Ce qu'il faut retenir.
- Cloudflare a annoncé Precursor, une fonctionnalité de détection de bots qui analyse le comportement sur l'ensemble d'une session de navigation plutôt qu'à chaque requête prise isolément.
- L'objectif affiché est de mieux repérer les bots qui imitent un comportement humain sur plusieurs requêtes successives, en particulier les crawlers d'entraînement IA qui changent régulièrement d'identité technique.
- Cette approche s'ajoute aux couches de protection existantes chez Cloudflare (Bot Management, Super Bot Fight Mode, Turnstile, empreinte JA4) plutôt qu'elle ne les remplace.
Résumé généré par IA
Le 15 juillet 2026, Cloudflare a fait connaître Precursor, une nouvelle fonctionnalité de détection de bots qui change d'échelle d'analyse. Au lieu de juger chaque requête HTTP indépendamment, le système évalue le comportement sur l'ensemble d'une session de navigation. L'information, relayée par AlternativeTo, arrive alors que les éditeurs de sites font face à une pression croissante des robots d'indexation liés à l'intelligence artificielle générative.
Précision importante avant d'aller plus loin : la source primaire de cette information n'était plus accessible au moment de la rédaction de cet article. Nous restons donc prudents sur les détails précis d'implémentation de Precursor (algorithmes exacts, métriques de détection, chiffres de performance) et nous concentrons ce décryptage sur ce que cette évolution signifie concrètement pour les propriétaires de sites, en nous appuyant sur l'architecture connue des outils de bot management de Cloudflare.
Rappel : comment la détection de bots fonctionnait jusqu'ici
Historiquement, les pare-feux applicatifs et les solutions de bot management analysent chaque requête HTTP de façon isolée. Ils s'appuient sur un faisceau de signaux : réputation de l'adresse IP, cohérence du User-Agent, empreinte TLS (JA3, puis JA4 plus récemment), comportement au niveau du protocole, présence ou absence de cookies, résultat d'un défi Turnstile. Cloudflare propose déjà cette approche dans ses offres Bot Management et Super Bot Fight Mode, accessibles depuis l'onglet Sécurité du tableau de bord.
La limite de ce modèle est connue : un bot suffisamment sophistiqué peut faire tourner ses adresses IP, varier son User-Agent et reproduire une empreinte TLS plausible, requête après requête. Pris isolément, chaque appel HTTP semble alors légitime. C'est précisément la stratégie qu'adoptent de plus en plus de crawlers liés aux modèles de langage : multiplier les identités apparentes pour rester sous le radar d'une détection au coup par coup.
Ce que change une détection à l'échelle de la session
Le principe d'une détection « à la session » est de corréler plusieurs requêtes entre elles pour reconstituer un parcours et en évaluer la cohérence globale, plutôt que de juger chaque appel HTTP en vase clos. Concrètement, ce type d'approche s'appuie typiquement sur :
- La séquence de navigation. Un visiteur humain suit rarement un chemin parfaitement linéaire ou parfaitement rapide d'une page à l'autre ; un scraper automatisé, si.
- Le timing entre les requêtes. Des intervalles trop réguliers ou trop courts entre deux appels trahissent un script, même si chaque requête individuelle semble propre.
- La persistance de signaux faibles. Une empreinte qui varie légèrement mais reste corrélable d'une requête à l'autre au sein d'une même session permet de relier des appels qu'un filtre par requête traiterait comme indépendants.
Ce changement de focale, de la requête vers la session, est cohérent avec la trajectoire déjà engagée par Cloudflare sur le sujet des bots IA : le déploiement d'AI Labyrinth pour piéger les crawlers non déclarés, la mise en place d'un contrôle de type « pay per crawl » pour monétiser l'accès au contenu, ou encore le blocage par défaut des robots d'entraînement IA pour les nouveaux domaines. Precursor s'inscrit dans cette continuité, comme une couche d'analyse supplémentaire plutôt qu'un remplacement des dispositifs existants.
Pourquoi maintenant : la pression du scraping IA
Depuis quelques années, les éditeurs de sites constatent une hausse du trafic issu de crawlers liés à l'intelligence artificielle générative : GPTBot d'OpenAI, ClaudeBot d'Anthropic, PerplexityBot, ou encore des agents moins transparents qui n'annoncent pas toujours leur identité dans le User-Agent. Contrairement aux robots d'indexation classiques comme Googlebot ou Bingbot, ces crawlers ne redirigent pas systématiquement du trafic vers le site source : le contenu est aspiré pour entraîner ou alimenter un modèle, sans contrepartie directe en visibilité.
Pour une agence ou un webmaster, la question n'est donc plus seulement « comment bloquer un bot malveillant », mais « comment distinguer un bot légitime (moteur de recherche, agrégateur autorisé) d'un bot qui consomme la bande passante et le contenu sans apporter de valeur ». Une détection au niveau de la session, si elle tient ses promesses, offre un signal plus robuste pour opérer ce tri, en particulier face à des bots qui changent régulièrement d'identité technique.
Ce que vous pouvez faire dès maintenant
En attendant la documentation technique complète de Precursor, plusieurs actions restent pertinentes pour tout site hébergé derrière Cloudflare :
- Vérifiez votre configuration Bot Management. Dans le tableau de bord, section Sécurité puis Bots, assurez-vous que le score de bot est bien exploité dans vos règles de pare-feu (WAF), et pas seulement affiché en lecture seule dans les journaux.
- Auditez votre fichier robots.txt. Précisez explicitement les crawlers IA que vous autorisez ou refusez ; ce fichier reste la première ligne de déclaration d'intention, même si son respect dépend de la bonne foi du robot.
- Surveillez vos journaux d'accès sur des fenêtres de session, pas seulement requête par requête. Un volume de requêtes légitimes en apparence, mais concentré sur un intervalle de temps anormalement régulier, est souvent le signe d'un scraping automatisé, avec ou sans Precursor.
- Tenez à jour vos règles WAF personnalisées. Les signatures de User-Agent évoluent vite : une règle laissée sans révision depuis longtemps laisse déjà passer une partie du trafic non désiré.
Notre lecture chez CZSyn
Ce que nous retenons de cette annonce, au-delà de son nom de code, c'est la confirmation d'une tendance de fond : la détection de bots par la seule requête atteint ses limites face à des agents automatisés de plus en plus capables d'imiter un trafic humain, requête après requête. Le passage à une analyse de session est une évolution logique, et elle rejoint ce que nous recommandons déjà à nos clients PME : ne pas se reposer sur un seul dispositif de protection, mais empiler plusieurs signaux (réputation IP, comportement, score de bot, règles métier) pour limiter les angles morts.
Pour une agence comme la nôtre, qui gère l'hébergement et la sécurité de sites clients, ce type d'évolution côté Cloudflare ne se substitue pas à un travail de configuration sur mesure. Un score de session, aussi fin soit-il, ne remplace pas une politique claire sur qui a le droit d'accéder à votre contenu et à quelles conditions. Nous conseillons à nos clients de traiter cette annonce comme un signal à surveiller de près, avec des tests progressifs en mode observation avant tout blocage automatique en production.
Votre site est-il correctement protégé contre le scraping automatisé ?
CZSyn audite gratuitement votre configuration de sécurité et de protection anti-bots, et vous accompagne dans le déploiement de règles WAF sur mesure. Audit gratuit sous 24h.
06 64 81 45 03ou programmez votre appel · devis gratuit en ligne
29 avis 5/5 · +200 projets livrés · réponse express
Sources primaires
- AlternativeTo, « Cloudflare launches Precursor for session-based bot detection », juillet 2026.
- Cloudflare, documentation officielle « Bot Management ».
- Blog officiel Cloudflare, blog.cloudflare.com.
