Gajus - Fotolia

L’essentiel sur DataDome, spécialiste de la lutte contre les bots

Cette jeune pousse n’a que quatre ans d’existence, mais elle s’est faite une solide réputation, comme le montrent ses références, en France et au-delà, dans le commerce électronique et bien plus.

C’est en 2015 que Benjamin Fabre et Fabien Grenier ont créé DataDome, dans une continuité certaine de leur précédente entreprise, Linkfluence. Cette dernière était spécialisée dans l’analyse de la représentation des marques sur les réseaux sociaux. Et pour ses activités de surveillance, elle avait besoin de robots. Mais les siens étaient loin d’être seuls à fureter en ligne, que ce soit pour des motifs légitimes, ou pour d’autres bien moins acceptables, comme les attaques en déni de service, les tentatives de détournement de comptes, ou encore la collecte de données tarifaires, notamment.

Benjamin Fabre, aujourd’hui directeur technique de DataDome, explique que le développement initial de la solution technique a duré deux ans. Puis est venue la commercialisation en France. Un succès immédiat. Aujourd’hui, il revendique « près de 60 % des sites d’e-commerce » de l’Hexagone, ainsi que des médias tels que Ouest France, Le Parisien, Le Nouvel Obs, et Le Monde, aux côtés des Pages Jaunes ou encore de Le Bon Coin, entre autres. Aujourd’hui, l’heure est développement international, notamment depuis l’ouverture, au printemps, d’un bureau à New York. Déjà, Banjemin Fabre revendique des références aux États-Unis, en Amérique latine, et dans la région Asie/Pacifique.

Le succès commercial surprend d’autant moins que le marché apparaît plutôt actif dans le domaine de la lutte contre les bots. Ainsi, Check Point a annoncé en janvier dernier l’acquisition de ForceNock. Un an plus tôt, Oracle se lançait dans celle de Zenedge, quelques mois après qu’Instart ait levé 30 M$ (portant le total de son financement à 140 M$ depuis sa création en 2012). Et tout récemment, c’est Barracuda qui s’est offert Infisecure pour protéger applications, services Web, et API contre les bots, en s’appuyant notamment sur l’apprentissage automatique.  

À l’automne 2017, celui qui s’appelle désormais Oui.sncf expliquait comment il luttait seul contre les robots. Mais pour Benjamin Fabre, les acteurs capables de cela sont rares. Et comme pour les acquisitions sur le marché, c’est « à mettre en parallèle avec l’évolution de la menace ». Car au fil des années les menaces ont considérablement évolué, pas seulement en volume.

Le directeur technique de DataDome se souvient ainsi de l’époque où les bots utilisaient des scripts relativement sommaires et primitifs pour tenter du détournement de comptes par credential stuffing. Mais leur comportement était très éloigné de celui d’un humain, et « il était très facile de les détecter et de les bloquer ». Ce n’est plus le cas aujourd’hui. Des outils tels que la version dite headless de Chrome n’aide pas : elle permet d’automatiser l’accès à des pages Web avec ce qui ressemble de très près au navigateur Web qu’utiliserait un internaute. Et là, « cela devient très compliqué à détecter ».

À cela s’ajoute la distribution des attaques, avec l’utilisation d’adresses IP d’internautes pleinement légitimes, mais dont un équipement a pu être compromis – y compris des terminaux mobiles avec des applications malicieuses. Au final, « on se retrouve avec des bots qui utilisent les mêmes navigateurs et les mêmes adresses IP que des humains. Beaucoup de solutions s’avèrent dépassées ».

Alors bien sûr, il n’est pas question de prendre le risque de bloquer brutalement un potentiel visiteur légitime : « on présente un challenge ». Les actions sont d’ailleurs là personnalisables. Et le défi présenté est lui-même utilisé « dans une boucle de rétroaction pour mettre à jour les modèles et faire évoluer la représentation des activités humaines ».

La solution de DataDome s’appuie, d’un côté, sur du code JavaScript pour les navigateurs clients, et sur un composant serveur, conçu, explique Benjamin Fabre, « pour la logique DevOps avec un environnement d’hébergement hybride ». Des agents sont ainsi disponibles pour Apache, Nginx, mais aussi pour les réseaux de distribution de contenu ou encore les systèmes de répartition de charge. Proposée en mode SaaS, la solution a l’avantage de la légèreté et de la rapidité de déploiement.

Pour approfondir sur Sécurité du Cloud, SASE