DataDome

« Sneaker bots » : Comment les détecter et les gérer

Table des matières
Scalping Bot management
Christine Falokun, Product Marketing Manager
1 Jan, 2022
|
min

Le marché des chaussures de basket est particulièrement florissant. Et qui dit succès, dit bots malveillants.

Si vous travaillez pour un chausseur détaillant, il est probable que les « sneaker bots » n’ont déjà plus aucun secret pour vous : ils inondent votre site Web de trafic indésirable et raflent votre marchandise, contrariant les acheteurs qui n’ont aucune chance de les devancer, nuisant d’une manière générale à l’expérience d’achat de vos fidèles clients.

Malheureusement, le marché de ces robots est lui aussi florissant. Du fait de son attractivité, le marché de revente de sneakers a stimulé le développement de certains bots qui font partie des plus avancés technologiquement, et qui incorporent souvent des stratagèmes très élaborés pour déjouer les systèmes de détection.

Comme leur nom l’indique, les « sneaker bots » ciblent principalement les chaussures. Pour autant, d’autres robots logiciels du même acabit peuvent causer des dégâts similaires dans n’importe quel secteur d’activité où une demande de marchandises en quantité limitée est supérieure à l’offre.

Voyons d’un peu plus près comment fonctionnent ces bots, ainsi que les mesures de neutralisation définitives que peuvent mettre en place les détaillants attachés à la qualité de l’expérience client. Voici ce que nous allons couvrir :

Mais tout d’abord, jetons un coup d’œil à un vrai lancement de basket sur le site web d’un client de DataDome.

Cas typique : lancement d’un Adidas Yeezy

De par leur nature, les sorties de sneakers en édition limitée sont des événements très perturbateurs en termes de trafic Web : lorsqu’une basket convoitée est mise en vente, le trafic croît considérablement pendant une période très courte, au cours de laquelle les bots et les acheteurs se bousculent pour consulter en priorité les articles convoités.

Le graphique ci-dessous montre l’évolution du nombre de requêtes au fil du temps (ensemble du trafic et trafic de bots malveillants) lors de la sortie de l’Adidas Yeezy, une sneaker en édition limitée, sur le site web de l’un de nos clients. (Le nombre de requêtes, ainsi que les horodatages, ont été supprimés afin de préserver l’anonymat du client.)

bot requests

Figure 1 : L’ouverture de la vente d’une Adidas Yeezy sur le site web d’un client de DataDome. Chaque colonne de la grille représente une période de 30 minutes, et les données sont agrégées par minute.

Le brusque pic de trafic a lieu juste avant l’ouverture de la vente. Une fois que toutes les baskets Yeezy ont été vendues, le trafic revient plus ou moins à la normale.

Même si l’infrastructure d’un détaillant professionnel est apte à encaisser les pics prévisibles, le triplement du volume de trafic légitime ajoute une charge supplémentaire qu’il est le plus souvent souhaitable d’éviter. Sur ce site particulier, tout ce trafic supplémentaire n’a jamais atteint les serveurs, car DataDome bloque les robots indésirables dès la première requête.

Plus important encore, comme les robots ont été empêchés de procéder à l’achat, les vrais clients du site ont pu rivaliser à armes égales pour obtenir les baskets les plus attrayantes.

Qu’est-ce qu’un sneaker bot ?

Le but d’un sneaker bot est d’automatiser l’achat de baskets en édition limitée. Ce type de programme, du fait de sa rapidité intrinsèque, désavantage inéquitablement les acheteurs humains. Dès qu’un nouveau modèle de basket désirable est mis en vente, son stock peut se retrouver épuisé en l’espace de quelques minutes, voire de quelques secondes. Parvenir à en dénicher une paire devient alors pratiquement impossible sans faire soi-même usage de bots.

Certains utilisateurs de bots sont des simples « sneakerheads », c’est-à-dire des passionnés de baskets qui mettent les meilleures chances de leur côté pour compléter leur collection avec une paire de leur modèle préféré.

Un « sneakerhead » est une personne qui collectionne, commercialise ou se passionne pour les baskets à titre récréatif. Ce terme peut également désigner un amateur très expérimenté capable de différencier les baskets authentiques de leurs répliques
Wikipédia

Cependant, dans la plupart des cas, les sneaker bots sont impliqués dans des opérations à plus grande échelle, où les utilisateurs profitent de leur rapidité pour acquérir un maximum de sneakers en édition limitée en un minimum de temps, dans le but de les revendre avec une plus-value.

Rien de bien folichon, diront peut-être les non-initiés ; et pourtant, le marché de la revente de baskets est incroyablement dynamique. Pour preuve, le prix des modèles les plus convoités peut atteindre plusieurs milliers de dollars, ce qui représente une sacrée marge pour le revendeur.

D’après StockX, l’un des nombreux sites de vente de baskets en ligne professionnalisés, le marché mondial de revente de baskets est évalué à quelque 6 milliards de dollars. La quête du Saint Graal de la chaussure donne lieu à une compétition acharnée et pour qui souhaite prendre part à ce jeu, les robots logiciels sont des alliés incontournables.

Comment fonctionnent les sneaker bots ?

Ces robots peuvent prendre différentes formes, qu’il s’agisse de véritables navigateurs automatisés, de navigateurs sans en-tête ou d’extensions de navigateur.

Bon nombre de sneaker bots ne requièrent aucune compétence dans le domaine du codage. Les utilisateurs interagissent simplement avec le bot via une interface, dans laquelle ils spécifient des paramètres tels que l’adresse URL du produit qu’ils souhaitent acheter, la pointure souhaitée, ainsi que les modes de paiement employés lors de l’achat (numéros de carte de crédit, identifiants PayPal ou autre).

Certaines offres logicielles s’intègrent avec Discord ou Telegram, de sorte que les utilisateurs reçoivent des notifications au moment où une vente est imminente.

Lorsque des sneaker bots sont bien conçus, ils contournent facilement les Captchas. Pour cela, ils peuvent soit autoriser les utilisateurs à résoudre eux-mêmes les Captchas via l’interface utilisateur, soit incorporer directement l’API d’une ferme de Captchas telle que 2captcha ou deathbycaptcha dans le bot lui-même.

 

Utilisateur du bot CyberAIO résolvant des Captchas en vue de l’achat de baskets Air Jordan 5 Fire Red

Les sneaker bots sachant exactement où cliquer et comment remplir automatiquement les formulaires d’expédition et de paiement avec les informations saisies à l’avance par l’utilisateur, ils peuvent parcourir le processus de paiement beaucoup plus vite que ne le ferait raisonnablement n’importe quel humain.

Les bots peuvent également être adossés à une application mobile qui extrait automatiquement le jeton 3DSecure du téléphone de l’utilisateur au moment de la validation, afin d’accélérer encore le processus.

Le marché des sneaker bots : une industrie lucrative

À l’instar des baskets les plus tendance, les meilleurs sneaker bots sont eux aussi extrêmement prisés. Le marché est donc devenu peu à peu une industrie florissante en soi.

La valeur marchande de la plupart des sneaker bots va de 100 dollars pour un abonnement illimité à environ 1 000 dollars pour une durée de validité de 6 mois. La structure tarifaire inclut généralement le prix d’une licence initiale, puis une cotisation d’abonnement mensuelle.

Et tout comme les baskets les plus recherchées, les meilleurs sneaker bots se commercialisent eux aussi en édition limitée. Comme il est devenu difficile de se les procurer directement auprès de l’éditeur, un marché de l’occasion est né et est en pleine effervescence. Pour l’un des bots les plus populaires, le prix d’achat d’une licence franchit ainsi allègrement le seuil des 1 000 USD.

La raison pour laquelle les développeurs restreignent la diffusion de leurs sneaker bots est liée à un souci d’optimisation de leur efficacité. Du point de vue des utilisateurs, la disponibilité limitée de sneaker bots implique :

  • Moins de sneaker bots partageant la même empreinte ou le même comportement, d’où un moindre risque d’être détectés.
  • Moins de bots à concurrencer pour l’achat de baskets en édition limitée, d’où une augmentation automatique des chances de les remporter.
Achat réussi d’une paire de baskets. Quelle que soit la méthode employée, le « copping » représente l’objectif ultime de tout « sneakerhead » impliqué dans cette activité, ce qui est notamment le cas pour les baskets en édition limitée
Theshitbot

Au lieu de chercher à proposer le plus grand nombre possible de licences, les développeurs de sneaker bots augmentent leur chiffre d’affaires en proposant des achats supplémentaires. Souvent, ils commercialisent toute une gamme de produits et services qui visent à maximiser les chances de succès des utilisateurs.

À titre d’exemple, les bots sont souvent inclus dans des offres combinant des services de location de proxys pour centres de données ou de proxys résidentiels, afin de réduire les risques de détection et de blocage.

Un autre complément fréquent est l’adhésion à un « cook group » privé.

Un cook group est un forum de discussion hébergé sur Discord ou sur Slack, au sein duquel des sneakerheads d’élite, revendeurs, fans de baskets et autres collectionneurs se rejoignent pour discuter de leurs chaussures préférées et des prochaines sorties, surveiller les lancements de produits, comparer les bots, etc.
Aiobot.com

Ces groupes ont pour but de partager des informations confidentielles qui aideront leurs membres à acheter des baskets :

  • Le calendrier des prochains lancements (ou « drops ») de produits
  • Les adresses URL de chaussures particulières
  • Les proxys compatibles avec un site donné
  • Des conseils pour éviter de se faire intercepter

La difficulté de détecter les sneaker bots

Comme nous l’avons mentionné en introduction, les meilleurs sneaker bots font partie des robots les plus perfectionnés que nous ayons eu à observer. Leur détection est par conséquent une tâche complexe.

Les développeurs de sneaker bots sont au fait des principaux mécanismes de détection des bots et s’ingénient à les contourner par tous les moyens. Les sneaker bots les plus sophistiqués appliquent donc des leurres sophistiqués à leurs navigateurs et empreintes HTTP :

Fausses empreintes digitales de navigateur : fonctionnalités de navigateur cohérentes, argent utilisateur forgé, suppression du pilote Web du navigateur, etc.

Simulation du comportement humain : Pour imiter le comportement humain, les sneaker bots ne cherchent pas toujours à acheter des baskets en un minimum de temps — ils doivent juste être un peu plus rapides que la concurrence. Ils essaient plutôt de singer de façon réaliste les mouvements de la souris ou les événements déclenchés sur l’écran tactile. Ils peuvent aussi simuler des frappes de touches semblables à celles d’un utilisateur humain.

Adresses IP résidentielles : Alors que les sneaker bots les moins évolués utilisent des proxys de centre de données, certains programmes parmi les plus avancés transitent par des proxys résidentiels. De fait, pourquoi chercher à réaliser des économies sur les proxys si l’on a déjà investi une somme importante dans un sneaker bot de top niveau ? Étant donné que ces proxys sont plus coûteux que ceux des centres de données, ils ont généralement une meilleure réputation, ce qui rend les bots encore plus difficilement détectables.

Un faible volume de requêtes par adresse IP : Une conséquence directe du point qui précède est le volume de requêtes par adresse IP. En effet, contrairement aux scrapers ou aux robots qui lancent des attaques de credential stuffing, les sneaker bots n’ont pas besoin de générer un volume élevé de requêtes. En outre, les utilisateurs peuvent paralléliser le sneaker bot en utilisant différentes instances de navigateur rattachées à plusieurs proxys résidentiels. Ainsi, chaque adresse IP utilisée par le bot affichera un volume de requêtes normal.

Contournement des Captchas : Enfin, comme nous l’avons vu, les sneaker bots efficaces sont capables de contourner aisément les Captchas. Sur certains forums, il est recommandé aux utilisateurs de bots de posséder plusieurs comptes Google contenant un historique étoffé et une réputation irréprochable. Ainsi, si Google fait confiance au compte, le Captcha présenté sera plus simple et plus rapide à résoudre.

Comment DataDome détecte et bloque les sneaker bots évolués

La solution de protection anti-robots de DataDome a été conçu pour gérer tous les types de trafic de bot, y compris les situations extrêmes que représentent les sneaker bots.

Nous analysons 100 % des requêtes adressées aux serveurs Web de nos clients et utilisons les données relatives aux événements côté serveur et côté client pour distinguer les utilisateurs humains des robots logiciels les plus sophistiqués.

Pour détecter les sneaker bots évolués, nous faisons appel à une combinaison de différentes approches :

  • Détection d’empreintes : notre moteur JavaScript collecte les signaux afin de détecter les bots évolués, y compris les instances lourdement modifiées de Puppeteer, Chrome sans en-tête ou Selenium (y compris en provenance de bibliothèques qui prétendent contourner les systèmes de détection de bots).

  • Analyse avancée de la réputation IP : DataDome analyse chaque requête unique adressée à des milliers de sites Web à travers le monde. Grâce à ce pool de données recueillies en temps réel, nous pouvons identifier des millions d’adresses IP utilisées par les bots de proxy, à la fois dans les centres de données et sur les proxys résidentiels.

  • Détection comportementale reposant sur l’apprentissage automatique : nous utilisons le machine learning pour déterminer si le comportement provient d’un humain ou d’un bot. Les signaux incluent les événements côté client et la forme du trafic, entre autres paramètres.

Dès qu’un sneaker bot a été détecté, nous pouvons l’intercepter ou le bloquer pendant toute la durée de la vente.

Par ailleurs, notre base de connaissances comprend des modèles typiques des sneaker bots en particulier. Si votre site web est ciblé par des sneaker bots, vous pouvez activer un algorithme de détection sur mesure (avec des modèles d’apprentissage automatique optimisés pour la détection des sneaker bots) à la demande.

DataDome a été conçu pour fonctionner sur pilote automatique et ne nécessite aucune intervention de votre équipe, mais si vous le souhaitez, vous pouvez facilement ajouter vos propres règles personnalisées et ajuster la logique de détection via le tableau de bord. Par exemple, lorsque vous créez une URL pour une nouvelle chaussure, vous pouvez rendre l’accès à cette URL plus difficile en bloquant les visiteurs de certains pays, en bloquant les IP des centres de données, en forçant l’exécution de JavaScript, etc.

Intéressé ? Commencez votre essai gratuit de 30 jours dès aujourd’hui, ou demandez une démonstration.

DataDome
Christine Falokun
Product Marketing Manager
Christine D. Falokun est une spécialiste accomplie du marketing produit chez DataDome, forte d'une expérience dans la mise sur le marché de nouveaux produits, depuis les phases initiales de planification et de développement jusqu'à leur exécution et leur livraison. Passionnée par la création de récits captivants et douée pour traduire des concepts techniques complexes en messages clairs et attrayants, elle joue un rôle essentiel dans le succès des produits DataDome.

Articles liés