Cloudflare a déployé hier la détection de bots par session
Le 13 juillet 2026, Cloudflare a lancé Precursor, un moteur de détection comportementale continue de bots qui surveille la session entière, et non seulement le moment où un visiteur arrive. Leur défi Turnstile existant s'exécute environ 3 milliards de fois par jour lors de la connexion, de l'inscription et du paiement. Precursor étend cette même visibilité côté client à toutes les pages intermédiaires.
Le contexte est important. Turnstile posait une question à un moment précis : ce visiteur est-il humain ? Precursor pose la même question en continu, à chaque mouvement de souris, pression de touche, défilement et changement de focus, et intègre la réponse dans un score de bot en temps réel qui suit la session.
C'est un changement plus important que ne le laisse entendre le communiqué de presse.
La session est la nouvelle empreinte digitale
Pendant des années, la détection de bots s'effectuait par interventions ponctuelles. Résolvez le défi, obtenez le cookie, exécutez vos requêtes. Même les contrôles wire-level et header plus récents étaient des événements par requête. Si vous passiez la première sonde, vous étiez généralement tranquille jusqu'à la suivante.
La détection comportementale par session rompt ce modèle. D'après l'article de lancement de Cloudflare : les bots peuvent exécuter du JavaScript, utiliser des environnements de navigateur complets et passer des CAPTCHAs individuels sans éveiller les soupçons. Ce qui reste difficile à reproduire est un comportement humain constant dans le temps.
Ils citent la physique de la saisie humaine comme le mur auquel l'automatisation se heurte. Un mouvement de souris humain est un arc, limité par le pivot du poignet et la rotation de l'avant-bras. Il y a un délai mesurable entre la vue d'une case à cocher et le clic (charge cognitive). Et même une main ferme oscille à une fréquence de tremblement physiologique. Les bots produisent des lignes droites et des courbes de Bézier mathématiquement parfaites. Ils cliquent avec une précision qu'aucun humain n'atteint jamais.
Chacun de ces signaux est faiblement lisible individuellement. Additionnez-les sur une session de cinq minutes, et la divergence devient flagrante.
Pourquoi l'actualisation ne vous sauve plus
L'astuce d'évasion sous la détection par requête était claire : si votre score de bot augmente, actualisez la page, effectuez une rotation de l'identité, recommencez. Precursor ferme cette porte.
Cloudflare est explicite : "La portée de session est importante car elle signifie qu'un bot ne peut pas réinitialiser sa signature comportementale en actualisant la page ou en recommençant avec un nouveau défi." Les sessions suspectes accumulent du contexte. Le score de bot suit le visiteur.
Mais ce changement frappe le plus durement une catégorie intermédiaire spécifique de scrapers. Le modèle entièrement headless avec rotation par requête perdait déjà face aux vérifications standards. Rien de nouveau ici. Les opérateurs véritablement conscients de la session, exécutant une identité de navigateur pour la durée de la visite d'un utilisateur réel, s'en sortent généralement bien. Precursor punit ce qui se trouve entre les deux : les équipes exécutant Puppeteer ou Playwright avec des paramètres par défaut raisonnables, traitant chaque URL comme une tâche indépendante, actualisant entre les crawls pour paraître propres.
Ce style de scraping est bon marché car il est jetable. Precursor rend le jetable coûteux.
Ce que cela signifie pour les scrapers agentiques
Il existe un deuxième groupe que Precursor a clairement été conçu pour attraper: les scrapers d'IA agentiques. Cloudflare le souligne dans le sous-titre: détecter le comportement agentique avec des signaux continus côté client.
Les agents de navigation autonomes (ceux pilotés par un LLM qui planifient une tâche et l'exécutent étape par étape) ont tendance à se déplacer par rafales courtes et décisives. Naviguer, extraire, naviguer, extraire. Prises individuellement, chaque action ressemble à ce qu'un visiteur réel pourrait faire. Mais il n'y a pas de temps de pause, pas de motif de défilement pour lire, pas de petite correction, pas de dépassement sur une cible. Sur l'ensemble d'une session, ces absences sont aussi flagrantes que de faux tremblements de souris.
Donc si vous construisez un agent qui scrape pendant qu'il réfléchit, la taxe physique vient de devenir réelle. Le blog de Cloudflare note que Precursor "augmente le coût d'exploitation de l'automatisation en les obligeant à simuler une session complète. C'est nettement plus difficile à construire, plus coûteux à maintenir et beaucoup moins fiable à opérer à grande échelle."
C'est tout l'objectif de conception. Non pas de rendre l'automatisation impossible, mais de la rendre non rentable.
Ce que cela signifie pour les équipes de données
Trois choses changent, et aucune n'est bon marché.
Premièrement, les budgets de session remplacent les budgets de request. Si vous planifiez la capacité pour une cible protégée par Cloudflare, arrêtez de penser en requêtes par seconde et commencez à penser en sessions par heure: combien de parcours utilisateurs indépendants et d'apparence continue pouvez-vous soutenir, et combien de temps dure chacun d'eux? Les courtes rafales sont la signature exacte que Precursor est réglé pour attraper. La reconsidération des calculs de proxy dont nous avons parlé en mai s'applique ici aussi. La taille du pool n'est pas le plafond, c'est le réalisme de la session.
Deuxièmement, le calcul entre construire et acheter penche davantage vers l'achat. Maintenir un scraper contre un défenseur par requête est une intégration unique et un correctif occasionnel. En maintenir un contre un défenseur axé sur la session implique une R&D comportementale continue: modèles de rythme, trajectoire du curseur, distributions du temps d'attente, et un moyen de maintenir la couverture des tests sur tout cela. Si vous hésitiez à externaliser la collecte de données web, cela rend les chiffres pires pour la construction en interne.
Troisièmement, quiconque déploie Precursor à grande échelle en premier définira la nouvelle référence de détection pour l'industrie. Cloudflare protège environ 20% du web. Si les clients du commerce électronique et de la finance activent Precursor de manière agressive au cours du prochain trimestre, la pile de scraping de tous les autres le ressentira, y compris sur les sites qui n'installent jamais Precursor eux-mêmes, car l'écosystème des défenseurs observe ce qui fonctionne et copie rapidement.
Le changement d'échelle de temps que personne ne nomme
Nous avons écrit sur la transition vers la détection comportementale il y a trois mois. Precursor est la version finalisée de cette tendance, et il réancre la fenêtre de mesure.
La détection de bots s'effectuait autrefois sur la durée d'une seule request. Désormais, elle se produit sur une session qui dure plusieurs minutes, parfois plus. Ce simple changement se répercute sur chaque tactique de scraping conçue lorsque l'unité de détection était un appel unique. La rotation de proxy, le fuzzing de header et la temporisation des requests à la seconde près perdent de leur pertinence si la fonction de perte est la cohérence comportementale sur cinq minutes d'interaction.
La question n'est pas de savoir si la détection de bots continue d'évoluer. C'est une évidence. C'est de savoir si votre stack de collecte de données raisonne encore en requests alors que le défenseur raisonne en sessions.