mais pour la société, c’est peut-être un avertissement plus profond : si le Web devient un terrain de plus en plus hostile, saturé par des acteurs automatiques, ce n’est plus seulement la sécurité technique qui est en jeu — c’est la valeur, la diversité, la gratuité, la confiance, la créativité.

Le Web version “bot-driven” pourrait rapidement ressembler à un champ de bataille automatisé, où seuls les plus armés — techniquement, financièrement — survivent. À moins d’un sursaut collectif — technique, réglementaire, éthique — d’ici les prochaines années, le risque est réel : un Internet dominé non plus par des humains, mais par des machines.

Note de prudence : cet article se base sur des études et rapports récents, souvent menés par des acteurs privés. Les chiffres peuvent varier selon les méthodologies, les échantillons, et le type de sites analysés — ce qui rend les tendances inquiétantes, mais non absolues.