Le web des (ro)bots : les humains perdront-ils demain le contrôle d'internet ?

Atlantico : La société de protection numérique Incapsula a publié sur son blog deux études successives. La première, publiée en 2012, montrait que 51 % du trafic internet était généré par  des "Bots", soit des agents logiciels. En 2013, ces mêmes "bots" représentaient 61,5 % du trafic. Comment expliquer cette prééminence d'agents logiciels automatiques ou semi-automatiques  sur la toile, et que leur fréquentation du web augmente aussi vite d’une année sur l’autre ? Le phénomène va-t-il aller crescendo ?

Marc Blanchard : il faut tout d’abord distinguer les bots commerciaux des bots "malwares" :

Les bots commerciaux prennent une place de plus en plus importante, notamment pour établir des statistiques de surf et d’accès, ou encore des prédictions sur les sites les plus visités. Lorsque Google établit le top 10 des sites les plus vus, ou des personnalités les plus suivies sur le net, ce sont des bots qui sont à l’œuvre. Il existe aussi les bots publicitaires, qui  analysent des catégories de populations par rapport à des cookies, par exemple. Si vous créez un site internet, le bot de Google viendra régulièrement en consulter toutes les pages pour les indexer dans le moteur de recherche.

Viennent ensuite les bots malwares c’est-à-dire "malicieux", ou malveillants : on ne peut pas faire de prédictions à leur sujet, en revanche on sait qu’ils ont évolué. Avant, lorsqu’ils infectaient les machines, ils étaient plutôt autonomes, peu d’informations transitaient par les réseaux. Aujourd’hui, pratiquement tous les malwares ont une connexion avec un centre de commandement, ce qui leur permet de mettre à jour leurs codes malveillants directement sur la machine ou les serveurs de la victime, ce qui a pour effet de faire grimper le taux de transfert. Mais l’information sur les malwares est minime, puisque par définition, leur but est d’être un maximum transparent, tant au niveau du trafic que du niveau d’infection de la machine.

Par conséquent, tous ces bots associés, qu’ils soient commerciaux ou malveillants, ne peuvent qu’augmenter en nombre, ce à quoi les fournisseurs d’accès répondent en augmentant les bandes passantes mises au service des internautes. Ce ne sont donc pas les bots qui vont ralentir très fortement le trafic global d’internet. A partir d’un certain quota de bande passante utilisée, les fournisseurs en rajoutent systématiquement pour compenser.

Cette évolution du trafic de bots n’est pas vraiment surprenante par rapport à 2012, car nous avons beau ne pas nous en apercevoir, mais nous vivons avec eux en permanence : publicité, recherches, sites comparateurs de prix, propositions de participation à des questionnaires de satisfaction…

Source : The Incapsula blog

Il ressort de cette étude qu’en 2013, 31 % du trafic total a été généré par des systèmes malveillants : usurpation d’identité, piratage, spams… Ce chiffre est-il inquiétant ? Pourquoi ?

On ne peut pas être certain de l’exactitude de ce chiffre, puisque comme je le disais, le trafic des malwares est très difficile à évaluer. L’usurpation d’identité, notamment, est infime, comparée à la masse d’informations qui transitent par internet. Le piratage est un peu plus aisé à évaluer, mais tout dépend de la définition qu’on en donne. S’il s’agit de vol de données, et que ces données sont transférées d’un serveur à un autre, alors oui, on est face à un cas de piratage caractérisé. Les spams, eux, sont déjà plus faciles à évaluer, encore que : qu’appelle-t-on un spam ? Si vous recevez un spam d’une marque que vous appréciez, vous ne le considérez pas comme tel, vous le garderez. Donc tout est relatif. Mais si le chiffre de 31 % est exact, alors c’est considérable.

Peut-on éternellement adapter la bande passante à l’augmentation des bots ? Les systèmes mis en place par l’homme pourraient-ils dépasser ce dernier ? La "créature" pourrait-elle rattraper le créateur ?

C’est une question de moyens. Un fournisseur d’accès à internet préfère proposer une bonne bande passante, plutôt que de maintenir ses infrastructures en l’état. Les fournisseurs ne sont pour rien dans les trafics de bots, c’est comme pour l’eau : si un jour elle est polluée, ce n’est pas de la faute de la générale des eaux.

En revanche on peut les bloquer à différents niveaux, des filtres existent. Mais tout ne peut pas être filtré, pour la simple et bonne raison que, comme je l’ai déjà dit, il n’est pas si simple de définir lesquels sont commerciaux, marketing, malveillants… C’est pour cela que des bots malveillants parviennent tout de même à passer.

Quant à savoir si la machine pourrait dépasser l’homme, on peut envisager que des ralentissements se produisent sur la bade passante. On a déjà constaté ces trois ou quatre dernières années de tels ralentissements, notamment à cause de "cyber manifestations" d’Anonymous ou d’activistes. Mais là aussi des technologies existent pour contrer ce type d’action, tant au niveau des fournisseurs d’accès que des interconnexions nationales et internationales, où sont mises en place des règles qui empêchent des trafics aussi intenses.

Ces dernières 24 heures en France, les serveurs de contrôle malveillants (par lesquels transitent des bots malicieux), ou à tout le moins suspects, représentent 5,8 %  du "parc" mondial de serveurs contrôlant des bots malveillants. Les États-Unis, eux, sont à 35,4 %… On en est donc loin.

Quel usage fait-on des données collectées par ces bots ? Qui commande à ces derniers ?

Des réseaux souterrains permettent de faire de la collecte de ces bots malveillants. Dans les bas-fonds d’internet aujourd’hui, une identité complète s’achète 800 euros : permis de conduire, sécurité sociale, assurance, 1 000 euros sur le compte bancaire... Tout cela est collecté directement sur des bots qui sont fonctionnels sur les machines des victimes. Car on n’est jamais sans mettre une information sur soi quelque part sur son ordinateur : adresse, code postal, scans de documents officiels… tout cela est collecté pour revente et exploitation.

Autre possibilité, des codes malveillants peuvent bloquer l’ordinateur, et demander un paiement contre le déblocage. Il s'agit alors de "ransamware".

Les clés des bots sont aujourd’hui dynamiques. Par exemple, si vous transmettez un code d’accès à un ami, celui-ci ne fonctionnera pas, car un bot aura décidé en amont de griller la clé de licence. On voit donc bien que le trafic de bots malveillants est minime, puisqu’il s’agit de quelques chiffres seulement, en général. Les bots commerciaux, ou cookies, eux, relèvent d’accords commerciaux qui permettent de "pousser" des publicités entre différents sites. Il suffit de consulter le site internet d’une marque d’ordinateurs pour que des publicités pour les mêmes ordinateurs apparaissent sur d’autres sites.

Les catégories de personnes derrières les malwares sont connues : ils sont jeunes, sans travail et vivent du vol d’internautes. C’est dommage, car ils ont des compétences indéniables, mais mal employées. Les "ransamwares", bien souvent, ont une activité de 10 à 15 jours puis disparaissent. Lorsqu’ils ont de nouveau besoin d’argent, ils relancent une campagne. A un niveau plus nuisible, on trouve le vol d’identité. On rentre alors dans les bas-fonds du net : on cherche à blanchir, ou à usurper l’identité de quelqu’un d’autre… Il y a aussi le vol d’informations. Pour cela, il y a dix ou vingt ans on débauchait des directeurs de recherche et développement, par exemple pour obtenir toutes les innovations du concurrent. Aujourd’hui ce n’est plus nécessaire, car on vole tout simplement les données en plaçant des bots dans les entreprises ; chaque fois qu’ils rencontreront un mot en particulier, ils renverront à l’extérieur toutes les informations qui y sont associées. On peut donc aller du petit geek isolé à la grosse mafia de niveau industriel. Parmi les plus grands dangers, on est maintenant en mesure de perturber des pacemakers…

Faut-il plus que jamais être prudent par rapport à la protection de son identité numérique et de ses données ? Comment se prémunir contre les intrusions et les usurpations ?

Il est difficile de se protéger totalement. L’antivirus fait déjà une bonne partie du travail, de même que les mises à jour sur les applications. Lorsqu’on vous propose une mise à jour de flashplayer sur un site autre, ne cliquez pas dessus, et rendez-vous sur le site de flashplayer pour voir s’il est derrière cette proposition de mise à jour. Un site traditionnel peut avoir été légèrement piraté et pousser ainsi un malware chez vous.  Il ne faut pas non plus ignorer les mises à jour du système d’exploitation, quitte à devoir redémarrer l’ordinateur. Ces petites "règles d’hygiène" permettent de se protéger, même si le risque n’est jamais totalement éliminé.