Présentation de Proof of Browser: comment DataDome a bloqué 14 millions de tentatives de contournement

La course aux armements entre les opérateurs de bots et les solutions de cybersécurité est sans relâche. 

À mesure que les moteurs de détection gagnent en sophistication, les attaquants cherchent sans cesse des moyens de rétroconcevoir le code de détection côté client et les mécanismes de sécurité. Leur objectif est de générer des charges utiles d’apparence légitime à partir d’environnements non fiables, ce qui leur permet de contourner les défis de sécurité sans jamais ouvrir un véritable navigateur web.

Pour neutraliser définitivement ce vecteur d’attaque, DataDome a récemment lancé une fonctionnalité de protection révolutionnaire dans ses composants : « Proof of Browser », un contrôle avancé de l’intégrité du navigateur.

Cette technique de pointe a déjà donné des résultats significatifs en bloquant 14 millions de tentatives de contournement des contrôles de sécurité de DataDome. Voici un aperçu de son fonctionnement et pourquoi elle représente un saut majeur en avant dans la sécurité côté client.

Le défi des environnements factices

Depuis toujours, les opérateurs de bots tentent de contourner la détection côté client en simulant l’environnement du navigateur. À l’aide de frameworks en Node.js ou Python, ils interceptent les scripts de détection et leur fournissent des attributs de navigateur codés en dur ou falsifiés.

Bien que l’analyse de ces signaux reste cruciale, les attaquants les plus sophistiqués investissent massivement dans la création d’environnements factices extrêmement réalistes. Il nous fallait un moyen de garantir que la charge utile de détection que nous recevons est entièrement légitime et n’est en aucun cas générée par un attaquant dans un environnement non fiable qu’il contrôle.

Qu’est-ce que la preuve de navigateur ?

La « preuve de navigateur » est un système spécialisé de preuve de travail qui sert de contrôle avancé de l’intégrité du navigateur, garantissant que le code de détection a bien été exécuté au sein d’un véritable moteur de navigateur pleinement fonctionnel.

Au lieu de se contenter de vérifier l’existence d’une propriété spécifique du navigateur, la « preuve de navigateur » oblige le client à effectuer des opérations qui reposent sur des mécanismes et des technologies existant de manière native et exclusive au sein d’un véritable navigateur. Ces mécanismes sont profonds, complexes et étroitement imbriqués de par leur conception.

Par exemple, un bot traditionnel pourrait facilement falsifier son user-agent ou les dimensions d’une fenêtre. Cependant, reproduire la séquence d’exécution exacte, à la milliseconde près, d’une tâche de rendu WebGL complexe entrelacée avec des calculs de mise en page CSS spécifiques et des mutations DOM est une toute autre affaire. 

Parce que ces systèmes imbriqués sont si complexes, ils ne peuvent être simulés ou réimplémentés à moindre coût depuis l’extérieur. Tenter de les simuler en dehors d’un véritable navigateur nécessiterait une puissance de calcul colossale et entraînerait inévitablement de minuscules écarts détectables.

DataDome est parmi les toutes premières entreprises de cybersécurité à adopter ce niveau de preuve de travail dans un environnement imbriqué, ce qui place nos capacités de détection à la pointe du secteur. DataDome a également été récemment reconnu comme un Leader dans The Forrester Wave™: Bot And Agent Trust Management Software, Q2 2026.

Versions polymorphes : contourner l’analyse statique

Une défense statique est une défense vulnérable. Si un mécanisme de protection reste le même, les attaquants finiront par découvrir comment le contourner.

Pour éviter cela, nous avons rendu la preuve de navigateur hautement polymorphe. Le défi est régénéré à partir de zéro à chaque nouvelle version. Lorsqu’un nouveau build est déployé, tout change :

• le calcul de base lui-même,
• les mécanismes spécifiques du navigateur sur lesquels repose le défi,
• la structure globale du code.

Parce que la logique sous-jacente change constamment, toute analyse statique ou script d’accrochage développé par un attaquant devient immédiatement obsolète. Les connaissances qu’ils acquièrent en rétroconcevant une construction ne se transfèrent tout simplement pas à la suivante.

La combinaison ultime : « Proof of Browser » et l’obfuscation basée sur une machine virtuelle

« Proof of Browser » ne fonctionne pas de manière isolée. Elle est profondément intégrée à l’intérieur de l’obfuscation basée sur machine virtuelle (VM) de DataDome.

Ces deux technologies créent une synergie parfaite :

1. La machine virtuelle cache ce qui est mesuré. Elle oblige l’attaquant à analyser du bytecode virtualisé et fortement obfusqué, ce qui rend extrêmement difficile la compréhension des mécanismes du navigateur testés.
2. « Proof of Browser » rend la mesure elle-même infalsifiable. Même si un attaquant devine ce qui est mesuré, il ne peut pas générer une réponse valide sans exécuter le code dans un véritable moteur de navigateur.

Impact concret et performances

Depuis son déploiement récent, « Proof of Browser » s’est révélé extrêmement efficace. Il est actuellement intégré à nos solutions Device Check et de slider, où il a déjà bloqué plus de 14 millions de tentatives de contournement sophistiquées.

Volume des tentatives de contournement des défis bloquées de manière décisive par Proof of Browser au fil du temps

Comme le montre le graphique ci-dessus, le système gère sans effort d’énormes pics soudains de trafic malveillant, neutralisant complètement ces menaces automatisées avant qu’elles n’atteignent les points de terminaison protégés.

Une nouvelle norme pour la sécurité côté client

La sécurité ne doit jamais se faire au détriment de l’expérience utilisateur. Malgré la nature complexe et imbriquée de ces vérifications, la performance de nos défis reste exceptionnelle. Le temps d’exécution est pratiquement inchangé, ce qui garantit que les utilisateurs humains légitimes et leurs agents IA de confiance ne subissent aucune friction supplémentaire.

En combinant l’obfuscation basée sur machine virtuelle avec la nature infalsifiable de la preuve de navigateur, DataDome continue de rendre le boting économiquement non viable pour les attaquants tout en préservant une expérience web fluide pour les véritables utilisateurs.

Réservez une démo dès aujourd’hui pour voir comment DataDome peut protéger vos points de terminaison contre les bots malveillants et les agents IA indésirables.