DataDome

Comment DataDome a arrêté des millions de bots de scalping de billets ciblant une organisation sportive mondiale

Table des matières
Dernière mise à jour : 2 Feb, 2026
|
min

Entre le 8 et le 13 janvier 2026, une organisation sportive mondiale a été ciblée par une attaque de scalping. Pendant six jours, les attaquants ont lancé plus de 16 millions de requêtes malveillantes depuis 3,9 millions d’adresses IP uniques, toutes ciblant les flux de paiement dans une tentative agressive de scalper des billets. 

L’équipe Galileo de recherche sur les menaces de DataDome a réussi à contrecarrer cette attaque, déployant des protections en temps réel qui ont bloqué les 16 millions de requêtes malveillantes tout en maintenant un accès transparent pour les clients légitimes. Résultat : aucune perturbation pour les vrais fans, et aucune perte de billets au profit des scalpers.

Indicateurs clés de l’attaque de scalping

+ 2 4 6 9
+
6 6 0 4
d 3 2 6 1
d
e 6 2 8 0
e
4 7 6 6
1 2 9 9 3
1
6 5 2 5 4
6
6 1 8 0
m 5 6 2 4
m
i 7 3 4 1
i
l 8 0 2 2
l
l 5 3 0 8
l
i 3 4 3 1
i
o 5 0 6 1
o
n 7 3 6 7
n
s 5 3 3 7
s
de requêtes malveillantes
3 5 3 5 4
3
. 6 6 0 3
.
9 2 9 7 0
9
5 8 9 5
m 3 7 7 5
m
i 5 7 0 4
i
l 8 1 4 2
l
l 7 6 8 4
l
i 2 1 1 4
i
o 9 4 0 2
o
n 6 1 8 0
n
s 2 1 4 1
s
d'IP uniques impliquées
1 4 0 4 8
1
3 4 3 1 5
3
3 4 4 8 7
3
. 9 1 5 7
.
6 7 7 1 9
6
3 7 1 1 6
3
requêtes par seconde au pic
6 1 8 2 3
6
6 2 3 4
j 8 7 3 7
j
o 4 2 8 7
o
u 8 7 2 0
u
r 6 8 5 7
r
s 5 6 7 6
s
durée de l'attaque
C 5 7 8 6
C
h 8 2 8 9
h
e 2 7 5 9
e
c 7 3 9 2
c
k 8 4 7 9
k
o 1 0 5 0
o
u 6 7 8 2
u
t 7 8 9 8
t
ciblés

Aperçu de l’attaque

Le graphique ci-dessous (Image 1) illustre le trafic de bots malveillants détecté et bloqué pendant l’attaque par le moteur de détection de DataDome. À son apogée, l’attaque a atteint une vitesse maximale de 133,63 requêtes par seconde.

Les attaquants ont ciblé les flux de paiement, où les billets sont temporairement réservés, tentant de monopoliser l’inventaire avant que les vrais fans ne puissent terminer leur achat. Le volume considérable d’IP uniques impliquées—près de 4 millions—indique une opération de fraude professionnellement organisée avec accès à des ressources d’infrastructure substantielles. 

Sans intervention, cette attaque aurait entraîné une détérioration de l’image de marque, une perte de confiance des clients et potentiellement un examen réglementaire des pratiques de distribution de billets.

Nombre de requêtes de bots malveillants bloquées par fenêtre de 2 heures

 

 Image 1: Nombre de requêtes de bots malveillants bloquées par fenêtre de 2 heures

Distribution et caractéristiques de l’attaque

Pays d’origine principaux

Le trafic provenait de cinq pays principaux:

  • États-Unis: 56%
  • Canada: 19%
  • Royaume-Uni: 18%
  • Allemagne: 4%
  • Espagne: 3%

Cette distribution suggère que les acteurs de la menace ont stratégiquement positionné leur infrastructure dans les principaux marchés pour se fondre dans les schémas de trafic des utilisateurs légitimes. L’imitation de la répartition géographique attendue est une pratique courante pour les opérations de scalping avancées.

 

Répartition géographique de l'origine des requêtes

 Image 2: Répartition géographique de l’origine des requêtes

Profil de l’infrastructure

L’analyse des numéros de système autonome (ASN) a révélé que les attaquants s’appuyaient fortement sur les principaux fournisseurs de réseau. Les cinq principaux ASN comprenaient :

  • AS7922: 39%
  • AS7018: 21%
  • AS701: 14%
  • AS5089: 13%
  • AS2856: 13%

Ils sont tous associés aux services d’infrastructure de centre de données et de réseau.

Cette diversité d’infrastructure sert deux objectifs : elle distribue le trafic d’attaque sur plusieurs réseaux pour éviter de déclencher des limites de taux, et elle fournit des options de secours si un réseau unique est bloqué. Exploiter l’infrastructure de plusieurs grands fournisseurs indique que les attaquants ont donné la priorité à la fois à la résilience opérationnelle et à la capacité d’évasion.

Empreinte technique

L’agent utilisateur le plus courant dans le trafic d’attaque était Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36. Cela imite un navigateur Chrome légitime sur Windows 10, l’une des configurations d’utilisateur les plus courantes à l’échelle mondiale.

Les attaquants ont également déployé des tentatives d’évasion conçues pour se fondre dans les schémas de trafic des utilisateurs légitimes, y compris l’utilisation de services de résolution de CAPTCHA pour contourner les mécanismes traditionnels de détection de bots.

Comment l’attaque a-t-elle été détectée et bloquée ?

L’équipe Galileo de recherche sur les menaces de DataDome a rapidement analysé les schémas d’attaque et déployé des mécanismes de détection améliorés spécifiquement calibrés pour ce profil de menace. Notre moteur de détection alimenté par l’IA a identifié et s’est adapté à l’évolution de l’attaque en temps réel, en analysant les schémas de requêtes, les anomalies comportementales et l’utilisation de l’infrastructure pour distinguer les bots malveillants des utilisateurs légitimes avec une grande précision.

Les améliorations de détection déployées pour cette attaque se sont concentrées sur quatre domaines clés :

Analyse des schémas de requêtes : les utilisateurs légitimes consultent les détails des événements, comparent les options de sièges et hésitent avant d’acheter. Le trafic des bots a complètement sauté ces étapes, passant directement aux opérations de panier avec des intervalles de temps de précision machine.

Détection d’incohérence comportementale : les utilisateurs réels génèrent des signaux côté client attendus (mouvements de souris, événements de défilement, exécution de JavaScript). Les bots scalpeurs ne généraient pas ces signaux, ce qui a indiqué un comportement automatisé comme étant incohérent avec l’interaction humaine.

Corrélation d’infrastructure : en recoupant les adresses IP avec des plages de centres de données connues et des fournisseurs de services proxy, DataDome a identifié des infrastructures couramment associées aux opérations de bots. Ce contexte, combiné aux signaux comportementaux, a permis des décisions de blocage avec une grande confiance.

Protection adaptative en temps réel : à mesure que l’attaque évoluait sur cinq jours, nos modèles d’IA mettaient continuellement à jour la logique de détection. Lorsque les attaquants changeaient de tactique ou introduisaient de nouvelles plages d’IP, DataDome s’adaptait rapidement, maintenant une protection constante sans intervention manuelle.

Résultat : aucun impact sur les ventes de billets légitimes. Les fans ont accédé aux billets sans friction, tandis que 16 millions de requêtes malveillantes ont été arrêtées avant même d’atteindre le système de paiement.

Protégez votre site web contre les attaques de scalping avec DataDome

Les attaques de scalping de billets ont un impact qui va au-delà de vos résultats financiers. Lorsque les bots monopolisent l’inventaire, les clients perdent confiance, l’attention réglementaire augmente, et le contrôle de l’accès aux produits et des prix se déplace vers les marchés secondaires. 

Cette attaque démontre la sophistication des opérations de scalping modernes : 3,9 millions d’IP, une infrastructure de centre de données distribuée, et des capacités de résolution de CAPTCHA, tous conçus pour contourner les défenses traditionnelles. Ces opérations sont organisées, bien financées, et en constante évolution.

Le moteur de détection alimenté par l’IA de DataDome analyse l’intention en temps réel, identifiant le comportement automatisé à travers des centaines de signaux, pas des règles statiques que les attaquants contournent facilement. Cette approche offre une protection qui correspond à la sophistication du scalping d’aujourd’hui, tout en gardant les transactions légitimes sans friction.

Réservez une démo pour voir comment DataDome arrête les bots scalpeurs en moins de 2 millisecondes.