AllTrails sécurise ses applications mobiles, sites web et API contre les bots malveillants avec DataDome

Le problème : les attaques de bots menacent la sécurité et font grimper les coûts

En tant qu’une des applications les plus populaires au monde dans son segment, AllTrails est une cible pour les acteurs malveillants cherchant à exploiter sa vaste base de données de contenu. Toutes les quelques semaines, l’équipe d’infrastructure pouvait observer d’énormes pics de trafic dans leurs journaux, frappant souvent le même point d’accès à maintes reprises.

“Il y avait de nombreuses catégories différentes de bots malveillants”, explique Kat Leipper, Ingénieur Logiciel Senior chez AllTrails. “Beaucoup ciblaient le contenu, comme le téléchargement de cartes.”

Pendant un certain temps, l’équipe a travaillé en heures supplémentaires pour atténuer au mieux les attaques via leur WAF. Cependant, le blocage des adresses IP se transformait souvent en un frustrant jeu du chat et de la souris.

La solution : une gestion efficace des bots axée sur le mobile

Après quelques attaques particulièrement agressives, l’équipe a décidé qu’il n’était plus tenable de gérer le problème manuellement. Ils avaient besoin d’une solution.

Idéalement, l’outil devait être facile à mettre en place. Étant donné que la majorité des utilisateurs d’AllTrails se connectent à la plateforme via l’application mobile, des SDK natifs iOS et Android performants étaient également essentiels.

Surtout, contrairement au WAF qui nécessitait une intervention constante, la nouvelle solution devait décharger l’équipe.

“DataDome répondait à tous nos critères”, déclare Kat. “Nous avons adopté une approche progressive, en commençant par protéger notre API, puis en activant progressivement de plus en plus de protections. C’était un processus délicat, mais il était bon de savoir qu’une grande partie était déjà couverte par la protection de l’API.”

Les résultats : une protection fiable, des économies et de la tranquillité d’esprit

Aujourd’hui, DataDome protège pleinement les applications mobiles, le site web et l’API d’AllTrails contre toutes les menaces venant de bots, avec la même efficacité et la même granularité sur tous les points d’extrémité. Les demandes malveillantes sont bloquées avant d’atteindre les équilibreurs de charge d’AllTrails, ce qui a considérablement réduit leurs coûts d’infrastructure.

Et comme ils l’espéraient, l’équipe n’est plus surmenée à s’inquiéter des bots malveillants volant les données des randonnées depuis leur application ou leur site. Ils ne passent plus inutilement des heures à gérer manuellement les attaques, et les utilisateurs réels profitent d’une expérience sans tracas.

“Après la mise en œuvre initiale et les ajustements, tout s’est déroulé sans accroc”, confirme Kat. “Nous avons des points assez réguliers avec l’équipe de DataDome, mais au quotidien, ça fait son travail. Nous sommes également très satisfaits du taux de faux positifs ; il est deux fois inférieur à la norme de l’industrie, une fraction minuscule d’un pour cent.”

Enfin, Kat apprécie le tableau de bord détaillé et la possibilité d’explorer les puissantes analyses des menaces et les notifications sur tous les points d’extrémité.

“DataDome s’est avéré être un outil vraiment utile en plus de nos autres journaux”, note-t-elle. “C’est une bonne source d’informations en matière d’observabilité ; je peux rapidement comprendre pourquoi quelqu’un pourrait rencontrer des problèmes, ou quelle pourrait être l’origine de demandes particulières.”