BlaBlaCar empêche l’account takeover avec DataDome et Google Cloud

Protection contre les attaques de credential stuffing à grande échelle
Aucune perturbation des performances dans 22 pays
Intégration facile sur Google Cloud Platform
DataDome
Table des matières
Dernière mise à jour : 4 Apr, 2025
|
min

Avec plus de 100 millions de membres, BlaBlaCar est la plus grande communauté de covoiturage au monde. Hébergés sur Google Cloud Platform, le site web et l’application mobile desservent une précieuse base d’utilisateurs, ce qui en fait une cible de choix pour les fraudeurs à la recherche de données personnelles et financières. L’entreprise s’est tournée vers DataDome pour bénéficier d’une protection en temps réel, hautement évolutive, sans impact sur les performances du site ni sur l’expérience utilisateur. Ce partenariat réussi a permis à la société d’éliminer les attaques d’account takeover, le carding et d’autres menaces grâce à une protection basée sur l’IA.

Mettre en place DataDome, c’est comme souscrire une assurance. On peut s’en passer, mais il faut savoir que sans elle, on s’expose à des risques.
Francis Nappez
Cofounder & CTO de BlaBlaCar

Le défi : des account takeovers visant à détourner des paiements ou des valeurs stockées à des fins frauduleuses

Après avoir observé un certain nombre de pics de charge inhabituels et inexpliqués, l’équipe de BlaBlaCar a découvert que ce trafic irrégulier était dû à des bots qui cherchaient à prendre le contrôle des comptes utilisateurs sur le site. Elle a donc commencé à surveiller de près le comportement de ces bots. Les attaques d’account takeover (ATO), menées par des bots de type « impersonator », exploitent généralement des bases de données login-mot de passe dérobées sur d’autres sites.

Pour tenter de prendre le contrôle des comptes, les bots utilisent la technique de force brute : ils accèdent aux formulaires de connexion et testent très rapidement toutes les combinaisons volées, souvent par centaines de milliers. Comme beaucoup d’internautes utilisent les mêmes identifiants sur plusieurs sites, le taux de réussite de ces attaques peut atteindre 8 %.

Mais que cherchent exactement à obtenir les bots (ou les fraudeurs qui les pilotent) ?

Lors des attaques d’account takeover, les bots poursuivent un double objectif : récupérer un maximum de données personnelles (nom, adresse postale, e-mail, téléphone, etc.) mais aussi exploiter les moyens de paiement associés aux comptes.

Le carding, par exemple, consiste à utiliser des numéros de carte volés pour effectuer des achats via des comptes usurpés. Les attaquants tentent aussi de récupérer des coupons de réduction ou de crédit pour les utiliser ou les revendre. Il est donc essentiel de protéger les sites de coupons contre les bots.

En observant attentivement le comportement des bots, BlaBlaCar a même découvert que certains avaient industrialisé un processus visant à modifier les virements entre membres de la communauté afin de les détourner à leur profit.

La diversité géographique de la plateforme ajoutait à la complexité. BlaBlaCar est présent dans 22 pays, chacun ayant ses spécificités en matière de fraude. En Europe par exemple, les attaquants privilégiaient le credential stuffing par force brute. En Asie, ils se concentraient sur les fraudes par SMS pumping, exploitant les systèmes pour générer des frais excessifs. La diversité et le niveau de sophistication des menaces exigeaient une solution capable de s’adapter à ces défis régionaux, sans compromettre l’expérience fluide attendue par les utilisateurs de BlaBlaCar.

BlaBlaCar a réussi à déjouer les attaques avant que ses clients ne subissent de préjudice, mais la protection contre ces menaces nécessitait une surveillance constante et des mises à jour quotidiennes. L’équipe de BlaBlaCar s’est rapidement rendu compte qu’il serait plus efficace d’utiliser une solution dédiée et a soigneusement sélectionné DataDome.

La solution : une intégration transparente à Google Cloud et des performances optimisées pour BlaBlaCar

Le chiffre d’affaires de BlaBlaCar provient principalement de son site web et de son application mobile, tous deux hébergés sur Google Cloud Platform. Il était donc essentiel de trouver une solution de protection contre les bots et la fraude qui s’intègre parfaitement à leur infrastructure et à leurs services Google Cloud existants. L’installation du module DataDome a ainsi été soigneusement suivie afin de garantir qu’elle n’affecterait ni la stabilité du site ni l’expérience utilisateur.

La principale préoccupation était la performance. Étant donné que DataDome valide 100 % des requêtes de trafic entrant en temps réel, le module occupe une place cruciale pour tout site ou application. L’équipe de BlaBlaCar devait s’assurer que l’infrastructure de DataDome serait capable d’absorber l’ensemble de son trafic et de s’adapter sans friction à Google Cloud.

L’équipe a parfaitement géré la montée en puissance, d’autant plus que l’architecture choisie est conçue de manière à ce que DataDome ne soit pas un point de défaillance unique. Il est fondamental pour nous d’être absolument certains qu’une éventuelle défaillance de DataDome ne bloquera pas nos utilisateurs humains.
Francis Nappez, cofounder and CTO de BlaBlaCar

La latence est un autre élément clé de l’expérience utilisateur sur lequel Francis ne voulait faire aucun compromis. Mais grâce aux performances de plus de 30 PoP répartis dans le monde, qui assurent une protection en périphérie au plus près des utilisateurs, tous les seuils de performance des applications BlaBlaCar ont été optimisés :

« La latence est extrêmement bien gérée côté DataDome », poursuit Francis. « S’il y a une dégradation, elle ne dure que quelques millisecondes, ce qui reste très acceptable, surtout si l’on considère la valeur que nous obtenons du service en retour. »

Au cours du processus de mise en œuvre, il a été nécessaire de s’assurer qu’aucune information personnelle liée aux utilisateurs ne soit transmise à DataDome dans le cadre de l’échange de données sur le trafic entrant de BlaBlaCar.

Il ne s’agissait pas seulement de bloquer les attaques de credential stuffing. La technologie de DataDome a également permis d’identifier et de neutraliser des menaces plus complexes, comme les bots imitant le comportement humain ou utilisant des réseaux de proxys pour échapper à la détection. Et si la prévention des attaques est cruciale, le respect des réglementations sur la vie privée, comme le RGPD, l’est tout autant. L’architecture de DataDome garantit qu’aucune donnée personnelle utilisateur n’est partagée, offrant ainsi à BlaBlaCar une protection robuste sans compromettre la confiance de ses utilisateurs.

Résultat : les comptes utilisateurs sont protégés contre les comportements connus et nouveaux des bots

Depuis l’activation de DataDome, les comptes utilisateurs de BlaBlaCar sont entièrement protégés et ne nécessitent aucune maintenance. La technologie de DataDome, fondée sur un processus d’apprentissage automatique et sur la mutualisation des données issues de tous les sites protégés, permet de détecter aussi bien les bots connus que les comportements nouveaux. Elle ne nécessite donc aucune intervention quotidienne de l’équipe technique de BlaBlaCar.

Pour Francis, le principal enjeu dans un environnement sécurisé est de rester vigilant. À cet égard, le rapport quotidien envoyé par le service DataDome, qui présente des données et indicateurs détaillés sur le trafic des bots ciblant BlaBlaCar, est très utile.

« Voir chaque jour l’ampleur de la menace, et vérifier qu’elle est ainsi identifiée et contrée, c’est
rassurant »,
observe Francis.

Le véritable test du partenariat est survenu lors d’une période de forte pression. Peu après l’acquisition de BusFor, un important transporteur d’Europe de l’Est, BlaBlaCar a été confronté à une vague d’attaques ciblant les nouveaux systèmes. Le contexte géopolitique dans la région a accentué les enjeux. Mais grâce à DataDome, BlaBlaCar a pu déployer rapidement les protections nécessaires, garantissant ainsi un service ininterrompu pendant une période critique.

Une fois la situation stabilisée, BlaBlaCar a commencé à exploiter les informations fournies par DataDome pour renforcer ses propres défenses internes. L’équipe a construit de nouveaux modèles de détection de la fraude et partagé les enseignements avec d’autres services, de l’ingénierie au support client. Aux côtés de DataDome, BlaBlaCar ne se contente plus de réagir aux menaces, il les anticipe.

Plus de 8 ans plus tard, BlaBlaCar continue de surveiller étroitement l’intégrité des identifiants de comptes sur son site, ainsi que la nature des bots qui explorent le site et l’application mobile. À mesure que la plateforme continue de croître et d’évoluer, les menaces auxquelles elle est confrontée évoluent également. Mais avec DataDome à ses côtés, BlaBlaCar est prêt. Et pour ses 40 millions de membres, cela signifie une tranquillité d’esprit à chaque trajet.

Avec DataDome, nous bénéficions de l’intelligence collective accumulée sur l’ensemble des sites protégés par la technologie, ce qui représente une réelle valeur ajoutée en termes de sécurité garantie.
Francis Nappez, CTO de BlaBlaCar