Guide de sécurité
Usurpation d'agent : vérifiez les bots avant de leur faire confiance
L'identité déclarée d'un crawler ou d'un agent IA est un point de départ pour la vérification, pas une décision d'autorisation.
Qu'est-ce que l'usurpation d'agent ?
L'usurpation d'agent est le fait pour un bot malveillant d'imiter un agent IA, un crawler de moteur de recherche, un comparateur de prix ou tout autre client de confiance afin de contourner la sécurité d'un site de vente en ligne.
En obtenant un accès sans restriction, un bot peut aspirer du contenu, sonder une application, consommer du stock ou fausser les données de trafic. Le risque n'est pas propre aux agents IA : toute identité déduite d'un seul en-tête de requête peut être falsifiée.
Le coût pour les retailers
Traitez la classification des bots comme un signal de risque. Un crawler vérifié peut être légitime, mais il ne doit toujours pas recevoir d'accès à une route authentifiée, administrative ou transactionnelle.
La réalité technique
Utilisez plusieurs niveaux de preuve plutôt qu'un seul signal :
- L'en-tête User-Agent, une chaîne de texte indiquant le nom et la version du client, n'est qu'une auto-déclaration. N'importe quel bot malveillant peut se présenter comme un agent IA connu avec une seule ligne de code.
- La plage IP peut étayer la vérification lorsque son propriétaire publie et maintient une plage documentée ou un processus de DNS inverse. Elle ne constitue pas une preuve en soi, et les plages cloud génériques ne sont pas une identité de bot.
- Le comportement et le contexte de la route aident à distinguer une exploration normale du scraping, de l'abus d'identifiants et de l'automatisation de l'inventaire ou du paiement.
- La vérification cryptographique peut prouver qu'une requête a été signée par une clé contrôlée par l'expéditeur lorsque celui-ci publie un mécanisme complet et vérifiable.
La réponse émergente : les signatures cryptographiques
HTTP Message Signatures (RFC 9421) normalise une façon de signer des composants sélectionnés de messages HTTP. Cette norme ne définit ni identité universelle de bot, ni annuaire de clés publiques, ni politique d'autorisation.
Lorsqu'un fournisseur prend en charge les requêtes signées, validez son modèle documenté de découverte des clés et de confiance, les composants signés, l'expiration, la protection contre le rejeu et les routes autorisées. Ne traitez pas une signature valide comme une règle d'autorisation sans restriction.
Auditez les politiques de gestion des bots et de WAF par route. Commencez en mode observation, vérifiez les crawlers Google déclarés avec le processus documenté de Google, puis appliquez une réponse graduée : autorisez l'accès approuvé, limitez le comportement suspect ou bloquez les abus à forte confiance. Enregistrez les preuves, le responsable, la date de revue et la condition de retour arrière pour chaque exception.
Références faisant autorité
- OWASP Bot Management and Anti-Automation Cheat Sheet
- RFC 9421: HTTP Message Signatures
- Cloudflare: Web Bot Auth
Vérifiez les bots sans bloquer les accès légitimes
Échangez avec notre équipe sur la gestion des bots, la configuration du WAF et la vérification des agents signés sur l'ensemble de votre parc retail.
Démarrer