Carousell sécurise et dimensionne ses places de marché électronique avec Cloudflare

Dans un monde où les applications mobiles permettent aux utilisateurs de traiter des transactions, d'acheter des produits de luxe et de communiquer instantanément avec des personnes du monde entier, la rapidité et la sécurité sont essentielles. C'est ce qui a donné l'idée de Carousell à Quek Siu Rui, Lucas Ngoo et Marcus Tan : une place de marché sur smartphone et en ligne qui rend les achats aussi faciles que le chat et les reventes aussi simples que de prendre une photo.

Fondé en 2012, Carousell est un des plus grands acteurs C2C du commerce électronique d'Asie du Sud-Est, avec des clients à Singapour, en Indonésie, à Hong-Kong, en Malaisie, à Taïwan, en Australie et aux Philippines. Les utilisateurs peuvent acheter et vendre des articles de nombreuses catégories (voitures, propriétés, mode, électroménager, appareils d'assistance, électronique, etc.), et publier des offres d'emploi ou proposer des services dans un éventail tout aussi large de secteurs d'activité.

L'architecte en chef de Carousell, Harshad Rotithor, estime que plus d'un quart de la population totale de Singapour utilise la plateforme, qui compte plus de 250 millions d'inscriptions à ce jour. Ces chiffres augmentent, un plus grand nombre d'utilisateurs affluant sur le site, ce qui crée une multitude de nouveaux défis à relever en termes de performances.

Le défi

Carousell diffuse environ 1 Po d'images par mois et utilise l'intelligence artificielle pour créer une expérience utilisateur sans friction pour celles et ceux qui veulent acheter et vendre des articles sur sa plateforme. Afin de répondre aux exigences de performances intensives d'un portefeuille régional de clients en expansion rapide, ils ont besoin d'un fournisseur de cloud capable d'assurer la disponibilité des services lors d'évènements à trafic élevé et de mettre en cache les pages dynamiques selon les besoins.

Ces enjeux sont mis en évidence lors des "ventes flash" périodiques de Carousell, un événement récurrent de durée limitée où s'opère un partenariat avec les vendeurs pour offrir des remises importantes aux acheteurs. Une seule de ces ventes flash peut attirer plus de trois fois le trafic habituel de Carousell.

« Les utilisateurs s'attendent à un chargement rapide du site et à pouvoir consulter les différents produits affichés pour conclure le plus rapidement des transactions commerciales », explique Harshad Rotithor. « Si nous ne proposons pas ça, leur expérience utilisateur de nos clients sera très mauvaise. Nous voulons veiller à ce qu'ils bénéficient toujours d'une expérience très fluide sur Carousell et qu'ils puissent acheter, vendre et communiquer facilement sur les produits qu'ils trouvent. »

Ce n'est pas une tâche simple, d'autant plus que l'afflux rapide de trafic pendant les ventes flash entraîne une contrainte importante sur la plateforme. À l'origine, la société Carousell s'était orientée vers Amazon CloudFront pour assurer un fonctionnement fluide de son site, mais s'est très vite rendu compte qu'il n'était pas en mesure de gérer les besoins croissants en terme d'audience et de performances du site.

Mise en cache simplifiée grâce au réseau mondial de Cloudflare

En 2016, Carousell est passé à Cloudflare.

« Cela a débuté comme une solution pour nos exigences en terminaisons DNS et SSL », explique Harshad Rotithor. « Puis nous avons commencé à explorer la possibilité de mettre en cache nos actifs chez Cloudflare et les déplacer partiellement à partir d'un autre CDN. Nous sommes désormais à 100 % d'actifs en cache sur Cloudflare. »

Avec des datacenters dans 200 villes et plus de 90 pays au niveau mondial, Cloudflare aide Carousell à mettre en cache ses actifs en périphérie du réseau, pour rapprocher le plus possible le contenu des utilisateurs finaux. Cela permet au site de ne jamais rencontrer de panne lors de ventes à forte visibilité, ni de perdre des clients à cause de chargements lents des pages.

Cloudflare permet également à Carousell de mettre en cache les pages dynamiques, ce qui lui permet de gérer facilement une forte charge de trafic pendant les ventes flash et d'offrir une expérience utilisateur harmonieuse.

« Cloudflare répond à nos exigences en terme de CDN, de WAF, de couche de mise en cache, de point de terminaison SSL et de DNS », ajoute Harshad Rotithor. « Ces produits nous aident à atteindre nos objectifs commerciaux tout en nous offrant un excellent retour sur investissement. »

La protection automatique WAF aide Carousell à sécuriser les données client

En plus de faire évoluer et d'accélérer sa plateforme, Carousell doit conserver une avance sur les menaces de sécurité volumétriques telles que les attaques DDoS et les activités malveillantes des bots. Les bots grattent le contenu et épuisent les ressources internes en forçant Carousell à investir dans des infrastructures supplémentaires pour répondre aux requêtes générées par les bots, même si Carousell ne retire aucun bénéfice de l'augmentation du trafic.

Garder l'avance sur ces attaques exige que Carousell adopte une solution de sécurité complète, qui offre une protection haut de gamme des données client, sans compromis sur les performances.

« Nous avons étudié en profondeur le web application firewall offert par Cloudflare, et il remplit toutes les exigences », explique Harshad Rotithor. « Il possède les règles de base liées à l'OWASP, ainsi que de nombreuses autres règles spécialisées que Cloudflare avait elle-même ajoutée. Nous avions aussi la possibilité d'ajouter des règles personnalisées. Toutes les fonctionnalités en faisaient ainsi la solution parfaite pour répondre à nos besoins. »

Le web application firewall (WAF) de Cloudflare met à profit l'intelligence collective des menaces pour identifier et éviter les requêtes malveillantes, en permettant aux utilisateurs de se défendre proactivement contre les attaques entrantes et d'assurer la disponibilité des applications. Il s'intègre parfaitement à l'atténuation des bots et à la protection contre les attaques DDoS pour protéger les sites contres des attaques comme les bots qui épuisent les ressources, les menaces DDoS ou le Cross-Site Scripting (XSS).

« Même après avoir activé presque toutes les fonctionnalités du pare-feu, nous n'avons pas vu d'impact mesurable sur la latence », explique Harshad Rotithor. « C'est l'un des plus grands avantages de Cloudflare. Comme les fonctionnalités de sécurité n'ont pas d'impact sur les performances globales de notre site, l'expérience utilisateur ne se dégrade pas avec tous ces contrôles mis en place. »

Les performances et la sécurité intégrées sont essentiels à une expérience utilisateur harmonieuse

Aujourd'hui, Carousell n'a plus à se soucier de suivre sa base d'utilisateurs ou d'essayer de devancer les attaques potentielles. Les solutions intégrées de sécurité et de performances de Cloudflare permettent de combiner les deux, ce qui signifie que les utilisateurs bénéficient d'une expérience plus fluide à chaque fois qu'ils réalisent des achats ou des ventes.

« Cloudflare est essentiel à l'expérience que nous offrons à nos utilisateurs », déclare Harshad Rotithor, « et l'objectif que Cloudflare s'est fixé — contribuer à rendre meilleur Internet — est essentiel pour nous, car tout produit développé par Cloudflare profiterait essentiellement à nos utilisateurs finaux et, en retour, améliorerait leur expérience sur Carousell. C'est une relation gagnant-gagnant pour nous. »

Carousell sécurise et dimensionne ses places de marché électronique avec Cloudflare
Études de cas associées
Résultats essentiels
  • Cloudflare aide Carousell à gérer des pics de trafic trois fois supérieurs à la normale des jours de vente
  • Avec Cloudflare, Carousell voit un ratio de connexions au cache d'environ 60 % de la bande passante de l'image
  • Carousell utilise environ 50 Page Rules pour gérer la personnalisation du trafic
  • Cloudflare permet à Carousell de déjouer les cyberattaques et d'offrir une expérience utilisateur haut de gamme

Cloudflare nous permet de disposer des outils pour atténuer ces attaques sans que nos utilisateurs finaux n'en subissent les conséquences, même si des adversaires choisissent d'essayer des attaques contre nous.

Harshad Rotithor
Architecte en chef