Un site de e-commerce de premier plan met fin aux attaques DDoS de couche 7 grâce à DataDome

Après une grave attaque DDoS de couche 7 qui a perturbé un événement en direct, un site e-commerce de premier plan a testé différentes solutions de protection contre les bots et a choisi DataDome. Aujourd’hui, DataDome protège l’entreprise contre les DDoS, le scraping, le spam de formulaires, et plus encore, et assure qu’aucun client réel ne doive voir un CAPTCHA.

Le problème : des attaques DDoS de couche 7 perturbent les événements en direct

« Comme toutes les entreprises en ligne, nous avons toujours eu du trafic de bots », dit le VP des technologies web. « Certaines personnes, y compris un concurrent que nous avons poursuivi en justice, scrapaient et réutilisaient nos données. Nous avions aussi occasionnellement des tentatives de prise de contrôle de compte et des soumissions de  formulaires de spam, mais la plupart du temps, les bots n’étaient qu’une gêne. »

Cela a brusquement changé à l’été 2021. Lors d’un événement en direct, le site web de l’entreprise a été frappé par plusieurs attaques DDoS de couche 7. Le site est tombé en panne pendant 45 minutes, et l’événement a dû être reprogrammé. Le VP des technologies web explique pourquoi l’entreprise a besoin de services de prévention des DDoS :

« Nous ne pouvions pas laisser cela se reproduire », déclare le VP des technologies web. « Ainsi, avec mon équipe réseau, nous avons commencé à chercher un outil de protection DDoS. Il ne semble pas y avoir de solution qui évite tous les types d’attaques DDoS, mais pour réaliser un DDoS, il faut des bots. J’ai donc pensé que si nous pouvions trouver un bon logiciel de protection contre les bots, ce serait le meilleur moyen de résoudre le problème. »

La solution : une protection multi-plateformes contre les bots à la mise en œuvre facile

Avant les attaques DDoS de couche 7, l’équipe avait atténué divers problèmes liés aux bots avec des solutions maison ad hoc. Bien que leurs solutions de fortune aient été suffisantes pour garder le site et ses utilisateurs en sécurité, le processus détournait les développeurs d’autres tâches et laissait souvent à désirer en termes d’expérience utilisateur.

« Un formulaire pouvait recevoir 20 000 soumissions de spam, donc nous ajoutions reCAPTCHA et étions inondés de plaintes de clients et de collaborateurs », se souvient-il. « Ensuite, nous avons subi une attaque de credential stuffing, et il incombait à mon équipe d’essayer de l’atténuer avec notre propre code. Donc, d’une certaine manière, ces attaques DDoS étaient un mal pour un bien. Il n’y avait absolument rien que nous aurions pu faire contre elles, et cela a finalement poussé la décision d’investir dans une solution légitime de protection en périphérie. »

Ayant eu une bonne expérience précédente avec le WAF sur site d’une entreprise mondiale bien connue de sécurité des données, l’équipe a décidé de tester la solution de lutte contre les bots du fournisseur. Malheureusement, celle-ci n’a pas répondu à leurs attentes. La solution avait des failles de sécurité (on pouvait facilement générer ses propres jetons et contourner complètement le système), et le tableau de bord ne fournissait aucune information sur les requêtes bloquées.

Ensuite, ils ont testé une solution spécialisée de protection contre les bots. Elle avait des capacités de détection impressionnantes, mais des manques en termes d’infrastructure et de données de tableau de bord. Ayant identifié DataDome sur internet, l’équipe a décidé de tenter le coup et a trouvé ce qu’elle cherchait.

« DataDome est un produit très évolué et bien pensé », observe le VP des technologies web. « J’ai aussi adoré le fait qu’il puisse être mis en place de plusieurs manières, que ce soit directement sur mes serveurs web, dans un CDN, ou d’autres manières ; j’apprécie vraiment cette flexibilité. L’intégration d’applications était un autre facteur important dans notre choix : DataDome était le seul fournisseur avec qui nous avons parlé qui possède un SDK React Native. Et enfin, l’ingénieur de solutions qui nous a soutenus tout au long de la mise en œuvre était incroyable : extrêmement compétent et toujours prêt à aider. »

Les résultats : meilleure expérience utilisateur, processus améliorés

Depuis la mise en œuvre de DataDome, aucun événement n’a été perturbé par des attaques DDoS de couche 7. Le trafic est stabilisé et l’équipe passe beaucoup moins de temps à enquêter sur les problèmes liés aux bots. Les utilisateurs n’ont plus à se soucier autant des problèmes complexes liés à reCAPTCHA v2 vs v3 – ils peuvent se concentrer sur la protection efficace de leur site web.

« Nous disposons d’un outil analytique que nous avons écrit et qui interroge notre trafic. Si nous constatons plus de x visites par IP dans un certain laps de temps, nous recevons un email qui dit, ‘Hé, vous avez un gros trafic, allez enquêter sur ce qui se passe’ », explique le VP des technologies web. « Nous recevions ces emails deux ou trois fois par jour, mais depuis que nous avons implémenté DataDome, je n’en ai eu que quelques-uns, et à chaque fois il y avait une explication ou une solution. »

En outre, la solution DataDome bloque automatiquement les bots de scraping et les attaques de credential stuffing. En conséquence, l’équipe a pu désactiver reCAPTCHA, ce qui a considérablement amélioré l’expérience utilisateur.

« Nous parvenions surtout à atténuer les attaques de credential stuffing avec reCAPTCHA, mais les gens détestaient cela », dit-il. « Si un client contrarié se plaignait, nous ne pouvions pas lui expliquer pourquoi il avait été invité à le faire et nous ne pouvions rien contrôler, à l’exception du réglage de la sensibilité. Avec DataDome, dans les très rares cas où un utilisateur réel a été mis en cause, nous avons pu créer un ticket d’assistance et obtenir une explication, qu’il s’agisse d’un cookie manquant ou d’une adresse IP compromise, ce qui nous a été très utile. »

Le tableau de bord détaillé de DataDome a également permis un avantage inattendu : une meilleure gestion du trafic des bots amis.

« Nous n’avons pas d’API officielle, mais nous fournissons des services web ponctuels et d’autres types de ‘portes dérobées’ que nos partenaires peuvent utiliser pour accéder à nos données », explique-t-il. « La mise en œuvre de DataDome a permis de découvrir le nombre de ces portes dérobées, le nombre de personnes qui les utilisent et, souvent, le fait qu’elles ne les utilisent pas correctement. Maintenant, nous pouvons affiner cet accès avec des règles personnalisées dans le tableau de bord DataDome. »

En conclusion, il fait l’éloge des interactions avec l’équipe DataDome tout au long du processus.

« J’ai été très impressionné », atteste-t-il. « Tous ceux avec qui j’ai eu affaire ont été formidables, essayant vraiment de nous aider et d’améliorer le produit. Tant de grandes entreprises ne se soucient plus de rien, elles ont un produit générique et en tant qu’utilisateur, vous devez vous débrouiller avec ça. DataDome écoute réellement et répond. Chaque problème que j’ai eu a été résolu rapidement, sans que j’aie besoin de relancer. Jusqu’à présent, cela a été une excellente expérience. »