Scalping de billets : définition, impact et prévention des bots de billetterie
Si vous gérez une activité de billetterie en ligne, vous savez combien les attaques de scalping de billets peuvent frustrer vos clients. Les chiffres le prouvent : selon les données d’O2 et YouGov, les consommateurs au Royaume-Uni dépensent chaque année 145 millions de livres supplémentaires (~200 millions de dollars) en raison de la revente de billets à prix élevés(1). C’est injuste, car les revendeurs utilisent des bots sophistiqués contre lesquels les clients ordinaires n’ont aucune chance.
Cet article expliquera ce qu’est le scalping de billets, son impact, comment fonctionnent les bots de scalping et comment vous pouvez mettre fin aux attaques de scalping grâce à des solutions faciles et rapides à déployer.
Points clés à retenir
- Les attaques de bots coûtent cher : les clients paient chaque année des millions supplémentaires à cause du scalping, tandis que le marché secondaire des billets continue de croître rapidement.
- Multiples menaces au-delà du scalping : les bots provoquent des pannes de serveurs, volent du contenu, commettent des fraudes de paiement et bloquent l’inventaire sans acheter.
- La sécurité traditionnelle échoue : les bots modernes imitent si bien le comportement humain que les CAPTCHA de base et le blocage d’IP ne suffisent pas à les arrêter.
- La protection en temps réel fonctionne : la détection avancée des bots arrête les attaques en quelques millisecondes grâce à l’apprentissage automatique et à l’intelligence partagée.
Qu’est-ce que le scalping de billets ?
Un scalper de billets est un bot programmé pour acheter un maximum de billets afin de les revendre avec de fortes marges. Ces bots ciblent des événements populaires comme des concerts et des matchs sportifs, ou des produits très prisés comme les consoles, les sneakers et les cartes graphiques. Comme les bots sont beaucoup plus rapides que les humains, ils s’emparent de nombreux billets avant que les clients réels puissent les acheter à un prix raisonnable.
L’impact des bots de scalping de billets
La billetterie représente un marché colossal. Le marché des événements musicaux devrait à lui seul atteindre 487 milliards de dollars d’ici 2032(2). Ce marché attire naturellement les cybercriminels qui veulent leur part du gâteau. Et ils y parviennent : le marché secondaire des billets aux États-Unis devrait croître de 18,4 % par an entre 2024 et 2029, soit une augmentation de 19,97 milliards de dollars sur cette période(3).
Avec la croissance du marché, les attaques de bots prennent de l’ampleur : O2 a bloqué plus de 50 000 ticket bots en seulement six semaines(1), prouvant que le scalping de billets repose largement sur l’automatisation. Les attaques individuelles peuvent également être massives :
- un revendeur a acheté 30 000 billets pour “Hamilton” en 2015-2016 ;(4)
- le groupe de hackers Sp1d3rHunters a contribué à créer plus de 38 000 billets de concert en double.(5)
Le scalping de billets ne se limite pas aux concerts et événements sportifs. Le secteur du voyage et de l’hôtellerie est également fortement touché, représentant 27 % de toute l’activité liée aux bots dans le monde(6). Dans ce secteur, les attaques automatisées volent des billets, récupèrent des prix et ralentissent les applications ou sites web ciblés.
Autres risques liés aux attaques de bots dans la billetterie
C’est le scalping de billets qui attire le plus d’attention, mais les bots représentent de nombreuses autres menaces sérieuses pour les entreprises de billetterie. Les attaques suivantes peuvent nuire à vos revenus, à votre réputation et à l’expérience client de différentes manières :
- Refus de stock : lorsque des bots ajoutent des billets aux paniers sans jamais finaliser l’achat. Cela bloque l’offre disponible et empêche les clients réels de les acheter. Les billets peuvent rester dans des paniers abandonnés pendant 10 à 15 minutes avant d’expirer, créant une rareté artificielle lors des pics de demande.
- Surcharge serveur (denial of service) : le trafic automatisé massif submerge les ressources serveur, ce qui provoque des ralentissements ou même des crashs. Les fraudeurs planifient souvent ces attaques lors des grandes mises en vente, quand les serveurs sont déjà fortement sollicités par des acheteurs légitimes.
- Fraude par carte (carding ou card cracking) : les données de cartes bancaires volées sur des marchés illégaux sont testées sur les sites de billetterie. Les cartes valides servent à des achats frauduleux ou sont converties en espèces. Les entreprises de billetterie encourent des frais de rétrofacturation et des responsabilités potentielles lorsque des cartes volées sont utilisées.
- Scraping : les bots volent les listings et contenus des sites pour les copier sur des sites concurrents. Le site original perd en visibilité, ses visiteurs se raréfient, tout comme ses revenus. Le contenu volé peut également nuire au référencement, car les moteurs de recherche pénalisent les sites avec du contenu dupliqué.
- Fraude par agents IA : des acteurs malveillants compromettent ou usurpent l’identité d’assistants d’achat IA pour automatiser les achats de billets à grande échelle. Ces agents combinent une prise de décision semblable à celle d’un humain avec la vitesse d’un bot, adaptant leurs stratégies en temps réel et coordonnant leurs actions sur plusieurs comptes.
Comment fonctionnent les bots de scalping de billets ? Aperçu en 5 étapes
1. Choisir la cible
Les attaquants recherchent les événements ou produits à venir pour identifier les opportunités les plus lucratives. Ils ciblent des concerts d’artistes majeurs comme Taylor Swift ou Beyoncé, des matchs sportifs de championnat ou des lancements de produits exclusifs. Une forte demande combinée à une offre limitée créent les conditions parfaites pour des profits massifs en scalping. Les attaquants surveillent également les réseaux sociaux et les actualités pour déterminer quels événements susciteront le plus d’engouement.
2. Tester les défenses
Plusieurs semaines ou mois avant les ventes importantes, les criminels testent les protections existantes. Ils envoient de petits volumes de bots pour acheter des billets moins demandés. Ces petits essais passent souvent inaperçus parmi les vrais acheteurs. Ils testent différents agents utilisateurs, modèles de rotation d’IP et comportements d’achat pour voir ce qui bloque leurs bots et ce qui ne les bloque pas.
3. Récupérer des données de paiement volées
De nombreux attaquants se procurent des informations de carte de crédit volées sur les marchés du dark web avant de lancer leurs attaques, bien que les attaques de revente ne fassent pas toujours appel à des données de paiement volées. Les données de cartes récentes ne coûtent que quelques dollars par carte, mais éliminent entièrement le risque financier. Certains criminels utilisent des attaques de piratage de cartes sur des sites de commerce électronique plus modestes pour vérifier quelles cartes fonctionnent encore avant de les utiliser pour l’achat de billets de grande valeur. Cette approche transforme la revente de billets en profit pur, puisqu’ils n’investissent pas leur propre argent.
4. Attaquer dès la mise en vente des billets
Lorsque les billets sont officiellement mis en vente, les attaquants déploient simultanément des centaines ou des milliers de bots ou d’agents IA compromis, chacun programmé pour naviguer sur le site de billetterie, sélectionner le nombre maximal de billets et finaliser les achats en quelques secondes. Les attaques modernes utilisent de plus en plus des agents IA capables d’adapter leur comportement en temps réel pour échapper à la détection.
Lors d’une récente attaque de revente illicite stoppée par DataDome, les attaquants ont lancé plus de 16 millions de requêtes malveillantes ciblant des billets pour des événements sportifs. Cette attaque, qui a duré 6 jours, a impliqué près de 4 millions d’adresses IP uniques et a atteint plus de 133 requêtes par seconde à son pic. DataDome a stoppé l’attaque, et aucun billet n’a été perdu au profit des revendeurs.
5. Revendre avec une forte marge
Les attaquants mettent immédiatement en vente les billets obtenus sur des marchés secondaires tels que StubHub, Vivid Seats ou des plateformes de réseaux sociaux. Ils majorent généralement le prix des billets de 200 à 500 %, voire plus, en fonction de la demande.
Stratégies défensives pour arrêter le scalping automatisé
Mettre en place des limites d’achat
Les limites d’achat restreignent le nombre de billets que chaque client peut acheter par transaction, session ou jour. Vous pouvez limiter les clients à quatre billets par commande ou à huit billets dans les 24 heures. Cette approche offre une protection immédiate contre les attaques de base par les bots. Si chaque bot ne peut acheter que quatre billets au lieu d’une centaine, l’impact est considérablement réduit.
Les limites d’achat aident à ralentir les attaques de base, mais elles créent des frictions pour les clients légitimes. Les groupes d’entreprises, les familles et les fan-clubs ont souvent besoin de plus de billets que ne le permettent les limites. Lorsque de vrais clients se heurtent à ces restrictions, ils finissent par payer des majorations sur les marchés secondaires.
De plus, les attaquants sophistiqués contournent les limites d’achat en créant des dizaines de faux comptes avec des adresses e-mail, des moyens de paiement et des adresses IP différents. Les agents IA facilitent encore davantage cette tâche : ils peuvent automatiser la création de comptes et coordonner les achats simultanément à travers des centaines d’identités.
Utiliser des salles d’attente virtuelles pour les ventes à forte demande
Les salles d’attente virtuelles gèrent les pics de trafic lors des mises en vente importantes de billets en contrôlant le nombre d’utilisateurs pouvant accéder simultanément au processus de paiement. Au lieu de surcharger vos serveurs et de donner un avantage de vitesse aux bots, les salles d’attente créent une file d’attente équitable, fonctionnant selon le principe du « premier arrivé, premier servi », à laquelle les clients légitimes peuvent se fier.
Une salle d’attente virtuelle doit :
- filtrer la fraude en temps réel : analyser en continu les visiteurs tout au long de leur session, et pas seulement à leur arrivée, afin de détecter et d’éliminer les bots et les agents IA malveillants avant qu’ils n’atteignent la page de paiement ;
- donner la priorité au trafic légitime : offrir un accès équitable aux clients réels et aux assistants d’achat IA autorisés tout en filtrant les agents non autorisés et les bots ;
- empêcher la surcharge de l’infrastructure : contrôler le flux de paiement pour maintenir la stabilité de votre plateforme pendant les pics de demande ;
- offrir une visibilité sur le trafic des agents IA : distinguer les achats légitimes assistés par IA des bots de revente utilisant les mêmes agents IA.
Priority Protect de DataDome est la seule salle d’attente virtuelle intégrant une détection des fraudes en temps réel. Contrairement aux solutions de file d’attente autonomes qui ajoutent la détection des bots après coup, Priority Protect évalue en continu chaque requête tout au long de la session, analysant 5 000 milliards de signaux par jour pour éliminer le trafic frauduleux avant qu’il ne puisse allonger les temps d’attente ou évincer les véritables acheteurs.
Investir dans la gestion de la confiance des bots et des agents
La détection traditionnelle des bots ne peut pas suivre le rythme des menaces modernes. Les attaquants utilisent des agents IA qui imitent le comportement humain, s’adaptent aux défenses en temps réel et détournent les assistants d’achat IA légitimes à l’aide d’automatisations malveillantes.
Vous avez besoin d’une gestion de la confiance des bots et des agents qui :
- détecte l’intention, pas seulement l’automatisation : distingue les achats légitimes (humains ou assistés par l’IA) de la fraude sur la base d’une analyse comportementale ;
- offre une visibilité complète : vous indique quels bots, agents IA et robots d’indexation LLM accèdent à votre plateforme ;
- analyse chaque requête : pas seulement des échantillons, mais analyse de 100 % du trafic en temps réel ;
- s’adapte en continu : apprend des nouveaux schémas d’attaque sur un réseau de sites protégés ;
- fonctionne sans friction : bloque la fraude en quelques millisecondes tandis que les clients légitimes effectuent leur paiement en toute fluidité.
DataDome protège les sites web, applications et API de billetterie
La plateforme de protection contre la cyberfraude de DataDome met fin au scalping de billets sur les sites web, les applications mobiles et les API. Nous détectons les intentions en temps réel — que le trafic provienne de bots traditionnels, d’agents IA ou d’humains — et bloquons la fraude en moins de 2 millisecondes avec une précision de 99,99 %. La plateforme se déploie en quelques minutes et fonctionne en mode automatique.
Détection des menaces en temps réel : DataDome identifie et bloque les menaces connues — notamment les bots de revente, les agents IA malveillants et les crawlers LLM — en moins de 2 millisecondes. Notre moteur IA multicouche analyse quotidiennement 5 000 milliards de signaux à l’aide de milliers de modèles d’apprentissage automatique pour détecter instantanément de nouveaux schémas d’attaque. Lorsque nous identifions une nouvelle menace sur un site protégé, tous les clients bénéficient d’une protection automatique en temps réel.
Visibilité complète sur le trafic : bénéficiez d’une visibilité totale sur tout le trafic accédant à votre plateforme de billetterie. Notre tableau de bord vous indique quels agents IA tentent d’effectuer des achats, leurs schémas de comportement, et s’ils sont légitimes ou frauduleux. Vous contrôlez quels agents peuvent acheter des billets et lesquels sont entièrement bloqués.
Protection contre la fraude aux comptes : les revendeurs créent des milliers de faux comptes ou prennent le contrôle de comptes existants pour contourner les limites d’achat. La fonctionnalité Account Protect de DataDome empêche la création frauduleuse de comptes, le credential stuffing et les attaques de prise de contrôle de comptes qui permettent le revirement de billets à grande échelle.
Politiques personnalisables : DataDome vous permet de surveiller votre trafic en temps réel grâce à des options de personnalisation étendues pour affiner vos politiques de sécurité. Définissez des règles pour différents types d’agents, ajustez la sensibilité de détection et suivez les schémas d’attaque tout au long du parcours utilisateur.
Quelle est l’efficacité de DataDome ?
Les attaques de revente de billets évoluent. Les attaquants utilisent désormais des agents IA qui s’adaptent en temps réel, rendant les mesures de sécurité traditionnelles inefficaces. Chaque attaque réussie nuit à la confiance des clients et détourne les revenus vers les marchés secondaires. Vous avez besoin d’une protection capable de détecter les intentions dans l’ensemble du trafic — bots, agents IA et humains — et d’évoluer aussi vite que les menaces.
La plateforme DataDome bloque les attaques de bots en quelques millisecondes tout en garantissant une expérience de paiement fluide pour les vrais clients. Dans un cas, des attaquants ont ciblé l’un de nos clients avec plus de 5,7 millions de requêtes provenant de plus de 250 000 adresses IP réparties sur plus de 8 000 systèmes autonomes. DataDome a stoppé l’attaque dans son ensemble.
N’attendez pas la prochaine attaque majeure pour que les vulnérabilités de votre site web soient exposées. Réservez une démonstration pour découvrir comment DataDome protège dès aujourd’hui les plateformes de billetterie contre les menaces des bots et des agents IA.
FAQ
Les agents IA sont en train de devenir la nouvelle porte d’entrée du commerce électronique : Gartner prévoit que 20 % des interactions numériques impliqueront des agents IA d’ici 2028. Pour la billetterie, cela crée à la fois des opportunités et des risques. Les assistants d’achat IA légitimes aident les clients à trouver et à acheter des billets, mais des acteurs malveillants peuvent compromettre ou usurper l’identité de ces agents pour automatiser la revente à une échelle sans précédent. Contrairement aux bots traditionnels qui suivent des scripts fixes, les agents IA adaptent leur comportement en temps réel, coordonnent leurs actions entre plusieurs comptes et imitent les comportements d’achat humains. La protection moderne des billets nécessite une détection basée sur l’intention qui distingue les achats légitimes effectués par des agents IA de la fraude.
Malheureusement, la grande majorité ne l’est pas. Selon le rapport DataDome Global Bot Security Report 2025, 61,2 % des domaines ne sont absolument pas protégés contre les attaques de bots, même les plus simples, et les bots avancés échappent aux détections de base dans 93 % des cas. Les revendeurs abusent de cette vulnérabilité en déployant des attaques avancées basées sur l’IA qui contournent facilement les contrôles de sécurité traditionnels tels que les WAF et la limitation de débit de base pour accaparer le stock de billets.
Les bots de revendeurs traditionnels suivent des scripts fixes et prévisibles pour extraire des données ou inonder les formulaires de paiement de spams. En revanche, les agents IA malveillants peuvent simuler un comportement humain, s’adapter aux défenses et prendre des décisions d’achat en temps réel à grande échelle. Comme près de 80 % des sites web ne vérifient pas l’identité des agents IA, les agents IA usurpés peuvent facilement s’y introduire. Les plateformes de billetterie doivent passer à un logiciel de gestion de la confiance des bots et des agents qui se concentre sur l’intention, et non sur l’identité, afin de prévenir efficacement les attaques.
Références
- https://news.virginmediao2.co.uk/latest-o2-and-yougov-data-nearly-three-quarters-of-concertgoers-want-to-see-rules-against-the-resale-of-tickets-for-profit/
- https://www.globalinsightservices.com/press-releases/music-event-market/
- https://www.technavio.com/report/north-america-secondary-tickets-market-analysis
- https://www.yahoo.com/entertainment/ticketmaster-says-bot-army-bought-225556452.html
- https://www.404media.co/the-ticketmaster-hack-is-becoming-a-logistical-nightmare-for-fans-and-brokers/
- https://www.techradar.com/pro/security/plane-tickets-are-getting-more-expensive-and-ai-bots-may-well-be-the-reason-why-heres-what-you-need-to-know