Armés de bots, les scalpers raflent PS5 et éditions limitées pour s'enrichir
Les temps sont durs pour les fans de Playstation. La dernière mouture de leur console favorite, la Playstation 5, a beau être sortie il y a bientôt six mois, la plupart d'entre eux n'ont pas réussi à mettre la main dessus. Elle était en rupture de stocks dès le jour de sa sortie. Depuis, les marchands mettent en ligne de temps à autre de maigres stocks de quelques dizaines ou centaines d'appareils, qui disparaissent en à peine quelques minutes. Car au jeu du plus rapide pour repérer et acheter le peu de consoles disponibles en ligne, tous les internautes ne sont pas logés à la même enseigne. Grâce à différentes technologies, les scalpers, sortes de hackers du e-commerce, sont capables de détecter puis d'acheter quasi instantanément tout un stock de consoles. Elles sont ensuite remises en vente sur des sites de vente entre particuliers comme Ebay, Rakuten ou StockX. Commercialisée 399 ou 499 euros selon le modèle, la PS5 s'achète 600, 700, 800 et même jusqu'à 1000 euros sur ces sites. Chez Cdiscount, c'est par exemple près "d'une tentative d'achat de PS5 sur deux qui provient d'un système automatisé", reconnaît Romain Broussard, directeur général de Cshield, la filiale cybersécurité du site d'e-commerce.
La pratique du scalping vient du monde de la mode, friand de vêtements et chaussures en éditions limitées. Car les scalpers s'enrichissent grâce à la rareté : dans la mode, il s'agit d'articles en toutes petites quantités et qui ne seront jamais rééditées. Et en ce moment dans le secteur technologique, c'est la pénurie de certains composants qui provoque un effondrement de l'offre pour de nombreux produits comme les consoles ou les cartes graphiques. Dès que l'offre est assez maigre pour pouvoir en prendre le contrôle, les scalpers ont un coup à jouer.
Détecter, contourner, acheter
Mais comment font-ils pour être toujours les premiers au courant et les premiers à commander lorsque de nouveaux stocks sont mis en vente ? Les technologies qu'ils utilisent reposent sur deux grands piliers : la détection du stock et le parcours d'achat automatisé. Les scalpers font d'abord tourner des serveurs ou des machines virtuelles qui interrogent en permanence la disponibilité des produits qu'ils recherchent sur différents sites. Mais comme ces sites sont pris d'assaut dès qu'ils mettent en vente un produit rare, des systèmes de file d'attente sont généralement mis en place par le site. Intolérable pour les scalpers, qui réussissent à griller la queue en dénichant pour la plupart des sites le format d'URL d'ajout d'un produit au panier. Ensuite, pour perdre le moins de temps possible et maximiser leurs chances, les scalpers disposent de scripts capables de compléter automatiquement toutes les étapes entre la sélection du produit et l'achat, qui nécessitent de nombreux clics. Lorsque les informations de carte bleue sont pré-remplies, certains peuvent même pousser l'automatisation jusqu'au paiement.
Les sites e-commerce ont repéré cette activité, mais semblent incapables de la stopper complètement. A la place, ils ont plutôt adopté une stratégie d'endiguement, explique Romain Boussard, afin de tenter de rendre les opérations des scalpers les plus coûteuses possibles et de leur faire perdre un maximum de temps durant le processus d'achat. "C'est une question de moyens. Construire un robot qui va outrepasser toutes les protections avec une intelligence artificielle est relativement simple. Par contre implémenter et faire tourner ces technologies à l'échelle est relativement cher."
"Implémenter et faire tourner ces technologies à l'échelle est relativement cher".
Par exemple, l'une des techniques consiste à obliger l'ordinateur à effectuer un tas d'opérations informatiques, invisibles pour le client lambda, mais qui vont prendre du temps et des ressources informatiques durant le chargement des pages. Si cela implique de dégrader l'expérience pour tous les utilisateurs, cette solution est apparue acceptable pour Cdiscount, vu le niveau de détermination des clients à acheter une PS5. Dans la même veine, les sites peuvent changer leur architecture, afin de rendre la détection de nouveaux articles plus difficile. Certes, cela peut nuire au référencement de la page sur Google, mais ce n'est pas un problème dans le cas d'un produit comme la PS5, tant le demande est immense.
Dans ce jeu du chat et de la souris, les scalpers s'adaptent constamment aux techniques employées par les sites e-commerce, et inversement. Par exemple, les scalpers doivent utiliser différentes adresses IP afin que toutes les commandes ne semblent pas venir du même endroit, ce qui les trahirait. Impossible d'utiliser une adresse IP virtuelle fournie par un VPN, trop simple à repérer par les marchands. Les scalpers se sont donc mis à utiliser des proxys résidentiels, qui simulent ou utilisent réellement (parfois illégalement) des adresses IP lambda de particuliers chez Orange, Free ou SFR. Réponse des marchands : l'analyse de la signature TLS, c'est-à-dire la manière dont l'ordinateur va chiffrer sa communication avec le site, et qui ne varie pas, même lorsqu'il change d'adresse IP.
Fermes à clics en Inde
Autre technique bien connue pour repérer les bots, le Captcha, cette technologie qui vous demande de sélectionner des images correspondant à un mot, ou de répéter une série de chiffres et de lettres, pour prouver que vous n'êtes pas un robot. Aucun problème pour les scalpers. "Ils font appel à des fermes de résolution de Captcha au Vietnam ou en Inde, avec une API pour consommer et facturer à la demande les résolutions effectuées par des humains", explique Romain Broussard. Mais même s'ils arrivent à outrepasser les Captcha, cette étape leur aura tout de même fait perdre un temps crucial sur une vente de PS5 qui peut se terminer en quelques minutes. Grâce à ces différentes techniques, les sites e-commerce arrivent à établir un score total de probabilité que chaque utilisateur soit un bot ou non et décident ensuite de le bloquer ou de le laisser passer selon ce score. Mais comme le reconnaît Romain Broussard, il est impossible de bloquer tous les scalpers.
Puisqu'il semble difficile de se débarrasser d'eux, certains ont décidé de les combattre avec leurs propres armes, afin d'avoir eux aussi une chance d'acheter une PS5. Le site Dealabs, qui déniche toutes sortes de promotions sur Internet, les diffuse puis se rémunère via des liens d'affiliation, s'est mis à traquer l'apparition de stocks de PS5. C'est son community manager qui s'y colle. "J'ai décidé de m'occuper du dossier PS5 car nous recevions beaucoup de demandes pour trouver les disponibilités", nous raconte-t-il. "Je me suis infiltré dans une communauté de scalpers qui raflent les sorties de baskets chez Nike, après avoir sympathisé avec des membres sur leur Discord." Il a pu ensuite récupérer leurs outils de détection des stocks, puis les adapter à ses besoins pour la PS5.
Scalper les scalpers
D'autres sont allés encore plus loin, en développant leurs propres outils pour détecter mais aussi acheter automatiquement les PS5, exactement comme les scalpers. C'est par exemple le cas de la communauté Discord Le Peuple, qui rassemble plus de 1 500 membres moins de deux mois après sa création. "Nous nous occupons de mettre automatiquement l'article dans le panier, mais pas du paiement, car nous ne voulons pas manier les informations bancaires de nos membres", explique l'un des administrateurs du Discord. Cette plateforme de chat vocal orientée au départ pour les gamers, a développé des serveurs de discussion et puissants bots qui permettent toutes sortes d'automatisations.
Les machines qui interrogent le stock des sites e-commerce sont connectées à un bot Discord qui va prévenir immédiatement toute la communauté en cas de nouvelle disponibilité. Ensuite, pour chaque site e-commerce, les membres peuvent retrouver les scripts à entrer dans la console de leur navigateur pour griller la file d'attente. La communauté organise même des sondages après chaque vente flash pour savoir si ses membres ont réussi à attraper une console. Ainsi, 20 membres ont pu en acheter une lors d'une vente de Carrefour fin février, contre 34 malchanceux. Gros succès le même jour pour une vente chez Cdiscount, avec 32 membres ayant réussi pour seulement 3 échecs et fortune inverse début mars pour une vente chez Casino (12 succès, 44 échecs).
Finalement, la seule force capable d'arrêter les scalpers sera le marché. Lorsque ces produits seront à nouveau disponibles en masse, ils seront incapables de tous les acheter pour garder le contrôle de l'offre. Mais la pénurie de semi-conducteurs pourrait durer jusqu'à l'année prochaine. D'ici là, ils continueront à s'enrichir grâce au marché technologique, avant de se rabattre sur la mode. En attendant la prochaine pénurie.