Dans les coulisses d’une entreprise de sneaker bots
Vous êtes-vous déjà demandé comment fonctionnent les entreprises de sneaker bots (bots d’achat de baskets) ? Sur Twitter et Discord, certains se vantent de rafler et revendre des produits en édition limitée grâce à des bots, mais les rouages de l’industrie des sneaker bots sont généralement gardés secrets.
Quelle est donc la réalité ? C’est l’histoire que nous voulons raconter.
Dans cet article, nous plongeons au cœur de l’activité d’une entreprise de sneaker bots bien connue, qui cible plus de 30 détaillants de sneakers dans le monde entier, dont certains sont protégés par DataDome. Nous avons analysé le trafic web de cette entreprise sur une période de deux semaines, et voici ce que nous avons découvert.
*AVERTISSEMENT : Nous n’avons pas “piraté” l’entreprise de sneaker bots mentionnée dans cet article. Ils nous ont fourni un accès à leur trafic, et nous avons pris soin de préserver leur anonymat.*
Structure du site web
Le site web du sneaker bot présente une page d’accueil mettant en avant les principales fonctionnalités du bot ainsi que les sites de vente ciblés. En dehors de cette page, la majorité des URL sont protégées par un accès réservé aux membres. Comme c’est souvent le cas dans l’industrie des sneaker bots, le bot lui-même est proposé en édition limitée (tout comme les baskets qu’il vise), et il n’est pas disponible à la vente directe sur le site.
Au lieu de cela, un visiteur a deux options :
- Attendre un drop aléatoire et espérer être suffisamment chanceux pour pouvoir acheter une clé de licence.
- Acheter le bot via des marketplaces spécialisées (comme CopSupply ou BotBroker) ou sur un canal privé Discord, avec les risques potentiels d’arnaques que ces transactions comportent.
L’entreprise de sneaker bots s’appuie sur Stripe pour les paiements et utilise Zendesk pour assurer une assistance 24/7.
Le site web est structuré de manière professionnelle avec plusieurs sous-domaines :
- siteBot.com ;
- api.siteBot.com ;
- status.siteBot.com : c’est la page de statut du site. Ils utilisent UptimeRobot pour s’assurer que leur site est opérationnel ;
- socket.siteBot.com : point de terminaison pour gérer les connexions websocket ;
- et d’autres sous-domaines que nous ne dévoilerons pas afin de préserver leur anonymat.
Les principales fonctionnalités du site comprennent :
- une page de connexion ;
- un tableau de bord utilisateur ;
- un point de paiement pour le renouvellement de la licence ;
- un panneau d’administration.
Le site propose une intégration avec Discord, ce qui n’est pas surprenant étant donné la popularité de cette plateforme et de ses bots dans la communauté sneaker.
Trafic du site web
Le graphique ci-dessous montre le nombre de requêtes par heure sur le site web et les API associées au fil du temps. Hormis quelques bots réalisant des scans de vulnérabilités, nous n’avons pas observé de volume significatif de trafic malveillant. (Il reste cependant crucial de comprendre comment prévenir les scans de vulnérabilités lorsqu’ils se produisent.)
Comme la plupart des sites web aujourd’hui, l’entreprise de sneaker bots est confrontée à des bots effectuant des vulnerability scannings.
Sans surprise, les points de terminaison websocket représentent la majeure partie du trafic (4M sur 6M).
Nombre d’utilisateurs
Pour estimer le nombre d’utilisateurs du service, nous avons analysé les sessions présentant une activité similaire à celle d’un humain.
Nous avons identifié 358 sessions humaines au total. Cependant, ce chiffre est probablement une estimation haute, car un utilisateur peut se connecter depuis plusieurs appareils et navigateurs. Par conséquent, une estimation d’environ 175 utilisateurs est plus précise (si l’on considère que la plupart des utilisateurs accèdent au service à partir d’un ordinateur et d’un appareil mobile).
Ce nombre peut sembler faible, compte tenu de la popularité des entreprises de bots sur les réseaux sociaux (plus de 45 000 abonnés sur Twitter). Cela s’explique en partie par le fait que suivre une entreprise de bots sur les réseaux sociaux est souvent l’unique moyen d’être sélectionné pour acheter une licence de bot.
La raison pour laquelle les bots (comme les sneakers) sont souvent vendus en édition limitée est qu’un trop grand nombre de bots serait contre-productif, car ils se feraient concurrence. Les bots en “édition limitée” permettent également aux vendeurs de fixer des prix plus élevés tout en ayant moins d’utilisateurs à supporter.
Environ 175 utilisateurs correspondent à ce que de nombreux sneaker bots annoncent sur les réseaux sociaux et dans les canaux Discord.
Localisation des utilisateurs
Le graphique ci-dessous montre les principaux pays des utilisateurs de l’entreprise de sneaker bots, d’après la géolocalisation associée à leurs adresses IP.
Répartition de la base d’utilisateurs :
Nous constatons que la majorité des utilisateurs viennent d’Europe, ce qui est cohérent avec les sites web de baskets ciblés par les sneaker bots.
Comprendre le processus de développement des bots
Nous avons tenté d’identifier les administrateurs et les développeurs des sneaker bots afin de mieux comprendre leur mode opératoire. En particulier, nous souhaitions approfondir le processus de développement des bots utilisés contre les clients que nous protégeons, afin de mieux les protéger.
Pour identifier les développeurs et administrateurs des bots, nous avons filtré le trafic sur les URL de type /admin/*.
- Plus de 95 % des requêtes provenaient de cinq adresses IP italiennes, ce qui correspond aux informations que nous avons recueillies en ligne sur différents réseaux sociaux.
- En plus de ces cinq adresses IP italiennes, nous avons également observé que plus de 5 % des requêtes provenaient d’adresses IP coréennes, espagnoles et suisses.
Ces données, combinées avec d’autres informations collectées en ligne, nous amènent à penser qu’il y a probablement un ou deux administrateurs.
Nous avons ensuite analysé le trafic des adresses IP sur les sites de sneakers que nous protégeons pour nos clients. Parmi tous les sites et applications de baskets que nous sécurisons, les adresses IP de cette entreprise de sneaker bots ont effectué des requêtes sur trois sites et applications (voir graphique ci-dessous).
- Sur une période de trois semaines, le trafic provenant des adresses IP de l’entreprise de sneaker bots est resté faible : environ 1 700 requêtes.
- Nous avons identifié environ 400 requêtes de bots, soit ~23,5 % des 1,7K requêtes effectuées par ces IP.
Ce faible volume de requêtes de bots n’est pas surprenant. Les développeurs de bots utilisent principalement des proxys résidentiels pour masquer leurs propres adresses IP et éviter d’être bloqués.
L’analyse de ce trafic suggère que les développeurs étaient en phase de test pour optimiser leurs bots, plutôt qu’en train de chercher à acheter des sneakers en édition limitée. En effet, aucune sortie en édition limitée n’avait lieu au moment où nous avons détecté ce trafic. De plus, les chaussures ciblées n’avaient pas de valeur particulière sur le marché de la revente.
Combien rapporte un sneaker bot ?
Au cours des deux semaines d’analyse, nous avons comptabilisé 16 renouvellements de licence annuelle.
Cela représente environ un renouvellement par jour.
Le prix du sneaker bot, lorsqu’il est acheté via la source officielle (hors revente), est d’environ 200 euros (~211 USD), avec un abonnement mensuel de 30 euros (~32 USD) pour continuer à l’utiliser.
30 euros (abonnement mensuel) * 12 mois * 365 jours (1 renouvellement par jour en moyenne) = 131K euros (~138K USD) par an uniquement grâce aux abonnements (sans inclure le prix initial du bot).
Si l’on prend en compte une base d’environ 175 utilisateurs, avec un prix minimum de 200 euros par bot (175 utilisateurs * 200 euros), les développeurs de bots ont généré au moins 35K euros (~37K USD) de revenus initiaux.
Remarque : tous les utilisateurs ne paient pas 200 euros par bot. Comme le bot est vendu en édition limitée, beaucoup d’utilisateurs doivent l’acheter via des marketplaces de revente. De plus, il est fréquent que les administrateurs de bots vendent une partie de leurs licences au prix de détail sur leur site, et l’autre au prix de revente sur des marketplaces.
Bien qu’il n’existe pas d’historique des prix de revente pour ce bot en particulier, nous pouvons supposer que le bot se revend souvent à 2 fois le prix d’origine : environ 400 euros (~422 USD). Ainsi, si la moitié des licences ont été vendues au prix de détail et l’autre moitié au prix de revente, cela signifie que l’entreprise a réalisé :
87,5 utilisateurs * 200 euros + 87,5 utilisateurs * 400 euros = 52,5K euros (~55K USD).
Partenariats potentiels
L’écosystème des sneaker bots dépasse largement le logiciel en lui-même. Les utilisateurs doivent également investir dans des proxys résidentiels et des cook groups pour maximiser leurs chances d’obtenir des sneakers en édition limitée.
Proxies résidentiels : il est probable que l’entreprise de sneaker bots que nous avons étudiée ait un partenariat avec le service de proxys résidentiels Koch.gg. Nous avons observé plusieurs URL et référents pointant vers ce service depuis le tableau de bord.
Bien que ce partenariat ne soit pas explicitement annoncé sur le site, nous pensons que l’intégration avec Koch.gg est probablement facilitée. Ce fournisseur de proxys, spécialisé dans les sneaker bots, collabore déjà avec plusieurs bots dans l’industrie, il est donc probable que ce partenariat ne soit pas exclusif.
Cook Groups : nous avons également identifié un nombre important d’utilisateurs provenant du référent cook.goodfellasclub.io, un cook group spécialisé dans les sneaker bots. Contrairement aux proxys Koch.gg, nous n’avons pas observé d’intégration spécifique dans le tableau de bord. Nous ne pouvons donc pas confirmer l’existence d’une relation formelle entre cette entreprise de bots et le service de cook group.
Conclusion
Notre enquête sur un service de sneaker bots populaire révèle que les développeurs de ces bots sont extrêmement compétents (ce qui n’est pas toujours le cas des utilisateurs, à en juger par certains commentaires sur les réseaux sociaux). L’entreprise de sneaker bots que nous avons étudiée :
- gère un site web bien conçu et optimisé ;
- propose un service client 24/7 ;
- s’appuie sur des solutions SaaS réputées pour garantir le respect de ses SLA ;
- réalise des tests réguliers sur les sites de sneakers qu’elle cible pour s’assurer que le bot fonctionne correctement.
D’un point de vue commercial, les entreprises de sneaker bots peuvent générer des revenus considérables : nous avons estimé à ~183,5K euros (~193,5K USD) par an les revenus directs issus des ventes de logiciels et des abonnements mensuels. De plus, il est très probable que les opérateurs de bots aient des partenariats avec d’autres services de l’écosystème des sneaker bots, tels que les fournisseurs de proxys et les cook groups, ce qui pourrait constituer une autre source de revenus.
Les scalper bots en général, et les sneaker bots en particulier, ont connu une montée en flèche ces dernières années. Avec des marketplaces dédiées comme StockX, et des sneakers en édition limitée se revendant à plus de cinq fois leur prix initial, les sneaker bots n’ont jamais été aussi rentables.
Vous avez peut-être entendu l’adage : « Pendant une ruée vers l’or, vendez des pelles. » Nos observations montrent que les acheteurs de bots dépensent parfois plus d’argent dans les sneaker bots que les collectionneurs de sneakers ne paient pour des éditions limitées.
Si vous souhaitez découvrir quels bots malveillants ciblent votre site web, application mobile ou API, vous pouvez demander une évaluation gratuite de votre trafic et bénéficier d’un essai gratuit de 30 jours de DataDome.
Articles liés
Scalping de billets : définition, impact et prévention des bots de billetterie
En savoir plus
La pénurie de RAM DDR5 alimentée par la demande en IA provoque une vague massive de scalping
En savoir plus
Comment DataDome a arrêté des millions de bots de scalping de billets ciblant une organisation sportive mondiale
En savoir plus
Lutter contre la fraude au scalping et les abus de rétrofacturation dans la billetterie et l’e‑commerce
En savoir plus
