En 2024, 51 % du trafic web généré sont des bots automatisés !
Une entreprise états-unienne de cybersécurité a publié une étude :
> 12e rapport « Bad Bot » (.pdf)
Le rapport de cette année 2025 met l'accent sur le rôle croissant de l'intelligence artificielle (IA) dans les attaques de bots :
" Les bots malveillants ciblent de plus en plus les entreprises par des tactiques telles que le scraping de données, le piratage de comptes et la manipulation d'inventaires à des fins lucratives."
Les principaux constats
51 % du trafic web analysé par Imperva (cybersécurité) provient de bots automatisés, dépassant pour la première fois en 10 ans l'activité humaine (49 %).
37 % de ce trafic automatisé est attribué à des robots malveillants (contre 19 % en 2014), spécialisés dans le vol de données, les attaques DDoS, le scalping ou le credential stuffing.
14 % émane de robots légitimes (indexation, crawlers), en baisse par rapport aux années précédentes.
Causes et tendances
. L'IA et les LLM facilitent la création de bots sophistiqués, capables d'imiter le comportement humain.
. Plateformes de Bots-as-a-Service (BaaS) : démocratisent les cyberattaques, même pour des non-experts.
. Bytespider (robot de ByteDance, maison mère de TikTok) est impliqué dans 54 % des attaques IA, souvent via l'usurpation d'identité de robots légitimes.
Enjeux critiques
. +40 % de vols d'identité depuis 2023, liés à l'automatisation des attaques par force brute.
. 55 % d'attaques en hausse sur les API, ciblant les vulnérabilités des flux de paiement ou d'authentification.
. 31 % des attaques globales proviennent de robots malveillants, selon les données Imperva.
Les limites méthodologiques (commentaires)
. Portée contestée : l'étude se base sur le trafic des clients d'Imperva (secteurs ciblés par des attaques), pas sur l'ensemble du web.
. Définition du "trafic web" : exclut probablement le trafic vidéo (Netflix, YouTube), majoritaire en volume.
. Biais potentiel : Imperva vend des solutions anti-bots, ce qui pourrait influencer la communication des résultats.
Recommandations d'Imperva
. Analyse avancée du trafic et détection en temps réel des bots.
. Authentification robuste (CAPTCHA, vérification des user-agents obsolètes).
. Contrôle des proxies (Host Europe, OVH, etc.) souvent utilisés pour masquer les attaques.
Note : Les chiffres reflètent une réalité sectorielle et méthodologique spécifique, à interpréter avec prudence.
Secteurs les plus touchés par le trafic de bots automatisés
1. Jeux vidéo et gaming
57,2 % du trafic sur les sites de jeux est généré par des bots malveillants, principalement pour :
. Prise de contrôle de comptes et création de faux profils
. Exploitation de monnaie virtuelle (vol d'objets, triche automatisée)
. Attaques DDoS perturbant les serveurs multijoueurs.
2. Services financiers
Cible prioritaire (36,8 % des attaques globales), avec :
. 22 % des attaques de type Account Takeover (ATO) visant les banques et fintech
. Vol de données sensibles (cartes de crédit, identifiants bancaires)
. Fraude sur les API (paiements, authentification).
3. Voyages
44,5 % du trafic des sites du secteur provient de bots malveillants, spécialisés dans :
. Scalping de réservations (hôtels, billets d'avion)
. Attaques sur les API de comparaison de prix (27 % des attaques sectorielles)
. Fraude aux cartes de crédit via des bots d'arbitrage.
4. Télécoms et fournisseurs d'accès (FAI)
49,3 % du trafic malveillant, ciblant :
. Attaques par force brute sur les comptes clients
. Détournement de proxys résidentiels (25,8 % du trafic malveillant)
. Campagnes DDoS massives.
5. Commerce en ligne (e-commerce)
59 % du trafic sur certains sites est malveillant, notamment pour :
. Scalping de produits rares (sneakers, consoles)
. Credential stuffing (réutilisation de mots de passe volés)
. Vol de contenu personnalisé (tarifs dynamiques).
6. Santé
32,6 % du trafic provient de bots, attaquant :
. Les API médicales (dossiers patients, rendez-vous)
. Les systèmes de réservation de vaccins ou tests
. Les données sensibles (assurances, diagnostics).
7. Divertissement (mobile)
23 % du trafic mobile malveillant, visant :
. Comptes premium (streaming, abonnements)
. Campagnes de spam (publicités malveillantes).
Évolution des tactiques
Les bots avancés (imitation humaine) dominent sur les sites gouvernementaux (75,8 %) et financiers (67,1 %)
. Les proxys résidentiels (FAI légitimes) masquent 44,8 % des attaques, rendant la détection plus complexe.
Sources : Rapports Imperva/Thales (2023-2025), F5 Labs
Et pour le pire....
Les chatbots IA ramènent peu de trafic aux éditeurs de sites !
. 95,7 % de clics en moins générés par les chatbots IA par rapport aux recherches Google traditionnelles, selon Tollbit (plateforme de monétisation de contenus).
. 0,74 % de taux de référencement pour les moteurs de recherche IA, contre 0,33 % pour les chatbots (ex: ChatGPT), et 8,63 % pour les résultats Google classiques.
. Visites massives de bots IA : jusqu'à 2 millions de passages par trimestre sur certains sites, avec 7 visites par page en moyenne.
(Les bots IA, comme OpenAI, Perplexity, scrapent massivement les contenus jusqu'à 2 millions de passages/trimestre sur certains sites sans générer de revenus via des accords équitables).
Enjeux économiques et techniques
Modèle économique menacé : les chatbots IA résument directement le contenu, réduisant le besoin de clics vers les sources (phénomène similaire à Google News).
Dilemme pour les éditeurs : bloquer les bots IA risque de pénaliser le SEO, tandis que les accords avec les géants de l'IA (ex: OpenAI) génèrent peu de trafic en retour.
Solutions alternatives : certains administrateurs bloquent les bots au niveau du pare-feu, malgré les risques pour la visibilité.
> Moteur de recherche : Baisse du trafic organique
" Un récent rapport de la plateforme de licence de contenu TollBit, partagé exclusivement avec Forbes, révèle que les moteurs de recherche alimentés par l'IA, tels que ceux développés par OpenAI et Perplexity, envoient 96 % de trafic de référence en moins vers les sites d'actualités et les blogs par rapport à la recherche Google traditionnelle."
Enjeu central :
Les chatbots IA détournent la valeur des contenus des sites web sans renvoyer de trafic significatif, obligeant les éditeurs à choisir entre blocage risqué et/ou négociation défavorable.
En lien avec l'article :
. SEO bilan de fin d'année 2024
. L'enshittification d'internet
. Est ce qu'il faut bloquer les chatbots IA sur son site web ?
. Les promesses de résultat en SEO
. Bug dans le Search
