Cloudflare a présenté Precursor, un système qui analyse en continu le comportement d’un visiteur dans une application web afin de distinguer une personne d’un bot ou d’un agent automatisé. Plutôt que d’évaluer chaque requête individuellement ou de vérifier l’utilisateur uniquement lors de la connexion, cette technologie construit une vue d’ensemble de toute la session.
Le produit utilise un JavaScript injecté par Cloudflare pour observer des signaux tels que le déplacement du pointeur, le rythme d’utilisation du clavier, les changements de focus et la durée d’affichage des pages. Ces données sont traitées sur les serveurs périmétriques de l’entreprise et intégrées dans leur score de détection de bots, leurs règles de sécurité et leurs décisions concernant l’affichage de défis.
Precursor de Cloudflare : les clés en 20 secondes
- Analyse le comportement sur toute la durée de la session, et non une seule requête.
- Utilise un petit script ajouté par Cloudflare dans les réponses HTML.
- Collecte les mouvements du pointeur, l’activité clavier, le focus et la visibilité de la page.
- Cloudflare affirme qu’il enregistre le rythme de frappe, mais pas les touches tapées.
- Les données sont envoyées périodiquement à leur infrastructure pour évaluation.
- Les informations accumulées peuvent modifier la notation de la session en tant que bot.
- Met à jour l’état stocké dans le cookie
cf_clearance. - Peut recontacter un utilisateur ayant déjà passé un défi.
- Complète Turnstile et remplace la détection JavaScript lorsqu’elle est activée.
- Disponible pour les clients Enterprise Bot Management, avec une version gratuite jusqu’à son déploiement général prévu pour 2026.
Precursor vise à pallier une faiblesse des systèmes actuels. Un bot avancé peut exécuter du JavaScript, contrôler un navigateur réel et se comporter correctement lors d’un CAPTCHA. Maintenir un comportement crédible sur plusieurs minutes, en naviguant, remplissant des formulaires et réagissant à différents éléments, s’avère nettement plus difficile.
Cloudflare affirme analyser plus d’un trillion de requêtes par jour via son réseau, et que Turnstile s’exécute près de 3 milliards de fois chaque jour. Ces chiffres fournis par l’entreprise illustrent l’ampleur des données utilisées pour entraîner et ajuster ses mécanismes de détection.
De la vérification ponctuelle à l’analyse comportementale d’une session
Les systèmes traditionnels prennent généralement une décision basée sur une action précise : ouverture d’une page, connexion, création d’un compte ou achat. À ce moment-là, l’évaluation s’appuie sur l’adresse IP, les en-têtes, la réputation de l’appareil, le navigateur, etc.
Ce mode de fonctionnement est efficace contre des automatisations simples, mais offre une vision limitée. Un attaquant peut préparer son navigateur pour dépasser la vérification, puis continuer ses abus : extraction de contenu, tests d’identifiants, réservations, création de faux comptes ou automatisation d’achats.
Precursor transforme cette approche en une séquence. Le système vérifie si les actions tout au long de la visite présentent une cohérence humaine, en superposant plusieurs signaux. Par exemple, il peut vérifier si le mouvement du curseur concorde avec la durée de visibilité de l’onglet ou si l’activité clavier intervient alors qu’un champ de texte est sélectionné.
Cloudflare utilise notamment le mouvement du pointeur pour différencier les comportements. Des bibliothèques d’automatisation peuvent ajouter du bruit, faire des pauses ou tracer des courbes pour masquer une trajectoire rectiligne. En revanche, les mouvements humains sont influencés par la rotation du poignet, les corrections minimes, le tremblement physiologique, ainsi que le temps nécessaire à l’interprétation de ce qui s’affiche à l’écran.
Un bot peut produire une courbe de Bézier apparemment naturelle dans une action isolée. Cependant, il est beaucoup plus difficile d’imiter la variation de vitesse, de direction, la précision et les temps de réponse sur une session complète. La répétition excessive, des clics systématiquement précis ou un retour constant au même point peuvent laisser des traces reconnaissables.
Fonctionnement de Precursor
| Étape | Ce que fait le système |
|---|---|
| Injection | Cloudflare ajoute un paquet JavaScript dans les réponses HTML |
| Collecte | Le navigateur enregistre les signaux d’interaction via de légers événements |
| Stockage temporaire | Les événements sont compressés et conservés en mémoire |
| Envoi | Les blocs d’informations sont périodiquement transmis à l’edge |
| Évaluation | Plusieurs analyseurs croisent les signaux reçus |
| Intégration | Les résultats mettent à jour l’état de la session |
| Réponse | Le score de bot, le WAF et les défis utilisent ces données pour agir |
Ce paquet est généré dynamiquement, est obfusqué, et ne nécessite pas que le propriétaire du site insère manuellement une bibliothèque tierce. En passant par Cloudflare, la plateforme intègre le code dans la réponse HTML avant de la livrer au navigateur.
Cela offre une opération simplifiée : le produit peut être activé depuis le tableau de bord sans modifier le code applicatif. Cependant, cela dépend aussi que la page traverse bien le réseau de Cloudflare et que l’exécution du script soit permise.
Precursor ne couvre pas seul tout type de trafic automatisé : un client appelant directement une API sans charger de HTML ni exécuter de JavaScript ne génère pas les mêmes signaux. La protection doit également s’appuyer sur l’analyse réseau, le contrôle de vitesse, l’authentification, la réputation, les règles du WAF et des mécanismes spécifiques.
Impacts pour les administrateurs de Cloudflare
La documentation propose deux modes : Minimize Friction, par défaut, qui tente de garder la vérification en arrière-plan sans page intermédiaire, diminuant ainsi les interruptions, mais sans garantir que toutes les sessions soient complètement vérifiées.
Maximize Security exige un défi léger si aucune session valide n’est détectée, renforçant la vérification, mais pouvant provoquer une pause perceptible. Cloudflare recommande cette option lorsque la sécurisation maximale est prioritaire.
Les règles permettent d’appliquer différentes politiques selon la zone du site. Un commerce pourrait utiliser le mode moins intrusif pour le catalogue et demander une sécurité renforcée lors du checkout. De même, il est possible de renforcer la vérification lors de l’ouverture de session, de l’inscription ou sur des pages manipulant des données sensibles.
L’état s’intègre avec le cookie cf_clearance, qui indique que le navigateur a passé certaines vérifications. Precursor peut réduire ou invalider cette autorisation, déclencher un nouveau défi, et réévaluer le visiteur pendant la session. Rafraîchir la page ne suffit pas nécessairement à effacer immédiatement cette conduite accumulée.
Ce produit ne remplace pas Turnstile : ce dernier intervient à des moments précis, comme un formulaire ou une transaction, alors que Precursor évalue en continu le comportement pendant toute la session. Leur association permet une vérification adaptative si le comportement évolue.
De même, Precursor remplace la précédente détection JavaScript, qui vérifiait ponctuellement dans le navigateur. Cloudflare recommande de désactiver cette fonction si Precursor est activé, afin d’éviter tout chevauchement.
Les résultats sont visualisés dans Security Analytics, proposant des vues centrées sur la dynamique complète de chaque session. Cela permet d’identifier les parcours habituels, détecter les écarts ou indices d’automatisation.
Les données modifient aussi le bot score, une note de 1 à 99 : faibles indique une forte probabilité d’automatisation, élevés suggèrent du trafic humain. Les clients peuvent utiliser cette donnée dans des règles WAF pour autoriser, défier ou bloquer des requêtes. La notation détaillée reste réservée à l’Enterprise Bot Management.
La confidentialité et les faux positifs, des enjeux sensibles
Precursor introduit une collecte continue de télémétrie dans le navigateur, et la gestion de la vie privée devient un point crucial à examiner avant déploiement.
Cloudflare précise qu’il ne conserve pas le contenu précis des frappes mais uniquement leurs temps et rythme. Les signaux sont analysés comme des motifs agrégés, sans lien avec des comptes, identités de connexion ou profils permanents, et ne sont pas directement accessibles dans les panneaux de contrôle.
Cela limite la sensibilité des données recueillies mais ne rend pas cette collecte complètement exempte de risques juridiques ou de confidentialité. Le responsable doit connaître quelles données sont envoyées, leur durée de conservation, leur lieu de traitement, et la documentation à fournir selon la réglementation locale.
La documentation Cloudflare indique que l’analyse comportementale et biométrique de Bot Analysis inclut des détections basées sur Precursor. La société ne précise pas si l’usage de “biométriques” a une dimension technique interne ou s’il se conforme aux cadres juridiques, comme le RGPD. Une clarification plus précise sera nécessaire avant déploiement dans des secteurs hautement réglementés.
Il faudra aussi surveiller les faux positifs, car tout le monde n’interagit pas de la même façon. Les mouvements peuvent différer avec un écran tactile, un trackpad, des technologies d’assistance, un bureau à distance ou des dispositifs adaptés. Une personne peut naviguer au clavier, maintenir une page en arrière-plan ou utiliser un gestionnaire de mots de passe pour remplir un formulaire.
Une automatisation légitime peut simuler un comportement malicieux, et un système intelligent peut apprendre à imiter des pauses, erreurs et parcours réalistes. La détection ne doit pas être considérée comme une preuve absolue mais comme un indice à intégrer dans une stratégie de sécurité globale.
Cloudflare affirme que disposer de contexte tout au long de la session permettra d’améliorer la précision en réduisant les faux positifs. A ce jour, aucune publication ne fournit de taux de détection, de chiffres sur la précision ou de comparaisons indépendantes pour évaluer cette amélioration.
Ce que doit tester une entreprise avant activation
| Évaluation | Objectif |
|---|---|
| Navigation avec souris, clavier et tactile | Identifier différences selon les dispositifs |
| Utilisation de lecteurs d’écran et assistances | Éviter les barrières d’accessibilité |
| Gestionnaires de mots de passe, remplissage automatique | Vérifier la vitesse et la fluidité des formulaires |
| Bureaux distants et réseaux à latence | Relever des comportements artificiels |
| Clients avec scripts automatisés | Faire la distinction avec une automatisation autorisée |
| Processus d’achat et login | Évaluer taux de conversion et abandons |
| Différents pays et navigateurs | Adapter au comportement et au cadre réglementaire |
| Mode d’observation préalable | Analyser sans couper le trafic |
La lutte contre les bots demeure une compétition incessante. Plus l’on donne d’importance aux mouvements, pauses et navigations, plus les automatiseurs seront incités à reproduire ces caractéristiques.
Precursor augmente le coût d’attaques, car il ne suffit plus de passer une étape unique. Le bot doit soutenir un comportement crédible sur toute la session, réagir aux changements et éviter un motif répétitif à grande échelle. Ce n’est pas impossible, mais cela exige des navigateurs plus sophistiqués, plus de ressources, et des modèles comportementaux mieux ajustés.
Ainsi, Cloudflare étend la sécurité de la simple requête HTTP à l’expérience utilisateur globale. Si cette démarche peut renforcer la lutte contre la fraude, le scraping, l’usurpation de comptes et les agents contrôlant un navigateur, elle nécessite aussi une attention accrue à la vie privée, à l’accessibilité et à la transparence des décisions automatisées.
Questions fréquentes
Qu’est-ce que Cloudflare Precursor ?
Un système de détection qui analyse en continu le comportement du navigateur sur toute la session pour différencier le trafic humain des bots et autres agents automatisés.
Enregistre-t-il ce que tape l’utilisateur ?
Cloudflare garantit qu’il ne conserve que le rythme et le timing des frappes, sans stocker le contenu des touches ou les données saisies.
Precursor remplace-t-il Turnstile ?
Non. Turnstile agit à des moments précis (formulaire, paiement), tandis que Precursor étend l’évaluation durant toute la session. Il remplace cependant la détection JavaScript ponctuelle lorsqu’on l’active.
Est-il disponible pour tous les clients Cloudflare ?
Non. Precursor fait partie de l’Enterprise Bot Management, déployé à partir de juillet 2026, avec une version gratuite jusqu’au lancement général prévu cette année-là.
Source : blog.cloudflare