Billetterie : 1 billet de concert sur 3 acheté par un bot

Vous rafraîchissez la page à 10 h pile pour le concert de l'année, et en trente secondes tout est parti. Vous n'avez pas été lent : un robot a cliqué avant vous. Le 20 mai 2026, l'éditeur de sécurité DataDome a chiffré le phénomène, et le résultat fait mal. Sur une grosse mise en vente, près d'un tiers du trafic ne venait pas d'humains.

Pourquoi un billet sur trois part à un bot ?

Sur une mise en vente de minuit pour un grand événement, DataDome a mesuré que 31% du trafic dans la file d'attente provenait de bots, soit 2,4 millions de requêtes sur 7,8 millions au total. Près d'un tiers des « personnes » qui se pressaient à l'ouverture étaient en réalité des programmes automatisés. Sur un stock de billets limité, ce tiers suffit à tout rafler avant que la demande réelle ait eu le temps de cliquer.

Derrière ces bots, il y a un modèle économique simple. Des revendeurs (les « scalpers ») achètent en masse à l'ouverture, puis remettent les billets sur des plateformes de revente à prix gonflé. Le fan paie deux fois : une fois en ratant la vente officielle, une seconde fois s'il craque sur le marché secondaire. À noter : le chiffre de 31% vient d'une vente pour un événement sportif, mais la mécanique est identique pour un concert très demandé.

Comment les bots passent les salles d'attente virtuelles ?

Une salle d'attente virtuelle, c'est ce sas qui vous met « en file » et vous attribue un numéro pendant les pics de vente, pour éviter que le site ne s'écroule sous la charge. Le souci : ces files ont été pensées pour absorber des humains qui rafraîchissent une page, pas pour trier qui est humain et qui ne l'est pas. Un bot bien construit prend simplement un ticket dans la file, comme tout le monde, et attend son tour à votre place.

Les défenses classiques ne suffisent plus. Les bots avancés font tourner des adresses IP résidentielles à l'historique propre, ce qui rend la réputation d'IP inutile pour les repérer. Ils simulent aussi le comportement humain : mouvements de souris, rythme des clics, défilement, cadence de frappe. Un CAPTCHA se résout, une trajectoire de souris se reproduit. Résultat, le filtre qui voulait séparer le robot du fan ne voit plus la différence.

Pourquoi les agents IA brouillent la frontière bot / humain ?

Jusqu'ici, on pouvait se dire qu'un humain hésite, bouge la souris, prend son temps, et qu'un bot va trop vite. Les agents IA cassent cette logique. Un agent IA peut désormais agir pour le compte d'un vrai client, avec son accord, et réserver à sa place. Côté serveur, distinguer ce « bon » agent autorisé d'un bot de revendeur devient presque impossible : dans les deux cas, c'est un programme qui clique à la vitesse de la machine.

Et c'est là que ça se complique vraiment. Un agent IA ne rafraîchit pas la page comme un humain anxieux : il tourne en continu, réagit à un changement de stock en quelques millisecondes et frappe le tunnel de paiement à l'instant où le billet tombe. Cette montée des assistants automatisés est la même qu'on voit arriver dans les navigateurs dotés d'IA, capables de naviguer et d'agir seuls. La question n'est plus « est-ce un bot ? » mais « cet agent agit-il pour un vrai client ou pour un revendeur ? ».

Ce que ça change pour vous, fan ou organisateur ?

Pour un fan, le résultat est concret : les billets s'évaporent en quelques secondes et réapparaissent à prix gonflé sur des sites de revente. En France, revendre des billets de façon habituelle sans l'autorisation de l'organisateur est puni de 15 000 € d'amende (article 313-6-2 du code pénal), portés à 30 000 € en cas de récidive. Mais la loi peine à suivre des réseaux automatisés et souvent installés à l'étranger, et le gouvernement a indiqué en 2025 vouloir revoir l'encadrement de la revente.

Côté plateformes, la parade ne consiste plus à filtrer une seule fois à l'entrée. L'idée qui monte, et que DataDome pousse avec son produit Priority Protect, c'est la validation en continu pendant toute la session : on réévalue le visiteur tout au long de sa visite et on le sort de la file si son comportement change. S'ajoute un « cadre de confiance » qui applique des règles différentes à trois profils distincts, l'humain, l'agent IA autorisé et le bot malveillant. C'est exactement le genre d'arbitrage que décrit la bascule IA et cybersécurité de 2026 : on ne bloque plus une signature connue, on juge une intention en temps réel.

FAQ

Pourquoi les billets de concert partent-ils en quelques secondes ?

Parce qu'une partie de la « foule » à l'ouverture n'est pas humaine. Quand près d'un tiers du trafic vient de bots capables de cliquer plus vite que vous, le stock limité se vide avant que la majorité des fans ait validé son panier.

Est-il légal d'utiliser un bot pour acheter des billets en France ?

Acheter via un bot n'est pas encadré aussi nettement que la revente. En revanche, revendre des billets de façon habituelle sans l'accord de l'organisateur est puni de 15 000 € d'amende (article 313-6-2 du code pénal). C'est surtout la revente automatisée et massive qui pose problème.

Un CAPTCHA suffit-il à arrêter ces bots ?

Non. Les bots récents résolvent les CAPTCHA, simulent des mouvements de souris et font tourner des adresses IP résidentielles propres. Les filtres qui regardent une seule fois à l'entrée ne suffisent plus, d'où la bascule vers une vérification en continu pendant la session.

Les agents IA vont-ils aggraver le problème ?

Très probablement. Un agent IA peut agir pour un vrai client comme pour un revendeur, ce qui rend la frontière bot / humain quasi indiscernable. Le défi des plateformes n'est plus de bloquer tous les programmes, mais de séparer un agent autorisé d'un agent abusif.

Sources

• SiliconANGLE : DataDome debuts Priority Protect : reprend les chiffres de l'analyse (31% du trafic, 2,4 M de requêtes sur 7,8 M)
• DataDome : communiqué Priority Protect : communiqué officiel du 20 mai 2026, source primaire de l'annonce
• Sénat : revente illégale de billets en ligne : cadre légal français et réflexion gouvernementale de 2025