Arrêtez les scalper bots et évitez la revente illégale de billets sur votre site

Bot management Scalping

Qu’est-ce qu’un scalper bot ?

Un scalper bot est un programme automatisé conçu pour effectuer du scalping, c’est-à-dire l’achat de biens en édition limitée (comme de la billetterie ou des produits rares) dans le but de les revendre à un prix beaucoup plus élevé. Grâce à leur rapidité, ces bots peuvent finaliser le processus d’achat en quelques secondes, bien plus rapidement qu’un utilisateur humain, leur permettant d’acquérir des milliers d’articles dès qu’ils sont disponibles. Ces articles sont ensuite revendus à des prix largement plus élevés, en raison de leur indisponibilité chez le vendeur d’origine.

Pourquoi faut-il arrêter les scalper bots ?

Pour de nombreuses entreprises de commerce en ligne, les scalper bots peuvent sembler un problème distant. Si ces robots font du lancement de vos produits les plus populaires un cauchemar pour les services informatiques, les services de sécurité et le service clientèle de votre entreprise, vous n’êtes pas le seul !

Tout détaillant qui vend des produits en édition limitée en ligne sera confronté aux scalpers bots, également appelés « grinch bots », « shopping bots » ou « bots d’achat ». Capables d’acheter l’intégralité des stocks en seulement quelques secondes, ces bots créent une véritable frustration (et de nombreuses plaintes) chez les acheteurs légitimes, qui n’ont aucune chance de rivaliser lors du processus de paiement.

En plus de frustrer vos clients, le trafic généré par les scalpers bots consomme une grande partie de la bande passante, augmente vos coûts d’infrastructure et occupe inutilement vos équipes informatiques, qui se retrouvent à éteindre des incendies au lieu de se concentrer sur des tâches à forte valeur ajoutée. Si vous voulez savoir comment arrêter ces bots et retrouver du temps ainsi que de la sérénité, lisez la suite.

Ce qu’il faut savoir sur les scalpers bots

Les scalpers bots achètent en masse des produits de valeur avant que les clients légitimes ne puissent y accéder, puis revendent ces articles convoités à profit sur des plateformes comme eBay. Le OWASP Automated Threat Handbook for Web Applications définit le scalping (OAT-005) comme une menace visant à « obtenir des biens ou services à disponibilité limitée et/ou privilégiée par des méthodes déloyales ».

Le ticket scalping, réalisé à l’aide de ticket bots, est un problème récurrent depuis de nombreuses années. Ce fléau a récemment été illustré par le cas des billets d’Oasis massivement accaparés par des bots, suscitant l’indignation des fans.Cependant, les scalpers bots deviennent de plus en plus courants dans d’autres secteurs. Par exemple, lors de la sortie de la PlayStation 5 en novembre 2020, les stocks ont été épuisés en quelques secondes sur la plupart des sites de vente. Le trafic massif a même provoqué la panne du site de Walmart, au grand désarroi des clients réguliers.

Quelques semaines auparavant, Nvidia avait lancé sa carte graphique GeForce RTX 3080 avec des résultats similaires. Nvidia a admis que leur boutique en ligne avait été « submergée par des bots malveillants et des revendeurs ».

Pendant les ventes du Black Friday et les promotions de fin d’année, la plupart des sites de commerce en ligne subissent une hausse du trafic causée par les scalpers bots. Cependant, le scalping est un problème sérieux tout au long de l’année.

Les scalpers bots sont-ils illégaux ?

La réponse est complexe. Les scalpers bots se situent dans une zone grise législative. Bien qu’ils ne soient pas illégaux en eux-mêmes, l’usage que la plupart des opérateurs en font peut franchir la ligne de l’illégalité.

Actuellement, peu de législations protègent les entreprises contre les scalpers bots. Aux États-Unis, la loi Better Online Ticket Sales Act (BOTS) de 2016 a interdit la revente de billets achetés à l’aide de technologies de bots. Le projet de loi Stopping Grinch Bots Act a été introduit en 2021 et de nouveau proposé en 2023, mais n’a pas encore été adopté.

Toutefois, l’absence de législation ne signifie pas que vous devez (ou pouvez vous permettre de) laisser les scalpers bots ruiner vos ventes pour les clients. Poursuivez votre lecture pour découvrir comment les stopper.

5 types de bots scalpers

Bien que les bots scalpers puissent être programmés différemment, ils se classent généralement en quelques catégories distinctes. Voici les plus courantes :

Bots de surveillance : ces bots scannent constamment les sites web pour détecter les nouvelles sorties ou les réapprovisionnements, puis alertent leurs opérateurs ou transmettent les informations à d’autres scalpers bots pour une action immédiate.
Bots de création de comptes : ils automatisent le processus de création de comptes, souvent par centaines ou milliers chaque jour. Ces bots sont utilisés sur des sites qui limitent la quantité de produits en édition limitée qu’un utilisateur peut acheter.
Bots semi-automatisés : ces bots n’automatisent pas entièrement l’achat. Par exemple, ils peuvent repérer les nouvelles sorties et ajouter des articles au panier, mais ne finaliseront pas automatiquement le paiement, laissant à l’utilisateur humain le soin de compléter l’achat.
Bots spécialisés : comme les célèbres sneaker bots, ces scalpers automatisent entièrement la détection et l’achat d’articles convoités. Parfois, ils annoncent immédiatement les produits scalpés sur le marché secondaire pour réaliser des profits rapides.
Bots en tant que service (BaaS) : les bots en tant que service peuvent être loués par n’importe quel utilisateur, même sans compétences techniques. Les utilisateurs ne paient que lorsque le bot contourne avec succès les mesures de sécurité du site ciblé, ce qui incite les créateurs à développer des bots de plus en plus sophistiqués.

Comment fonctionnent les scalpers bots ?

Les scalpers utilisent des logiciels automatisés pour se positionner en tête de file et acheter des articles très convoités en quelques secondes après leur mise en vente. Pour toujours être les premiers à acheter des produits avant les acheteurs humains, les scalpers bots doivent accomplir trois tâches essentielles.

1. Surveiller les sites web cibles

Également appelée « drop checking » ou « spinning », cette surveillance consiste à vérifier constamment et automatiquement les sites web des détaillants, les applications, et même les flux Twitter, pour détecter les lancements de produits ou accéder à des liens de pré-commande.

Sur un site e-commerce, cela peut se traduire par un suivi en continu des pages produits pour repérer le moment où elles passent de « En rupture de stock » à « Ajouter au panier ». Cela peut également inclure l’identification de pages pas encore publiées. Certains bots devinent même les références SKU des nouveaux produits pour être les premiers à trouver les pages lorsqu’elles sont mises en ligne.

De nombreux développeurs de scalpers bots louent leurs logiciels à d’autres utilisateurs et gèrent des communautés en ligne, appelées « cook groups », sur Discord et d’autres plateformes similaires. Les utilisateurs paient un abonnement mensuel pour recevoir des astuces et des informations, souvent accompagnées de notifications instantanées dès qu’un produit populaire devient disponible.

La surveillance continue des bots scalpers sur votre site peut générer un trafic considérable, réduisant ainsi la vitesse et les performances de votre site web.

2. Ajouter au panier

C’est ici que se joue l’essentiel de la bataille : être le premier à ajouter l’article convoité au panier.

Pour effectuer plusieurs achats sans être détectés ni bloqués, les scalpers doivent souvent contourner divers contrôles de sécurité et d’accès, comme les limites de stock, les CAPTCHA, et d’autres mécanismes. Ils s’appuient généralement sur des réseaux proxy, de sorte que chaque nouvelle requête provienne d’une adresse IP différente. Les plus sophistiqués utilisent des adresses IP résidentielles, qui ont une réputation parfaitement propre.

Dans la vidéo ci-dessous, l’utilisateur YouTube « Snkrbolt » manipule plusieurs scalpers bots pour tenter d’acheter des baskets Yeezy 500 Utility Black et des consoles PlayStation 5. La liste des proxys apparaît dans la colonne de droite du tableau de bord. Plus tard dans la vidéo, l’utilisateur s’emploie à résoudre des CAPTCHA pour contourner les solutions de sécurité :

Les opérateurs de scalpers bots les plus avancés réduisent encore davantage le temps d’acquisition en répartissant leurs serveurs à différents endroits géographiques afin d’exploiter la latence des signaux de données.

3. Finalisation automatique de l’achat

Après avoir sélectionné les articles, les scalpers bots peuvent automatiser le processus d’achat en se connectant à des comptes préconfigurés ou en remplissant automatiquement les informations requises pour utiliser un compte invité. Enfin, les bots finalisent la commande en utilisant une carte de crédit, qui peut appartenir à l’opérateur du bot, ou être volée à des fins de transactions frauduleuses en ligne (carding).

« De nombreux scalper bots étaient fournis en tant que services professionnels, sous la forme d’extensions de navigateur développées spécifiquement pour notre site. Les utilisateurs pouvaient indiquer leurs coordonnées, leur numéro de carte de crédit et l’URL du produit qu’ils souhaitaient acheter. Dès que celui-ci était mis en vente, le bot effectuait l’achat en quelques secondes ».

Sayed Gaffar, Director of E-commerce, EMEA & International Markets chez The Topps

Comment arrêter les scalpers bots ?

Avec la diversité des types de scalpers bots et leurs caractéristiques spécifiques, il peut être difficile de savoir comment les prévenir ou les bloquer efficacement. Heureusement, plusieurs techniques anti-scalping permettent de contrer ces bots sur les sites de e-commerce.

1. Empreinte numérique des appareils ou des navigateurs

L’une des méthodes les plus efficaces est l’empreinte numérique des appareils ou des navigateurs. Les scalpers bots doivent fonctionner à grande échelle pour être rentables, et il leur est difficile de changer d’appareil ou de navigateur pour chaque requête. Ils peuvent donc être détectés par les paramètres spécifiques du navigateur ou de l’appareil qu’ils utilisent, ce qui permet de les bloquer de manière ciblée et efficace.

2. Valider les navigateurs des requêtes spécifiques

Une autre méthode consiste à valider le navigateur utilisé pour une requête donnée. Vous pouvez notamment vérifier l’agent JavaScript du navigateur et vous assurer qu’il exécute les appels corrects. Les scalpers bots utilisent souvent des navigateurs modifiés, et l’identification des comportements anormaux peut révéler la présence d’un bot et permettre de le bloquer efficacement.

3. Vérifier la réputation de l’IP

La réputation de l’IP est un bon indicateur pour juger de la légitimité d’une requête. Certains scalpers bots utilisent des IP de mauvaise qualité, qui n’ont aucune raison de se trouver sur votre site. Bien que cette méthode ne soit pas infaillible (les bots les plus sophistiqués utilisent souvent des adresses IP résidentielles de haute qualité), la réputation de l’IP peut être un outil précieux lorsqu’elle est combinée à d’autres signaux pour détecter les bots.

4. Analyse comportementale

L’analyse comportementale est une technique efficace pour repérer et bloquer les scalpers bots. Ces derniers ne se comportent pas comme des utilisateurs humains : ils naviguent rapidement et ciblent immédiatement les produits convoités. À l’inverse, les utilisateurs humains prennent généralement plus de temps, déplacent leur curseur de manière plus aléatoire et ont un comportement plus naturel. En exploitant ces différences, vous pouvez identifier les bots et les bloquer avant qu’ils ne parviennent à acheter vos produits.

Utiliser une solution de détection de bots pour arrêter efficacement les scalpers

Aucune des techniques pour détecter les scalpers bots n’est simple à mettre en place. Les meilleurs programmeurs de bots sont extrêmement compétents, rapides à adopter de nouvelles technologies (telles que l’intelligence artificielle et l’apprentissage automatique) et capables de contourner vos systèmes de sécurité. Les scalpers bots attaquent leurs cibles depuis de multiples adresses IP, souvent via des proxys résidentiels et des appareils IoT. Par conséquent, les défenses volumétriques et les systèmes de sécurité basés sur des règles, comme les pare-feux d’applications web (WAF), ne suffisent plus à les arrêter.

Bien qu’un CAPTCHA traditionnel puisse stopper (ou du moins ralentir) les scalpers bots les moins avancés, un CAPTCHA ne suffit pas contre les bots sophistiqués. Ces derniers peuvent imiter presque parfaitement le comportement humain, les rendant indétectables sans des outils spécialisés.

La sophistication croissante des bots a créé un besoin d’outils capables de déterminer l’intention du trafic en ligne, plutôt que de simplement évaluer le volume de trafic ou les signatures de bots connues. Pour se protéger contre le scalping et d’autres attaques de bots dans le secteur de l’e-commerce, une solution spécialisée de protection contre les bots, avec des capacités de décision en temps réel, est indispensable.

Prévenez le scalping avec le logiciel anti-scalpers bots de DataDome

Comment détecter et bloquer efficacement les bots malveillants dans l’environnement actuel ?

Pour aider les CTO et les CISO à protéger leurs sites web, applications mobiles et API contre les scalpers et autres bots nuisibles, DataDome a développé un puissant moteur de détection de bots, qui exploite largement l’apprentissage automatique et l’intelligence artificielle pour détecter et bloquer les bots malveillants dès la première requête. La plateforme de protection contre la cyberfraude de DataDome comprend des solutions comme Bot Protect, Account Protect pour stopper toutes les formes de fraude aux comptes, et Ad Protect pour identifier et atténuer la fraude publicitaire et au clic. En complément, le DataDome CAPTCHA et les défis Device Check offrent une protection complète contre toutes les voies d’attaque possibles, garantissant que votre entreprise reste à l’abri des scalpers bots.

Livrée en tant que service, la solution DataDome s’installe en quelques minutes sur n’importe quelle infrastructure web, sans qu’il soit nécessaire de modifier l’architecture hôte. En cas d’urgence, la protection peut être activée en moins d’une heure. La solution DataDome fonctionne généralement en mode autopilote—aucune action n’est requise de votre part. Cependant, si vous faites face à une attaque massive de scalpers bots, notre équipe SOC dédiée aux bots surveillera et interviendra manuellement pour atténuer l’attaque si nécessaire.

Le graphique ci-dessous montre un pic de requêtes malveillantes ciblant spécifiquement les pages produits PS5 sur les sites web de nos clients. Toutes les requêtes malveillantes ont été bloquées en temps réel, sans intervention nécessaire de la part des équipes IT ou SecOps des clients. Ainsi, les acheteurs légitimes ont eu une chance équitable de se procurer une PS5.

Pour la majorité des sites de e-commerce, la prévention et l’arrêt du scalping ainsi que les autres attaques de bots grâce à un logiciel anti-bot performant offrent un retour sur investissement immédiat. Non seulement cela évite aux clients mécontents de se plaindre sur les réseaux sociaux et de nuire à votre réputation, mais cela permet également à l’entreprise de réaliser d’importantes économies sur les coûts d’infrastructure et de main-d’œuvre.

« Nos coûts étaient très élevés. Le fait de ne plus avoir à augmenter la capacité de nos serveurs pour faire face à des pics d'activité de deux heures lors des lancements signifie que DataDome s'autofinance—sans même mentionner le temps précieux que mon équipe économise. »

Sayed Gaffar, Director of E-commerce, EMEA & International Markets chez The Topps

Paige Tester

Director of Content Marketing

Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.