Poq protège les applications mobiles de ses clients contre l’usurpation d’identité grâce à DataDome
Poq est une société spécialisée dans le commerce d’applications. Grâce à sa plateforme SaaS, les détaillants et les marques peuvent créer des applications mobiles intégrées, intuitives et garantissant des expériences d’achat conviviales. Ses clients étaient exposés à des attaques agressives perpétrées par une usurpation des informations d’identification, dont l’objectif était multiple : prise de contrôle de comptes, activités frauduleuses, menace pour la réputation de Poq, d’où un gaspillage de temps considérable pour son équipe d’ingénieurs. En intégrant la solution DataDome à sa plateforme, Poq peut désormais se prémunir contre la prise de contrôle de comptes par le biais d’un service à valeur ajoutée. Dès lors, son équipe n’a plus à se préoccuper des fraudes commises par les robots logiciels.
Le problème : attaques agressives par usurpation d’identification.
Poq propose une gamme d’applications mobiles en tant que service aux détaillants et aux marques qui souhaitent offrir une expérience numérique de premier plan à leurs clients via des applications mobiles.
« Nous proposons une offre commerciale personnalisable qui permet aux détaillants de garantir l’expérience des applications mobiles exigée par leurs clients, ainsi qu’une couche API intégrable à leur système de commerce en ligne », explique Bala Reddy, vice-président en charge de l’ingénierie chez Poq.
Début 2020, Poq a commencé à subir de fréquentes attaques par usurpation d’identité visant les terminaux de connexion de certains de ses clients. Pendant un certain temps, Bala Reddy et son équipe étaient parvenus à atténuer ces tentatives de prise de contrôle de comptes en combinant différentes mesures, telles que la limitation du débit ou la mise en place de règles personnalisées sur son pare-feu d’applications Web.
Une fonctionnalité de signature d’API personnalisée plutôt efficace avait par ailleurs été mise au point au niveau de l’infrastructure : chaque requête entrante était signée par une clé masquée générée par l’application, ce qui permettait de vérifier que les requêtes émanaient bien des applications mobiles développées en interne.
Par la suite, un groupe d’attaquants particulièrement motivé a commencé à cibler l’un des clients du secteur financier de Poq.
« « Ces pirates ont déployé des efforts considérables pour essayer de contourner les défenses que nous avions mises en place”, se souvient Bala Reddy. “Nous avons passé plusieurs semaines à essayer de les arrêter. Pour nous, cela représentait avant tout une perte de temps : notre objectif était de créer d’excellentes expériences d’achat mobile en utilisant les fonctionnalités intégrées, et non de nous défendre contre des attaques ».
Du fait que Poq fournit l’application front-end à ses clients en tant que service, le risque très réel de prise de contrôle du compte et de fraude est également une question de réputation pour notre marque, et de satisfaction pour nos clients.
“Ces derniers comptent sur nous pour offrir à leurs utilisateurs la meilleure expérience possible avec leurs applications, y compris en termes de sécurité. Nous devions être capables de garantir aux clients exposés à des attaques par usurpation d’identité une option de sécurité de premier ordre. », précise Bala Reddy.
La solution : une protection optimisée pour les applications mobiles
Lorsque Bala Reddy et son équipe se sont mis en quête d’une solution externe de protection contre les bots, ils savaient que la technologie employée devait être adaptative.
« Après avoir consacré beaucoup de temps et d’énergie à essayer de bloquer les attaques par nous-mêmes, nous avons compris que ces pirates ne reculaient devant rien », explique-t-il. « Il fallait que la barre soit suffisamment élevée et que la solution soit capable d’apprendre d’elle-même. Nous avions essayé de nombreuses mesures différentes, avec un certain succès. Mais les assaillants revenaient à la charge avec une stratégie nouvelle et un vecteur d’attaque encore plus déterminé ».
La solution idéale devait également être optimisée pour les applications mobiles.
« La plupart des solutions de protection anti-bots se concentrent fortement sur le Web ; le mobile n’est pas vraiment pris en compte”, souligne Bala Reddy. “C’est là que la solution DataDome s’est distinguée ; les données de l’application mobile sont exploitées pour établir un profil, puis l’algorithme à apprentissage adaptatif bloque le trafic dont les caractéristiques ne lui correspondent pas. C’était exactement ce dont nous avions besoin. La documentation du kit de développement mobile était également très bien faite, ce qui inspirait confiance. De plus, l’intégration de la couche API était un simple module d’extension à activer dans notre pare-feu applicatif Web. Globalement, DataDome cochait toutes les cases ».
Au niveau de la plateforme elle-même, l’intégration de DataDome n’a demandé qu’environ une semaine et demie à l’équipe. Certains problèmes initiaux ont été rapidement résolus grâce aux conseils avisés de l’équipe d’intégration dédiée.
Le résultat : des applications client sécurisées et une totale tranquillité d’esprit
Aujourd’hui, Poq propose la protection anti-bots sous forme de service à valeur ajoutée à destination des clients dont les applications sont potentiellement vulnérables aux tentatives de prise de contrôle de comptes.
« L’expérience a été très positive et la protection nous permet d’avoir l’esprit tranquille », affirme Bala Reddy. “Avant de mettre en œuvre DataDome, nous passions notre temps à regarder par-dessus notre épaule et à vérifier nos systèmes de surveillance pour voir si nos défenses fonctionnaient. Nous étions en état d’alerte permanent. Tout cela appartient au passé. Aujourd’hui, la protection fonctionne, tout simplement ».
Le fait de confier la protection anti-bots à une solution spécialement conçue à cet effet permet également à l’équipe de Poq de passer moins de temps à contrer les attaques robotisées afin de se consacrer davantage à son activité principale.
« Nous fournissons à nos clients des récapitulatifs mensuels, en consultant nos fichiers journaux et les rapports de DataDome pour vérifier si des attaques ont eu lieu et si DataDome les a bloquées, et nous rendons compte de ces mesures. En dehors de cela, les attaques de bots ne nous prennent plus vraiment de temps », observe Bala Reddy, qui apprécie en outre le perfectionnement constant du kit SDK :
« De nombreux SDK ne sont pas maintenus comme il faut et ont tendance à devenir obsolètes”, remarque-t-il. “DataDome a suivi les avancées des plateformes mobiles, y compris en termes de gestion des dépendances. C’est par exemple pratiquement le premier SDK à avoir migré vers le gestionnaire de paquets Swift d’iOS. Dans notre cas, l’expérience a donc été particulièrement fluide ».
En conclusion, Bala Reddy vante la disponibilité et la réactivité manifestées par les équipes d’assistance technique et de SOC anti-bots :
“« Chaque fois que nous avons une question ou un problème, nous pouvons nous adresser à notre contact principal et obtenir une réponse rapide. Nous sommes également en contact direct avec l’équipe de recherche de menaces lorsque nécessaire. Nous sommes donc très satisfaits du niveau des services professionnels fournis ».
Articles liés
Plarium utilise la détection basée sur l'intention pour bloquer plus de 20 millions de requêtes malveillantes par mois
En savoir plus
5 stratégies efficaces pour prévenir une attaque par force brute
En savoir plus
Augmentation de 135 % : les coulisses des attaques de bots pendant les fêtes de décembre 2025
En savoir plus
La stratégie de Rail Europe pour arrêter les bots avant qu’ils ne perturbent l’activité
En savoir plus
