Comment DataDome a bloqué plus de 214 millions de requêtes malveillantes grâce à la détection comportementale côté serveur
Une plateforme de voyage ciblée par une automatisation malveillante persistante
Une plateforme de planification de voyages qui fait partie des leaders mondiaux a été la cible d’une attaque persistante et à fort volume par des bots, toujours en cours au 29 juillet. Depuis le 22 juillet, les attaquants ont lancé plus de 214 millions de requêtes depuis une seule adresse IP, cherchant à accéder au point de terminaison web du site à l’aide de techniques avancées de scraping et de comportements de type DDoS.
Alors que la plupart des attaques par bots s’appuient sur des réseaux distribués pour imiter le trafic humain, cette campagne s’est distinguée par son volume, sa régularité et son origine unique, un schéma particulièrement inhabituel dans les opérations de bots.
Grâce au moteur de détection comportementale côté serveur de DataDome, l’attaque a été bloquée en temps réel via une réponse de blocage strict, refusant automatiquement le trafic qui présentait des signatures comportementales anormales.
Vue d’ensemble de l’attaque
Cette attaque s’est distinguée par sa persistance inhabituelle et son exécution depuis une seule adresse IP. Pendant plus d’une semaine, un flux constant de requêtes (jusqu’à 3,5 millions par heure) a ciblé le principal point d’accès web de la plateforme.
L’attaquant n’a pas tenté d’usurper d’IP ni de faire tourner les identifiants, mais a cherché à se fondre dans le trafic en utilisant des en-têtes d’empreinte et des signatures de navigateur statiques. Cependant, le manque de variabilité et l’incapacité à exécuter du JavaScript ont trahi l’automatisation à l’œuvre.
Image 1 ci-dessous : nombre de requêtes malveillantes détectées au fil du temps par le moteur DataDome.

Image 1 : Requêtes malveillantes bloquées par le moteur de détection comportementale de DataDome.
Distribution et caractéristiques
Bien que géographiquement émis depuis une seule adresse IP en Afrique du Sud, le trafic des bots a tenté d’imiter des utilisateurs réels en manipulant des en-têtes et des chaînes de navigateurs courantes. Pourtant, les anomalies étaient évidentes :
- User-agent statique : Mozilla/5.0 (Macintosh; Intel Mac OS X 11_1)…Chrome/87…
- Absence de génération de cookie : chaque session ne comportait aucun cookie DataDome
- Empreintes récurrentes : présence répétée d’en-têtes comme
x-forwarded-proto,fastly-ffetcdn-loop - Aucune exécution de JavaScript : l’attaquant a évité l’exécution du JavaScript de la page, une tactique classique des bots
Le moteur de détection de DataDome a rapidement identifié ces signaux comportementaux suspects, même en l’absence de rotation d’IP ou de pics de vitesse évidents.
Comment l’attaque a-t-elle été détectée et bloquée ?
L’attaque a été neutralisée grâce à la détection comportementale côté serveur alimentée par l’IA, l’un des modèles de réponse avancés de DataDome conçu pour appliquer un blocage strict sur les schémas suspects au niveau de l’infrastructure.
Le moteur comportemental a identifié plusieurs facteurs clés :
- sessions sans cookies ni interactions légitimes,
- volume de trafic dépassant les schémas d’usage typiques pour une seule IP,
- anomalies d’empreintes et d’en-têtes incompatibles avec le comportement d’un véritable utilisateur.
Comme l’attaquant n’a ni fait tourner les IP ni simulé correctement l’engagement utilisateur, la détection a été rapide. En quelques millisecondes, le trafic malveillant a été bloqué en périphérie, sans impacter les utilisateurs légitimes, ni ralentir le site.
Protégez votre plateforme contre les menaces automatisées avec DataDome
Les attaques automatisées ne ressemblent pas toujours à des tentatives de force brute. Des bots sophistiqués peuvent opérer discrètement, surtout lorsqu’ils montent en charge progressivement ou utilisent des schémas statiques et peu bruyants.
La détection comportementale alimentée par l’IA de DataDome surveille chaque session en temps réel, détectant les anomalies même lorsque les attaquants tentent de masquer leurs intentions. Du scraping aux tentatives d’account takeover, en passant par les sondes furtives de type DDoS, notre plateforme bloque les bots avant qu’ils n’impactent vos clients ou votre activité.
Vous souhaitez voir comment ça fonctionne ? Planifiez une démo.