Section 1 : Pourquoi les bots ciblent les widgets d'essayage
Les widgets d'essayage virtuel sont une cible attrayante pour les bots car ils permettent une génération d'images par IA gratuite. Un point de terminaison (endpoint) d'essayage accepte une photo et une image de produit et renvoie un résultat composite par IA — du point de vue d'un bot, il s'agit d'une API de génération d'images IA gratuite et accessible publiquement. Des scripts automatisés peuvent solliciter l'endpoint des milliers de fois par heure pour générer des images de produits, des portraits ou des données d'entraînement synthétiques à coût nul pour l'attaquant et au coût total de votre forfait mensuel pour vous, le marchand.
L'incitation économique est importante : une API de génération d'images IA de qualité coûte généralement entre 0,05 $ et 0,20 $ par image. Un endpoint de widget d'essayage sans protection contre les bots offre concrètement ce service gratuitement à quiconque rétro-conçoit le format de la requête. À grande échelle, une seule campagne de bots peut épuiser l'intégralité de votre quota mensuel d'essayages en quelques heures, laissant les vrais acheteurs avec un service dégradé pour le reste de la période de facturation.
Section 2 : La pile de défense à cinq couches de Photta
Photta déploie cinq défenses indépendantes, chacune ciblant un vecteur d'attaque différent. Couche 1 — hCaptcha : chaque requête d'essayage doit inclure un jeton hCaptcha valide généré dans le navigateur. Les bots headless et les clients HTTP automatisés ne peuvent pas résoudre hCaptcha sans interaction humaine, ce qui bloque les attaques par script simples. Couche 2 — empreinte numérique BotD : le SDK exécute BotScore par FingerprintJS pour détecter les navigateurs headless, les frameworks d'automatisation (Puppeteer, Playwright) et les environnements de navigation suspects avant même que l'acheteur ne soumette une photo.
Couche 3 — Liste d'autorisation de domaines : votre clé pk_live_ n'accepte que les requêtes provenant des domaines que vous enregistrez dans Paramètres → Domaines autorisés. Les requêtes de toute autre origine renvoient immédiatement une erreur HTTP 403, avant tout traitement par l'IA. Couche 4 — Limitation du débit IP : plus de 10 requêtes d'essayage par minute depuis une seule adresse IP déclenche une régulation automatique ; plus de 30 par minute déclenche un blocage temporaire. Couche 5 — Plafond mensuel : la limite d'essayage mensuelle de votre forfait (500/2 000/10 000 selon le niveau) est strictement appliquée côté serveur. L'épuisement du plafond arrête tous les essayages pour le reste du cycle de facturation, évitant ainsi les scénarios de coûts incontrôlés.
Section 3 : Surveillez les tentatives de bots dans votre tableau de bord
Connectez-vous à business.photta.app et accédez à Sécurité. Le panneau de sécurité affiche trois graphiques mis à jour en temps réel : Tentatives bloquées (total par heure), Répartition des motifs de blocage (échecs hCaptcha vs détections BotD vs erreurs de domaine vs déclenchements de limite de débit) et Top des IP bloquées (les adresses IP générant le plus de requêtes bloquées au cours des dernières 24 heures). Une boutique saine affiche généralement un nombre de tentatives bloquées proche de zéro pendant les heures normales de fonctionnement.
Le panneau de sécurité comprend également une section Alertes d'anomalie. La couche analytique de Photta surveille les pics soudains de volume d'essayage ou de tentatives bloquées qui s'écartent de plus de trois écarts-types de votre base de référence sur 7 jours. Lorsqu'une anomalie est détectée, vous recevez une notification par e-mail dans les 15 minutes et l'alerte apparaît dans le tableau de bord. Vous pouvez configurer les seuils de notification sous Paramètres → Notifications → Alertes de sécurité.
Section 4 : Réagir à une activité suspecte
Lorsque vous constatez des schémas inhabituels dans le panneau de sécurité — un pic de requêtes bloquées, une grappe de tentatives provenant d'une plage IP ou une chute soudaine de votre quota mensuel — prenez ces mesures dans l'ordre. Tout d'abord, consultez la liste des Top IP bloquées. Si une ou quelques IP sont responsables de la plupart des tentatives bloquées, cliquez sur « Bloquer l'IP » à côté de chacune pour les bannir définitivement au niveau de la couche Photta. Les blocages s'appliquent immédiatement et persistent jusqu'à ce que vous les supprimiez manuellement.
Deuxièmement, si l'attaque utilise plusieurs IP (un botnet distribué), contactez le support Photta via le chat du tableau de bord avec votre identifiant marchand et la plage horaire de l'attaque. L'équipe de sécurité de Photta peut appliquer un blocage au niveau CIDR sur le sous-réseau attaquant en quelques heures. Troisièmement, si votre quota mensuel a été considérablement réduit par l'activité des bots, ouvrez un ticket de support — Photta propose une restauration ponctuelle du quota pour les attaques de bots documentées. Joignez une capture d'écran de l'alerte d'anomalie de votre panneau de sécurité comme preuve.
Section 5 : Quand ajouter un CAPTCHA personnalisé en complément
Le hCaptcha intégré de Photta fonctionne de manière invisible — la plupart des acheteurs légitimes ne voient jamais de défi CAPTCHA. Dans des cas très rares (boutiques à forte valeur, points de terminaison de widgets indexés publiquement), les défenses intégrées peuvent ne pas suffire si un attaquant sophistiqué utilise des fermes de résolution de CAPTCHA humaines. Dans ce scénario, ajoutez une deuxième couche de CAPTCHA au niveau de votre propre page produit avant d'appeler photta.open(). Vérifiez votre CAPTCHA personnalisé sur votre serveur, puis passez un jeton de vérification signé au SDK Photta via photta.open({ verificationToken: 'votre_jeton' }) pour garantir que seules les sessions vérifiées peuvent initier un essayage.
Le CAPTCHA personnalisé est un dernier recours pour les boutiques ayant subi des attaques sophistiquées répétées. Pour la grande majorité des marchands, la pile à cinq couches de Photta offre une protection suffisante sans friction visible pour l'acheteur. Si vous évaluez l'opportunité d'ajouter une couche personnalisée, vérifiez d'abord la répartition des motifs de blocage de votre panneau de sécurité — si les échecs hCaptcha représentent moins de 1 % de vos tentatives bloquées totales, la pile fonctionne et une couche supplémentaire ajouterait de la friction sans gain de sécurité significatif.