Loveholidays protège ses API et améliore ses conversions grâce à une défense anti-bot en temps réel
Loveholidays est l’agence de voyages en ligne à la croissance la plus rapide au Royaume-Uni. mais des bots de scraping agressifs ont fait augmenter les appels aux API tierces au point de parfois dépasser les limites, empêchant les clients réels de réserver leurs vacances et entraînant des pertes de revenus directes. De plus, l’entreprise était ciblée par des tentatives de vulnerability scanning et de fraude au paiement. Après avoir déployé la protection en temps réel propulsée par l’IA de DataDome, le bruit généré par les bots malveillants est devenu négligeable et la fatigue liée aux alertes a disparu. L’équipe d’ingénierie ne consacre plus de temps à atténuer les attaques de bots, et les visiteurs authentiques profitent d’une expérience de réservation fluide.
Le défi : des bots qui épuisent les API, empêchant les clients réels de réserver
Dans le secteur de la vente de voyages, la compétitivité des prix est un enjeu primordial. Si la surveillance concurrentielle des tarifs y est une pratique commerciale courante, il arrive que certains opérateurs fassent preuve de moins de scrupules que les autres.
« Nous avions commencé à constater des pics de trafic très étranges qui nous posaient problème dans nos rapports sur les taux de conversion », explique David Annez, responsable de l’ingénierie chez Loveholidays. « Comme cela nous semblait anormal, nous avons creusé un peu plus, et ce que nous avons découvert, c’est un volume énorme de scraping de données sur notre site ».
De fait, non seulement le trafic de ces bots de scraping affectait le contenu des rapports, mais il avait des conséquences directes sur les ventes et les revenus de l’entreprise.
« Il existe des limites sur bon nombre des appels API que nous effectuons », souligne David. « Le volume important de trafic bot épuisait parfois ces limites, et par conséquent, les clients réels n’étaient pas en mesure de réserver. »
De plus, l’entreprise était ciblée par des tentatives de vulnerability scanning et de fraude au paiement. « Les bots malveillants augmentaient également les alertes que les ingénieurs devaient gérer, et cela gaspillait du temps que nous aurions pu consacrer à créer de la valeur business », explique Chris Couzens, Staff Software Engineer chez Loveholidays. « Ces alertes bruyantes nous empêchaient de nous concentrer sur nos OKR », note-t-il.
Lorsque l’équipe Ingénierie a commencé à mieux comprendre ce qui se passait et qui était à l’origine de ces attaques, elle a identifié des modèles récurrents qu’elle pouvait facilement bloquer. Or, plus elle approfondissait son analyse, plus il devenait clair que les cyber-attaquants étaient particulièrement rusés.
« C’était une situation continue de la poule et de l’œuf », déclare David. « Chaque fois que nous faisions quelque chose, les bots revenaient avec une stratégie différente. Nous avions besoin d’une solution capable d’apprendre de nos modèles de trafic et de bloquer de manière proactive, plutôt que d’utiliser simplement des critères connus. »
« L’un de nos objectifs principaux est d’obtenir des réponses rapides. Lorsque les utilisateurs obtiennent des réponses rapides, ils sont plus susceptibles de se convertir en clients payants », ajoute Chris. « Lorsque le trafic bot est élevé, nous avons moins de chances de voir de vraies ventes. »
La solution : une détection des bots efficace à la fois côté client et côté serveur
Lorsque l’atténuation des bots a fini par occuper à plein temps un ingénieur qui aurait préféré se consacrer au développement d’un meilleur produit, l’équipe a mis le holà et s’est mise en quête d’une solution externe de détection de bots côté serveur. C’est là qu’intervient DataDome, une solution offrant une protection contre les bots pour Fastly et NodeJS.
« Fastly nous a recommandé DataDome, mais nous avons comparé plusieurs fournisseurs », note David. « Ce que j’ai apprécié chez DataDome, c’est le suivi actif de nos modèles de détection et de notre trafic, et la possibilité de comprendre ce qui se passait à la fois côté client et côté serveur. Le côté client était essentiel ici, car nous avions observé que les bots apprenaient des changements que nous apportions et prétendaient être de vrais utilisateurs. C’était le genre de comportement que de nombreux autres services de détection de bots ne peuvent pas vraiment gérer, car ils ne regardent que les requêtes vers les API. »
Après avoir testé une solution concurrente, l’équipe a constaté que celle-ci ne capturait pas tout le trafic robotisé de Loveholidays, lequel représentait à l’époque entre 20 et 40 % du trafic total.
« La configuration et tout ce genre de choses, c’est utile jusqu’à un certain point, mais franchement, notre souhait était d’appuyer sur un bouton et que cela marche tout seul », observe David. « Les deux solutions que nous avons testées répondaient bien à ce critère, mais nous tenons aussi beaucoup aux performances, et le système de détection de la solution concurrente n’était pas aussi robuste que celui de DataDome ».
Loveholidays bénéficie désormais d’une détection en temps réel propulsée par l’IA sur le web et les API, intégrée discrètement à leur infrastructure, tandis que l’équipe n’engage DataDome que lorsque c’est nécessaire.
Le résultat : un trafic stabilisé et des volumes d’appels API normaux
L’équipe avait déjà bien conscience que l’activité des bots était intense sur son site, mais lorsque le tableau de bord DataDome a mis au jour la véritable ampleur du trafic automatisé, cela fut une véritable révélation :
« Les chiffres présentés étaient choquants, voire par moments difficiles à croire », observe David.« Une grande part de notre trafic était générée par des bots, y compris des bots légitimes. Ça nous a beaucoup aidés de comprendre cela, car nous avons pu débattre des moyens d’économiser notre bande passante en faisant en sorte que les appels liés aux bots légitimes soient moins intenses ».
Lors de la phase initiale, les deux équipes ont étroitement collaboré afin d’optimiser la mise en œuvre complexe de l’infrastructure Fastly de Loveholidays. La détection de certains bots particulièrement sophistiqués a en outre été perfectionnée, donnant naissance à un nouvel ensemble d’algorithmes d’apprentissage automatique.
« Les ingénieurs de DataDome se sont montrés extrêmement dévoués et réactifs », témoigne David.« Il y avait toujours quelqu’un disponible pour passer en revue les choses, discuter de nos meilleures options et apporter les modifications nécessaires. » La collaboration est restée légère et proactive depuis la mise en place : « Sur Slack, l’équipe DataDome nous signale parfois un problème avant même que nous le sachions. Ils sont très réactifs à nos préoccupations », ajoute Chris.
Aujourd’hui, les attaques robotisées ont cessé d’être une source d’inquiétude pour Loveholidays. Le trafic du site est normal et prévisible, et les appels API excessifs ont disparu.
« Nous sommes très satisfaits de la situation actuelle », confirme David. « La protection a clairement dissuadé bon nombre de bots parmi les plus agressifs, et nous pouvons affronter n’importe quelle nouvelle attaque en ayant l’esprit tranquille. Notre observation n’a plus vraiment besoin d’être active ; nous savons que DataDome tourne en permanence et ne va pas s’arrêter ».