Pierre Fabre USA met fin aux attaques de Carding et empêche le Scraping avec DataDome

Le problème : les attaques de Carding dégradent les performances du site Web et bouleversent les plannings de développement

Le carding peut être un type de fraude en ligne particulièrement exaspérant.
Peu importe à quel point vous protégez les données de vos clients ; les cybercriminels bombarderont votre interface de paiement avec des bots pour tester la validité des données de cartes volées ailleurs. Pour les entreprises d’e-commerce comme les marques de soins de la peau et de soins capillaires de Pierre Fabre, les attaques de carding peuvent causer toutes sortes de problèmes.

« Nous recevons un e-mail de la passerelle de paiement chaque fois qu’une transaction échoue sur une page de paiement », explique Muhammad Nasir, Digital Project Manager chez Crescentic Digital, le spécialiste d’Adobe Commerce (Magento) qui a développé et assure la maintenance des sites e-commerce de Pierre Fabre USA. “Quand nous étions frappés par une attaque de Carding majeure, nous pouvions donc recevoir plus de 10 000 e-mails par jour.”

Les commandes frauduleuses étaient généralement assez faciles à repérer. Les transactions présentaient des caractéristiques douteuses, notamment de nombreuses commandes consécutives pour le même produit, ou des adresses e-mail identiques à un chiffre près. L’équipe de Crescentic Digital était néanmoins frustrée et perdait du temps à gérer les conséquences d’attaques qui avaient déjà eu lieu.

“La charge supplémentaire des serveurs due au trafic des bots ralentissait le site Web, voire le faisait tomber pour les clients réels, ce qui dégradait l’expérience utilisateur et entraînait des pertes de ventes” observe Nasir. “Et nous ne savions jamais quand cela allait arriver. Nous devions parfois faire face à des attaques au milieu de la nuit, et cela prenait tellement de temps que nos sprints de développement s’en trouvaient perturbés.”

La solution : DataDome bloque les requêtes malveillantes avant qu’elles n’atteignent les serveurs et les passerelles de paiement

Nasir et son équipe ont tenté pendant un certain temps de prendre différentes mesures pour atténuer les attaques de Carding.

« De nombreux attaquants passaient des commandes pour un seul produit. En désactivant ce produit nous pouvions les arrêter, jusqu’à ce qu’ils reviennent pour un autre produit », dit-il. « Nous avons également mis en œuvre des CAPTCHA et défini différentes règles dans Fastly, notamment pour bloquer les utilisateurs qui faisaient leurs achats trop rapidement pour être humains, mais cela n’a pas vraiment fonctionné. »

Pour prévenir efficacement les attaques de carding, il est essentiel que le système de sécurité arrête les bots avant qu’ils ne puissent initier un échange avec la passerelle de paiement. C’est précisément ce que fait DataDome : la solution contrôle chaque requête et vérifie les empreintes digitales du navigateur, la réputation de l’IP, le comportement de la souris, les en-têtes HTTP, etc., et arrête les bots avant même qu’ils n’atteignent les serveurs du client.

« Nous avons évalué quelques options, mais certains fournisseurs n’étaient pas très réactifs et ne voulaient pas s’engager à contrôler complètement les attaques de Carding », explique Nasir. « Nous avons donc décidé de tester DataDome, qui était facile à intégrer à Adobe Commerce et qui correspondait à notre budget. La période d’essai gratuite nous a convaincus que c’était la solution qu’il nous fallait. »

Les résultats : performances du site Web optimisées, sérénité retrouvée

Depuis deux ans, DataDome protège les sites Web e-commerce de Pierre Fabre USA contre les attaques de carding, le scraping et tous les autres types de fraude pilotée par des bots.

“Nous sommes entre de bonnes mains. Les attaques de carding sont sous contrôle, et les performances ainsi que les temps de réponse de notre site Web sont excellents depuis que notre infrastructure sert uniquement pour le trafic humain”, se félicite Nasir.

L’équipe apprécie également le tableau de bord intuitif, et la facilité avec laquelle elle peut personnaliser la protection pour des cas d’utilisation spécifiques. Par exemple, elle peut surveiller le taux de réussite CAPTCHA pour connaître les faux positifs (la plupart du temps, il est inférieur à 0,005 %) et voir comment fonctionne la détection DataDome. Elle travaille également avec plusieurs tiers et peut facilement utiliser la fonction de règles personnalisées pour permettre aux partenaires d’accéder à des données spécifiques, notamment le catalogue de produits.

Peut-être plus important encore, il n’y a plus d’incidents nocturnes et il n’est plus nécessaire d’atténuer des attaques en urgence.

“Nous sommes dans une position tellement meilleure maintenant”, confirme Nasir. “Grâce à DataDome, nous pouvons nous concentrer sur nos tâches de développement, plutôt que de nous inquiéter des attaques.”