Que sont les « sneaker bots » ? Comment les détecter et les éviter ?

Scalping Bot management

Le marché des baskets (ou sneakers) est un secteur très lucratif. Et là où il y a de l’argent, les fraudeurs et les bots ne sont jamais loin.

Si vous travaillez pour un détaillant de sneakers ou pour tout site vendant des produits en quantité limitée, vous avez probablement déjà assisté à ce scénario en temps réel : une mise en vente très attendue est lancée, le trafic explose, le stock s’épuise en quelques secondes… et la majeure partie a été accaparée par des bots, et non par de vrais acheteurs. Vos vrais clients se retrouvent les mains vides et frustrés, et expriment leur mécontentement sur les réseaux sociaux. Votre site a peut-être même cessé de fonctionner sous l’effet de cette charge.

C’est là tout le problème des bots spécialisés dans les baskets. Et il devient de plus en plus difficile à résoudre, car ces bots sont de plus en plus intelligents.

Dans cet article, nous allons vous expliquer en détail comment fonctionnent les sneakers bots, pourquoi ils peuvent être difficiles à détecter, et enfin, vous proposer quelques solutions pour vous aider à empêcher le trafic généré par ces bots d’affecter votre site.

Qu’est-ce qu’un sneaker bot ?

Un sneaker bot est un logiciel automatisé conçu pour acheter des sneakers en édition limitée plus rapidement que n’importe quel utilisateur humain.

Lorsqu’une paire de sneakers très convoitée est mise en vente, elle peut être épuisée en quelques secondes. Les sneaker bots exploitent cette fenêtre en automatisant chaque étape du processus d’achat — navigation, ajout au panier, remplissage des formulaires et finalisation du paiement — souvent en moins de temps qu’il n’en faut à un client humain pour charger la page du produit.

Certains utilisateurs de « sneaker bots » sont des collectionneurs qui cherchent à augmenter leurs chances d’obtenir une paire qu’ils souhaitent réellement porter. La plupart, cependant, sont des revendeurs.

Selon StockX, l’un des nombreux sites de revente de baskets, le marché mondial de la revente de sneakers est actuellement évalué à 6 milliards de dollars, près de 30 % des chaussures étant achetées en ligne.

Les chaussures les plus convoitées peuvent atteindre plusieurs milliers de dollars la paire, et ces marges font de l’utilisation de sneaker bots haut de gamme un investissement très rentable.

Comment fonctionnent les sneaker bots ?

Les bots spécialisés dans les baskets prennent différentes formes : véritables navigateurs automatisés, navigateurs « headless » ou extensions de navigateur. Beaucoup ne nécessitent aucune compétence en programmation. Les utilisateurs configurent le bot via une interface simple, en saisissant l’URL du produit, leurs préférences de taille et leurs informations de paiement. Le bot s’occupe du reste.

Le processus d’achat se déroule généralement en trois étapes :

1. Surveillance

Avant une mise en vente, les sneaker bots scrutent en permanence le site web du détaillant à la recherche de nouvelles pages de produits, devinant parfois les références (SKU) pour trouver des annonces avant même leur publication officielle. Certains bots s’intègrent à des communautés en ligne comme Discord ou Telegram pour envoyer des alertes de sortie en temps réel aux utilisateurs.

2. Ajout au panier

Dès qu’un produit est mis en ligne, le bot s’empresse de l’ajouter au panier plus rapidement qu’aucun humain ne pourrait le faire. Pour éviter d’être détectés, les bots sophistiqués utilisent des réseaux de proxys résidentiels, qui alternent entre différentes adresses IP jouissant d’une bonne réputation. Chaque requête semble provenir d’une personne différente, située à un endroit différent.

Les bons sneaker bots contournent également facilement les CAPTCHA. Ils peuvent soit laisser les utilisateurs résoudre eux-mêmes les CAPTCHA via l’interface utilisateur, soit intégrer directement dans le bot l’API d’une ferme de CAPTCHA telle que 2captcha ou deathbycaptcha.

3. Finalisation du paiement

Les sneaker bots remplissent automatiquement les informations de livraison et de paiement en quelques millisecondes. Certains intègrent des applications mobiles qui récupèrent automatiquement les jetons d’authentification 3D Secure, ce qui élimine même ce point de friction. Ce qu’un humain fait en 2 à 3 minutes, un bot le réalise en moins de 5 secondes.

Le marché des sneaker bots : un activité à part entière

Les sneaker bots qui remportent les drops ne sont pas bon marché. Les licences de sneaker bots varient généralement entre 100 $ pour un abonnement à vie et plus de 1 000 $ pour un forfait de six mois. Les bots les plus recherchés sont eux-mêmes vendus en quantités limitées, ce qui signifie que les licences d’occasion pour les meilleurs bots se négocient régulièrement à plus de 1 000 $.

Les développeurs de bots limitent la distribution de leurs sneaker bots afin d’optimiser leur efficacité. Pour les utilisateurs, un nombre réduit de licences de bots disponibles signifie :

moins de sneaker bots partageant la même empreinte numérique ou le même comportement, ce qui réduit le risque qu’ils soient détectés ;
moins de bots en concurrence pour les mêmes sneakers en édition limitée, ce qui augmente automatiquement les chances de l’utilisateur de réussir à les acheter.

Les développeurs de bots vendent également des modules complémentaires : des abonnements à des proxys résidentiels, des « cook groups » privés sur Discord ou Slack où les membres partagent les horaires de mise en vente, les URL des produits et des astuces pour éviter la détection. Il s’agit d’un écosystème professionnalisé et doté de ressources importantes.

« Le véritable business ne réside pas dans la revente de baskets, mais dans la vente de bots. »

Damien Cano

Président de Kool Gang

Lire le témoignage

Pourquoi les sneaker bots sont-ils difficiles à détecter ?

Les bots de baskets comptent parmi les bots les plus sophistiqués. Leurs développeurs savent exactement comment fonctionne la détection des bots, et ils conçoivent leurs bots en tenant compte de cela.

Les opérateurs de sneaker bots utilisent les tactiques suivantes pour éviter la détection :

Fausses empreintes digitales de navigateur

Les meilleurs sneaker bots usurpent avec précision les empreintes de navigateur et HTTP. Ils suppriment les indicateurs `navigator.webdriver`, créent de faux agents utilisateurs réalistes et maintiennent des ensembles de fonctionnalités de navigateur cohérents en interne, qui semblent impossibles à distinguer du trafic légitime de Chrome ou de Safari.

Simulation du comportement humain

Les bots modernes ne se précipitent pas toujours pour finaliser leur commande en un temps record ; ils doivent simplement être plus rapides que les acheteurs humains. Pour éviter de déclencher la détection comportementale, ils simulent les mouvements de souris, les événements clavier et des schémas de navigation réalistes.

Proys résidentiels

Les meilleurs opérateurs de bots spécialisés dans les sneakers n’utilisent pas d’adresses IP de centres de données. Ils ont recours à des proxys résidentiels jouissant d’une réputation irréprochable et d’un historique de longue date. Chaque requête provient d’une adresse différente, à un volume normal. Il n’y a donc pas de pic de trafic provenant d’une seule adresse IP susceptible d’attirer l’attention.

Faible volume de requêtes par adresse IP

Contrairement aux scrapers ou aux « credential stuffers », les sneaker bots ne bombardent pas votre site à partir d’une seule source. Chaque proxy gère un volume de requêtes faible et réaliste, ce qui rend la détection basée sur le volume pratiquement inefficace.

Contournement des CAPTCHA

Les bots sophistiqués confient la résolution des CAPTCHA à des services tels que 2captcha, ou font résoudre les défis par des utilisateurs en temps réel via l’interface du bot. Certains opérateurs disposent de comptes Google anciens jouissant d’une excellente réputation afin de recevoir des défis plus simples.

Pourquoi les stratégies de protection courantes échouent face aux « sneaker bots »

Blocage d’IP et limitation de débit

La limitation de débit part du principe qu’un bot envoie de nombreuses requêtes depuis une seule adresse IP. Ce n’est pas le cas des sneaker bots. Ils répartissent les requêtes sur des réseaux de proxys résidentiels, de sorte que chaque adresse IP envoie une ou deux requêtes à un volume tout à fait normal. Il n’y a donc pas de pic à signaler, ni de groupe à bloquer. La limitation de débit est utile contre les robots d’indexation peu sophistiqués. Face à une opération de sneaker bots disposant de ressources importantes, elle n’a pratiquement aucun effet.

Les CAPTCHA

Un CAPTCHA n’est qu’un ralentisseur, pas un mur. Les services commerciaux de résolution de CAPTCHA peuvent venir à bout des défis standard en moins de 10 secondes pour moins d’un dollar aux mille résolutions. Les bots plus avancés les contournent complètement, en utilisant l’IA ou en redirigeant le défi vers un résolveur humain via leur propre interface.

Les CAPTCHA créent des frictions. Ils n’arrêtent pas les bots qui sont préparés à ces frictions.

Salles d’attente virtuelles

Ce point mérite qu’on s’y attarde davantage, car de nombreux détaillants se contentent d’ajouter une file d’attente et considèrent que le problème est résolu. Ce n’est pas le cas.

Les salles d’attente virtuelles traditionnelles ont été conçues pour absorber les pics de trafic et éviter la surcharge des serveurs, pas pour détecter les bots. Elles prennent une seule décision de confiance : passer un contrôle d’entrée, obtenir un jeton de session, rejoindre la file d’attente. Ce jeton bénéficie d’une confiance totale pour le reste de la session. Il n’existe aucun mécanisme permettant de le réexaminer.

Les bots sophistiqués spécialisés dans les baskets le savent. Ils procèdent à une ingénierie inverse des signaux d’entrée : mouvements de souris, variations de timing, empreintes du navigateur, puis les reproduisent à l’identique pendant la fenêtre d’évaluation de 3 à 5 secondes. Une fois à l’intérieur, ils sont invisibles. Pas de pics de vitesse, pas d’en-têtes suspects, rien à signaler.

Puis, le stock s’épuise. En quelques millisecondes, le bot passe en mode entièrement automatisé : ajout au panier, remplissage de formulaire, paiement. C’est terminé. Comme l’ensemble du processus se déroule à l’intérieur du périmètre de sécurité, les systèmes de contrôle d’accès ne le détectent jamais.

Comment DataDome bloque-t-il les sneaker bots ?

Le logiciel de lutte contre les bots de DataDome propose plusieurs solutions pour bloquer les sneaker bots :

Bot Protect : bloquer les bots à la périphérie

DataDome Bot Protect analyse 100 % des requêtes adressées à votre site à l’aide de milliers de modèles d’IA, en combinant des signaux côté serveur et côté client. Il évalue en temps réel les empreintes de navigateur, les schémas comportementaux, la réputation des adresses IP et la structure des requêtes, bloquant ainsi les bots dès la première requête avec une latence inférieure à 2 ms.

DataDome traite quotidiennement 5 000 milliards de signaux à travers plus de 85 000 modèles d’IA.

Priority Protect : la seule salle d’attente virtuelle qui détecte les intentions et empêche les bots d’entrer

Pour les e-commerçants cherchant à gérer le trafic lors des pics de demande, DataDome Priority Protect est l’outil idéal. Il s’agit d’une salle d’attente virtuelle s’appuyant sur le moteur Bot Protect de DataDome pour préserver la qualité de vos files d’attente.

La différence fondamentale par rapport à toutes les autres salles d’attente virtuelles du marché : elle ne cesse pas d’évaluer le trafic après le point de contrôle d’entrée. Chaque requête est analysée tout au long de la session.

Si un bot inactif entre sans problème et s’active en cours de session lorsque le stock est mis en vente, Priority Protect détecte ce changement de comportement et supprime instantanément la session.

« Les pics de trafic doivent générer du chiffre d’affaires, pas des pannes. Une salle d’attente virtuelle incapable de distinguer un client humain d’un bot ou d’un agent d’IA non autorisé ne peut en aucun cas garantir l’équité. »

Pradheep Sampath

Chief Product Officer chez DataDome

Priority Protect facilite également le commerce assisté par agents en permettant aux entreprises de définir quels agents d’IA sont autorisés à rejoindre la file d’attente, dans quelles conditions et avec quels droits d’accès. Les agents d’IA autorisés à effectuer des achats sont admis ; ceux non autorisés sont bloqués, tout comme les bots malveillants.

Vous souhaitez savoir si votre site web est vulnérable aux sneaker bots ? Testez vos défenses grâce à notre scan de vulnérabilité gratuit ou réservez une démonstration pour en savoir plus sur DataDome.

Christine Falokun

Product Marketing Manager

Christine D. Falokun est une spécialiste accomplie du marketing produit chez DataDome, forte d'une expérience dans la mise sur le marché de nouveaux produits, depuis les phases initiales de planification et de développement jusqu'à leur exécution et leur livraison. Passionnée par la création de récits captivants et douée pour traduire des concepts techniques complexes en messages clairs et attrayants, elle joue un rôle essentiel dans le succès des produits DataDome.