À noter qu'environ 50% du trafic mondial est constitué de bots, dont 32 à 37% ont des intentions malveillantes. Plusieurs mesures de sécurité sont actives par défaut sur les campagnes Adictiz, notamment le blacklist de domaines, le Honeypot, le WAF/CSRF, une limite de quota d'appels et le blocage de la console. Ces mesures visent à complexifier l'accès aux campagnes pour les acteurs malveillants sans l'empêcher totalement.
Dans cet article, nous explorons donc des conseils pratiques pour vous aider à mettre en place des systèmes robustes anti-bots et anti-triches.
Fonctionnalités déployées sur Adictiz Box
Blacklist de domaines
La Blacklist des domaines est accessible depuis le backoffice Adictiz, vous pouvez vous rapprocher des équipes pour vérifier si un domaine vous paraissant suspect fait partie de cette liste.
Deux modes de mise à jour de notre blacklist :
Automatique > à l’aide d’une solution externe
Manuelle > permet de valider ou d’invalider un domaine spécifique
L’ajout sur la blacklist d’un domaine impacte la totalité des campagnes et du compte.
Honeypot
Mesure anti-bot au niveau du Formulaire, présence d'un champ caché pour l’humain mais visible par les bots. Si le champ est renseigné cela signifie qu'il s'agit d'un bot et donc invalide la soumission du Formulaire.
WAF/CSRF
Le WAF limite le nombre de requêtes par IP, bloquant les accès en cas d'activité excessive typique des bots. De même, un quota d'appels limite le nombre de tentatives de connexion aux campagnes, avec un comportement de blocage similaire en cas de dépassement. Ces mesures sont des surcouches de sécurité qui rendent plus difficile l'exploitation des campagnes.
Mise à jour du patern CSRF : Dès qu’un utilisateur remplit un formulaire il sera soumis à validation. Nous reconnaissons un bot grâce à cela car ils soumettent plusieurs fois un formulaire d’un coup.
Définition d’un quota d’appels : Nous définissons un quota d’appels pour bannir les bots qui dépassent ce quota.
Ex : Si la limite à 3000 appels par sec. Si au delà = coupure de manière progressive
Blocage de la console
Nous bloquons également la console navigateur (dev tool) qui empêche l'interaction avec le code des jeux, notamment la modification des scores. La seule forme de triche possible concerne la modification des scores. Le blocage de la console est actif uniquement sur les jeux à score
✍️ À venir : détection de profils suspects pour les exclure des classements publics et de la distribution des dotations.
Accessibilité des participants
Malgré nos fonctionnalités natives, nous vous conseillons de mettre en place des configurations de campagne, notamment à l'entrée, pour limiter les comportements suspects.
JWT/SSO
Privilégiez le plus souvent possible l'authentification par JWT/SSO pour identifier vos clients. Cela permet de ne donner accès aux campagnes qu'aux clients ayant un identifiant.
Voir article dédié.
Utilisation de la technologie reCAPTCHA Adictiz
Technologie auto-hébergée, plus difficile à passer par rapport à Google. Il permet de valider que les participants sont de vraies personnes via un test personnalisable (RGPD compliant).
Filtrez vos participants à l'aide d'UTMs
Cela vous permet de proposer un parcours spécifique et particulier à tous les leads ou clients existants émanant de vos communications puis de proposer du contenu différent aux participants ne venant pas de vos relais.
Dans une autre logique, ce filtrage par UTMs vous permet d'exclure des participants émanant de source que vous estimez non qualitative.
Ex : Je souhaite exclure toutes les personnes venant de Reflexe media, Dealabs etc...
Activez l'option Data+ sur vos campagnes
Cette option permet de vérifier l'existence de l'adresse email entrée par le participant dans son intégralité. Le participant ne pourra pas participer à votre campagne avec une adresse email inexistante. Voir l'article.
De plus, un scoring sera donnée à l'adresse email.
Il est possible d’exploiter le scoring Data+ à deux niveaux (si actif sur la campagne) :
Management des utilisateurs : le scoring est affiché au niveau du management et dans l’export. Les clients n’ayant pas de connecteur CRM actif peuvent exporter la donnée, et n’importer dans leur base que les contacts ayant un scoring spécifique.
Segment : un filtre peut être réalisé sur le scoring pour exclure des campagnes de retargeting les participants dont le scoring ne serait pas suffisant pour les clients.
Parcours et Dotations, les bons réflexes
L'utilisation d'un Chronomètre sur toutes les mécaniques à scores
Mettre un timer permet d’identifier les tricheurs (si les joueurs passent plus de temps que le temps imparti).
Limiter la participation
Évitez de mettre des jeux en illimité. En limitant le nombre de participation par utilisateur (à 5 ou 10 participations par jour par ex) permet d'éviter que des bots puissent lancer de multiples participations.
Dotations reçues par email
Nous vous conseillons d'envoyer les dotations que par email et évitez d'afficher des codes sur les écrans gagnants.
Privilégiez le Tirage au sort aux Instants-gagnants
Le tirage au sort est moins enclin à générer des comportements de jeu suspects. Puis augmentez le nombre d'inscrits au tirage au sort (ex : Seulement pour les 200 premiers scores vs les 10 premiers).
Paramétrez bien vos Règles de sécurité
Obliger les participants à voir certaines pages pour afficher la page gagnée.