Armés de bots, les scalpers raflent PS5 et éditions limitées pour s’enrichir

Scalpers, type de hacker e-commerce, a développé des technologies d’achat automatisé pour prendre avant tout le monde des produits disponibles en petites quantités afin de les revendre à un prix plus élevé. Enquête.

Les temps sont durs pour les fans de Playstation. La dernière version de leur console préférée, la Playstation 5, est peut-être sortie il y a près de six mois, dont beaucoup n’ont pas réussi à mettre la main dessus. Il était en rupture de stock le jour de sa sortie. Depuis, les commerçants ont parfois mis en ligne de petits stocks de quelques dizaines ou centaines d’appareils, disparaissant en quelques minutes. Car dans le jeu le plus rapide pour trouver et acheter les quelques consoles disponibles en ligne, tous les internautes ne sont pas dans le même bateau. Grâce à différentes technologies, les scalpers, un type de hacker du e-commerce, sont capables de trouver puis d’acheter un stock complet de consoles presque immédiatement. Ils sont ensuite revendus sur des sites de vente entre particuliers comme eBay, Rakuten ou StockX. Commercialisée à 399 ou 499 euros selon les modèles, la PS5 peut être achetée pour 600, 700, 800 et même jusqu’à 1000 euros sur ces sites. Chez Cdiscount, par exemple, c’est quasiment «une tentative d’acheter une PS5 sur deux provenant d’un système automatisé», reconnaît Romain Broussard, directeur général de Cshield, filiale de cybersécurité du site e-commerce.

La pratique du stripping vient du monde de la mode, qui aime les vêtements et les chaussures en éditions limitées. Parce que les scalpers s’enrichissent grâce à la rareté: dans la mode, ce sont des articles en très petites quantités et jamais réédités. Et actuellement dans le secteur des technologies, c’est le manque de certains composants qui provoque un effondrement de l’offre pour de nombreux produits comme les consoles ou les cartes graphiques. Dès que l’approvisionnement est suffisamment mince pour pouvoir en prendre le contrôle, les scalpeurs ont une chance de jouer.

Détecter, contourner, acheter

Détecter, contourner, acheter

Mais comment être toujours les premiers informés et les premiers à commander lorsqu’un nouvel inventaire est vendu? Les technologies qu’ils utilisent reposent sur deux piliers principaux: la découverte de l’inventaire et le voyage d’achat automatisé. Les scalpers exécutent d’abord des serveurs virtuels ou des machines qui remettent continuellement en question la disponibilité des produits qu’ils recherchent sur différents sites. Mais comme ces sites sont pris d’assaut dès qu’ils mettent un produit rare sur le marché, des systèmes de files d’attente sont généralement mis en place par le site. Intolérable pour les scalpeurs, qui parviennent à croiser la queue en téléchargeant sur de nombreux sites le format URL pour ajouter un produit au panier. Ensuite, pour perdre le moins de temps possible et maximiser leurs chances, les scalpers disposent de scripts capables de compléter automatiquement toutes les étapes entre la sélection des produits et l’achat, ce qui nécessite beaucoup de clics. Lorsque les informations de carte de crédit sont pré-remplies, certains peuvent même pousser l’automatisation du paiement.

Cela pourrait vous interrésser :   Google Pixel 5 en promo, un champion de la photo au juste prix

Les sites de commerce électronique ont vu cette activité, mais ils semblent incapables de l’arrêter complètement. Au lieu de cela, ils ont adopté une stratégie de retenue, explique Romain Boussard, pour tenter de rendre les opérations de scalper aussi coûteuses que possible et de perdre le plus de temps possible lors du processus d’achat. “C’est une question de ressources. Lire aussi : FLoC: le projet controversé de Google pour remplacer les cookies tiers. Construire un robot qui supprime toutes les protections grâce à l’intelligence artificielle est relativement simple. En revanche, la mise en œuvre et l’exploitation de ces technologies à grande échelle sont relativement coûteuses.”

“La mise en œuvre et l’exploitation de ces technologies à grande échelle sont relativement coûteuses.”

Par exemple, l’une des techniques consiste à forcer l’ordinateur à effectuer un tas d’opérations informatiques, invisibles pour le client moyen, mais qui prend du temps et des ressources informatiques lors du chargement des pages. Si cela implique une dégradation de l’expérience pour tous les utilisateurs, cette solution semble acceptable pour Cdiscount, compte tenu du niveau de détermination des clients qui achètent la PS5. De même, les sites peuvent modifier leur architecture pour rendre plus difficile la recherche de nouveaux articles. Certes, cela peut affecter le référencement on-page sur Google, mais ce n’est pas un problème dans le cas d’un produit comme la PS5, car la demande est énorme.

Dans ce jeu de chats et de souris, les scalpeurs s’adaptent en permanence aux techniques utilisées par les sites de e-commerce, et vice versa. Par exemple, les scalpeurs doivent utiliser des adresses IP différentes pour ne pas sembler avoir toutes les commandes provenant du même endroit, ce qui les trahit. Vous ne pouvez pas utiliser une adresse IP virtuelle fournie par un VPN, trop facile à détecter pour les marchands. Les scalpers ont donc commencé à utiliser des proxies résidentiels, simulant ou utilisant réellement (parfois illégalement) des adresses IP lambda d’individus dans Orange, Free ou SFR. Réponse du commerçant: analyse de la signature TLS, c’est-à-dire de la manière dont l’ordinateur crypte sa communication avec le site, et qui ne varie pas, même lors du changement d’adresse IP.

Cela pourrait vous interrésser :   Model 3 et Y : leurs prix augmentent encore, quand Tesla va-t-il s’arrêter ?

Fermes à clics en Inde

Fermes à clics en Inde

Une autre technique bien connue pour identifier les robots est le Captcha, une technologie qui vous demande de sélectionner des images qui correspondent à un mot, ou de répéter une série de chiffres et de lettres, pour prouver que vous n’êtes pas un robot. Pas de problème pour les scalpeurs. «Ils utilisent des fermes de résolution Captcha au Vietnam ou en Inde, avec une API pour consommer et télécharger des résolutions humaines à la demande», explique Romain Broussard. Mais même s’ils parviennent à éviter les Captcha, cette décision leur a quand même fait perdre un temps crucial à vendre une PS5 qui peut être complétée en quelques minutes. Grâce à ces différentes techniques, les sites e-commerce sont en mesure de fixer un score de probabilité totale que chaque utilisateur soit un bot ou non puis de décider de le bloquer ou de le laisser passer en fonction de ce score. Mais comme le reconnaît Romain Broussard, il est impossible de bloquer tous les scalpeurs.

Comme il semble difficile de s’en débarrasser, certains ont décidé de les combattre avec leurs propres armes, ils ont donc également une chance d’acheter une PS5. Le site Dealabs, qui découvre toutes sortes de promotions sur Internet, les distribue puis s’autofinance grâce à des liens d’affiliation, a commencé à suivre l’apparition des magasins PS5. C’est son Community Manager qui s’y tient. «J’ai décidé de m’occuper du fichier PS5 car nous avons reçu beaucoup de demandes pour trouver de la disponibilité», raconte-t-il. “J’ai infiltré une communauté de scalpers qui obtiennent des sorties de sneakers chez Nike, après m’être lié d’amitié avec des membres sur leur Discord.” Il a ensuite pu récupérer leurs outils de détection d’inventaire puis les adapter à ses besoins pour la PS5.

Cela pourrait vous interrésser :   Porté par les ventes d'iPhone, Apple double son profit trimestriel

Scalper les scalpers

Scalper les scalpers

D’autres sont allés plus loin, développant leurs propres outils pour identifier automatiquement mais aussi acheter des PS5, comme des scalpers. C’est par exemple le cas de la communauté Discord Le Peuple, qui rassemble plus de 1 500 membres moins de deux mois après sa création. «Nous veillons à mettre automatiquement l’article dans le panier, mais pas pour le paiement, car nous ne voulons pas traiter les informations bancaires de nos membres», explique l’un des administrateurs Discord. Cette plateforme de chat vocal initialement orientée pour les gamers, a développé de puissants serveurs de chat et des bots qui permettent toutes sortes d’automatisation.

Les moteurs de recherche du stock de sites e-commerce sont connectés à un bot Discord qui avertit immédiatement toute la communauté en cas de nouvelle disponibilité. Ensuite, pour chaque site e-commerce, les membres peuvent trouver des scripts à saisir dans la console de leur navigateur pour contourner la file d’attente. La communauté mène même une enquête après chaque vente flash pour savoir si ses membres ont réussi à attraper une console. Ainsi, 20 adhérents ont pu en acheter un lors d’une vente de Carrefour fin février, contre 34 malheureux. Beau succès le même jour pour les ventes chez Discount, avec 32 membres réussissant seulement pour 3 faillites et renversant leur fortune début mars pour des ventes au Casino (12 succès, 44 faillites).

En fin de compte, la seule force capable d’arrêter les scalpers sera le marché. Lorsque ces produits redeviendront largement disponibles, ils ne pourront pas tous les acheter pour garder le contrôle de l’approvisionnement. Mais la pénurie de semi-conducteurs pourrait durer jusqu’à l’année prochaine. D’ici là, ils continueront de s’enrichir grâce au marché de la technologie, avant de se replier sur la mode. En attendant le prochain échec.

TV online TV online TV y directoTV y directo TV e diretoTV e direto TV e direttaTV e diretta live tvLive TV