Dans cet article, nous explorons des conseils pratiques pour vous aider à mettre en place des systèmes robustes anti-bots et anti-triches.
Accessibilité des participants
JWT/SSO
Privilégiez le plus souvent possible l'authentification par JWT/SSO pour identifier vos clients. Cela permet de ne donner accès aux campagnes qu'aux clients ayant un identifiant.
Utilisation de la technologie reCAPTCHA Adictiz
Technologie auto-hébergée, plus difficile à passer par rapport à Google. Il permet de valider que les participants sont de vraies personnes via un test personnalisable (RGPD compliant)
Filtrez vos participants à l'aide d'UTMs
Cela vous permet de proposer un parcours spécifique et particulier à tous les leads ou clients existants émanant de vos communications puis de proposer du contenu différent aux participants ne venant pas de vos relais.
Dans une autre logique, ce filtrage par UTMs vous permet d'exclure des participants émanant de source que vous estimez non qualitative.
Ex : Je souhaite exclure toutes les personnes venant de Reflexe media, Dealabs etc...
Activez l'option Data+ sur vos campagnes
Cette option permet de vérifier l'existence de l'adresse email entrée par le participant dans son intégralité. Le participant ne pourra pas participer à votre campagne avec une adresse email inexistante.
De plus, un scoring sera donnée à l'adresse email.
Il est possible d’exploiter le scoring Data+ à deux niveaux (si actif sur la campagne) :
Management des users : le scoring est affiché au niveau du management et dans l’export. Les clients n’ayant pas de connecteur CRM actif peuvent exporter la donnée, et n’importer dans leur base que les contacts ayant un scoring spécifique
Segment : un filtre peut être réalisé sur le scoring pour exclure des campagnes de retargeting les participants dont le scoring ne serait pas suffisant pour les clients.
Parcours et Dotations, les bons réflexes
L'utilisation d'un Chronomètre sur toutes les mécaniques à scores
Mettre un timer permet d’identifier les tricheurs (si les joueurs passent plus de temps que prévu par le timer)
Limiter la participation
En limitant le nombre de participation par utilisateur (à 5 ou 10 participations par jour par ex) permet d'éviter que des bots puissent lancer de multiples participations
Dotations reçues par email
Nous vous conseillons d'envoyer les dotations que par email et évitez d'afficher des codes de réduction par exemple sur les écrans gagnants.
Privilégiez le Tirage au sort aux Instants-gagnants
Le tirage au sort est moins enclin à générer des comportements de jeu suspects. Puis augmentez le nombre d'inscrits au tirage au sort (ex : Seulement pour les 200 premiers scores)
Paramétrez bien vos Règles de sécurité
Obliger les participants à voir certaines pages pour afficher la page gagnée
Mise en place de Features sur la plateforme
Blacklist de domaines
Blacklist accessible (par les équipes techs et produit) depuis la Supadmin.
Deux modes de mise à jour de notre blacklist :
Automatique > à l’aide d’une solution externe
Manuelle > permet de valider ou d’invalider un domaine spécifique
L’ajout sur la blacklist d’un domaine impacte la totalité des campagnes et des comptes clients.
Mise en place de Honeypot
Mesure anti bot au niveau du Form, présence d'un champ caché pour l’humain mais visible par les bots. Si champ renseigné = bot donc nous refusons la saisie.
WAF/CSRF: il limite le nombre d’appels possibles réalisé par IP et protège via des règles techniques (OWASP)
Mise en place d’une sécu Antibot sur le Form : Mise à jour du patern CSRF = chaque fois qu’un user remplit un form va être soumis à validation. (Un bot soumet plusieurs fois d’un coup)
Définition d’un quota d’appels : Nous allons définir un quota d’appels pour bannir les bots qui dépassent ce quota.
Ex : Si limite à 3000 appels par sec = si on en a plus, on bannit de manière progressive