Les robots spécialistes du scalping, méthode qui consiste à acheter des biens très demandés pour les revendre trois fois plus chers, seraient particulièrement actifs durant la période des fêtes de fin d’année. Et leur armée s'étoffe d'année en année.
Il y a quelques jours, un petit drame se déroulait chez les fans de Taylor Swift. Le 17 novembre, Ticketmaster annonce l'annulation de la vente des billets de la prochaine tournée de la chanteuse aux États-Unis pour cause de « stock insuffisant ». Une décision prise quelques jours après le fiasco de la prévente de la même tournée. Le site a fait face à un pic d’affluence jamais vu auparavant laissant des milliers de “ « Swifites » attendre des heures avant de se voir refuser l’achat de leur billet au moment du paiement. Dans un communiqué, l’entreprise explique avoir dû gérer 3,5 milliards de requêtes en même temps. Ticketmaster tient en partie pour responsable des attaques de bots acheteurs, des robots programmés pour acheter plus vite et avant tout le monde des produits très demandés afin de les revendre bien plus chers sur des sites spécialisés. Ils sont parfois appelés « scalping bots » ou Grinch bots, en référence au Grinch, ce personnage de conte qui vole tous les cadeaux de Noël.
Ces bots – assez facilement téléchargeables (pas besoin de fouiller les tréfonds du dark web) – sont généralement opérés par de petits boursicoteurs de biens de consommation, qui s'organisent en groupe via le réseau social Discord. Mais aussi par des internautes lambda qui cherchent à faire leurs achats de Noël.
Bot 1, Swifties 0
Pourtant Ticketmaster avait surveillé ses arrières. Comme d’autres e-commerçants, le site a mis en place un système de vérification pour permettre aux acheteurs d’avoir un accès prioritaire à certains produits très demandés. Celui de Ticketmaster s’appelle Verified Fans. Les fans doivent s’enregistrer avant le jour de la prévente afin d’obtenir un code qui leur permettra d’y accéder. Ce système en plusieurs étapes est censé prévenir des rafles de bots, mais il n’a visiblement pas suffi. Quelques heures après la prévente, des tickets pour la tournée de Taylor Swift étaient déjà sur le marché secondaire à plus de 25 000 dollars alors que de « vrais » verified fans se sont retrouvés sur le carreau.
Et les Grinch bots n’ont pas fini de sévir. Ils seraient particulièrement actifs pendant la période des fêtes de fin d’année, rapporte Fast Company. Dans une récente étude, la société de cybersécurité Imperva, citée par le média américain, fait état de 69,5 millions requêtes journalières de bots en moyenne pendant les mois de septembre et octobre 2022, contre une moyenne de 46,5 millions le restant de l’année. Ces armées de robots peuvent parfois provoquer plusieurs milliards de requêtes simultanées, provoquant des bugs techniques, voire des dénis de service. Leur usage serait par ailleurs en progression par rapport à l’an dernier, pointe Imperva. Et leur niveau de sophistication aussi. 27 % des attaques repérées par Imperva en novembre 2021 ont été effectuées par des « advanced bots » (des robots capables d’imiter les comportements humains de façon à tromper plus facilement les sites web), contre 23 % en 2020.
Les robots malveillants représentent près de 30 % du trafic en ligne
Les Grinch bots s'intéressent surtout aux places de concert, billets d’avion, ventes de sneakers, de consoles de jeux et tous types de biens en édition limitée, vendus par le biais de « drops » et autres collections capsule. Ces bots dédiés à l’achat-revente font partie de la catégorie des « bad bots » selon l’appellation d’Imperva, aux côtés notamment des bots voleurs de coordonnées bancaires. Au total, ces robots malveillants auraient représenté 27,7 % de l’ensemble du trafic du web en 2021 selon la société, contre 25,6 % en 2020. Ils sont particulièrement actifs dans l’e-commerce. 22,6 % des inscriptions sur les sites d’e-commerce seraient effectuées par des robots mal intentionnés.
Outre les problèmes techniques et la hausse des prix, les conséquences des Grinch bots sont plus insidieuses. Ils peuvent endommager sérieusement l’image d’un vendeur, dont les clients n’obtiennent pas les produits qu’ils souhaitent. Souvent, ce ne sont d’ailleurs pas les grandes marques qui pâtissent de leurs effets, mais plutôt les revendeurs de ces marques.
Aux États-Unis, une tentative de légiférer ces bots est en cours depuis plusieurs années sans grand succès. En 2016, une première loi interdisait l’usage de bots pour l’achat de places de concert et autres événements sportifs et culturels. Et ce n’est que 6 ans plus tard, en janvier 2021, que la première amende a été donnée au nom de cette loi. Fin 2021, des élus américains ont annoncé un nouveau projet de loi intitulé Stopping Grinch Bots Act, encore en cours d’amendement. Une loi similaire a vu le jour au Royaume-Uni sans que cela n’ait véritablement eu d’effet sur l’utilisation de ces bots.
Laisser-faire des marques ?
Le problème c’est qu’il y a aussi une forme de laisser-faire de la part des marques victimes des opérations de scalping. Comme le pointait le chercheur spécialiste de la cybersécurité Bruce Schneier dans Quartz : « Ils diront en public qu’il est horrible que des gens achètent leur produit et le revendent, mais ils aiment la publicité, ils aiment la rareté, ils aiment le fait qu’un produit porte un tel cachet. »
Participer à la conversation