Alors que les bots envahissent les files d'attente virtuelles lors des ventes de billets de concerts par exemple, le Français DataDome a dévoilé une solution qui permet enfin de distinguer un vrai fan d'un agent IA malveillant.
Qui n'a pas déjà pesté devant cette interminable file d'attente pour un concert de Beyoncé, des Gun N'Roses et d'autres pour finir déçu(e), énervé(e), parce que « cet événement ne dispose plus de billets à la vente » ? Ces dernières années, même si les concerts de Céline Dion auraient pu faire exception, car ils nécessitaient de laisser une empreinte bancaire discutable par ailleurs, la plupart des gros concerts ou spectacles organisés en France ont été largement pollués par des milliers et des milliers de bots qui ont devancé les fans, les vrais. C'est ce problème que DataDome entend régler avec « Priority Protect », sa nouvelle salle d'attente virtuelle dévoilée ce mercredi 20 mai, qui vise plus particulièrement les agents IA.
DataDome sait comment faire la différence entre un humain et un bot dans une file d'attente virtuelle
Les salles d'attente virtuelles ont longtemps suffi à absorber les pics de trafic. Mais aujourd'hui, le problème n'est plus forcément technique, il est humain. Les agents IA ne dorment jamais, ne s'impatientent jamais, et peuvent réagir en une fraction de seconde dès qu'un billet est mis en ligne. En face, même le fan le plus rapide de la Terre part perdant. La question n'est donc plus de savoir si le site va tenir la charge, comme à l'époque, mais si les vraies personnes auront encore leur chance.
DataDome, qui a déjà montré son savoir-faire en matière de lutte contre les attaques DDoS, évoque le cas d'une vente de billets lancée à minuit pour un grand événement sportif. La société française a analysé l'ensemble du trafic en file d'attente, pour finalement constaté que 31 % des connexions n'émanaient pas d'humains mais de bots malveillants, soit un total de 2,4 millions de requêtes automatisées, sur 7,8 millions. Pendant que des fans attendaient sagement leur tour derrière leur écran, près d'un tiers de la file était occupé par des machines venues rafler les places en leur nom, pour viser une revente à prix démentiel ou alors frauduleuse ensuite sur les réseaux sociaux et messageries.
Pradheep Sampath, chef de produit chez DataDome, sait que « les moments de forte affluence doivent générer du chiffre d'affaires, pas provoquer des interruptions de service ». Or, une file d'attente qui ne fait pas la différence entre un humain et un bot ne peut pas être considérée comme équitable, car elle laisse simplement les machines se servir en premier. Et cette pour combler cette faille que la solution Priority Protect a été conçue.
Une IA qui surveille la file d'attente de l'entrée… jusqu'à la sortie
La plupart des systèmes de file d'attente font leur travail à l'entrée, puis ils laissent passer les visiteurs sans plus s'en préoccuper. Priority Protect fait les choses différemment, avec une surveillance continue de chaque session. Et si un comportement anormal est détecté en cours de session, admettons un bot qui se faisait discret pour passer les contrôles et reprend ensuite son activité frauduleuse, le système peut l'intercepter à nouveau, voire l'expulser de la file. Une façon de contrer les tentatives de contournement les plus sophistiquées.
Le moteur d'intelligence artificielle de DataDrome propulse directement Priority Protect. Il s'agit d'un système alimenté chaque jour par environ 5 000 milliards de signaux collectés sur l'ensemble de son réseau. Chaque connexion à la file d'attente est passée au crible en temps réel, à la fois du côté du serveur et de l'appareil de l'utilisateur, pour déterminer en moins de deux millisecondes si on a affaire à un humain ou à un bot, une latence quasi nulle. Tout va si vite, en fait, que le visiteur légitime ne remarque absolument rien, avec une précision de détection revendiquée de 99,99%.
Pour les entreprises qui l'adoptent, Priority Protect laisse un contrôle total sur le paramétrage à son utilisateur. Ce sont les clients qui décident qui entre, à quel rythme, et selon quelles règles, c'est-à-dire humains en priorité, agents IA autorisés acceptés, et/ou bots bloqués. Tout se gère en temps réel depuis un tableau de bord ou une API, sans que l'utilisateur ne quitte jamais le site de la marque. Et les vrais fans, eux, peuvent enfin espérer avoir une chance.
