DataDome

Construire la confiance des agents : pourquoi l’authentification + l’intelligence comportementale sont importantes

Table des matières
Dernière mise à jour : 18 Feb, 2026
|
min

Les agents IA transforment la façon dont les gens font leurs achats en ligne. Au lieu que les clients naviguent directement sur votre site, ils envoient de plus en plus d’assistants IA pour rechercher des produits, comparer les prix et effectuer des achats en leur nom. 70% des consommateurs au Royaume-Uni, aux États-Unis et en France ont utilisé l’IA pour faire des achats au cours des 12 derniers mois.

Cela crée un paradoxe de confiance. La même technologie qui alimente les assistants d’achat utiles permet également des attaques sophistiquées. Un agent IA peut être ChatGPT qui aide un client à trouver le cadeau parfait, ou un scraper malveillant qui vole systématiquement votre catalogue de produits et vos données tarifaires. Les deux ressemblent à du trafic automatisé. Les deux utilisent des protocoles similaires. Les deux pourraient même présenter des identifiants valides.

Le problème de visibilité aggrave la situation : Galileo, l’équipe de recherche sur les menaces de DataDome, a récemment rapporté que 80% des agents IA ne s’identifient pas correctement lorsqu’ils visitent des sites web, ce qui signifie que votre entreprise peut faire face à des statistiques faussées et même à la possibilité que des fraudeurs passent à travers. 

Les commerçants ne peuvent pas simplement bloquer tous les agents, cela signifie refuser des clients légitimes et perdre des ventes au profit de concurrents qui adoptent le commerce agentique. Mais accueillir tous les agents sans vérification invite à la fraude, au vol de données et aux abus.

La solution n’est pas compliquée : il faut établir une confiance complète avec les agents en vérifiant à la fois l’identité et l’intention avant d’accorder l’accès.

Volet identité

Le défi de la vérification de l’identité des agents

Avec le commerce agentique, un nouveau défi fondamental s’invite, que le commerce électronique traditionnel n’a jamais rencontré : comment vérifiez-vous l’identité des intermédiaires logiciels agissant au nom des clients ?

Lorsqu’un humain fait des achats en ligne, les commerçants s’appuient sur des signaux tels que les empreintes digitales d’appareil, les adresses IP et les schémas comportementaux pour établir la confiance au fil du temps. Mais les agents IA fonctionnent différemment. Ils :

  • font des demandes à la vitesse de la machine ;
  • achètent à partir d’une infrastructure centralisée (les serveurs de ChatGPT, pas l’ordinateur portable du client) ;
  • n’ont pas de signaux “humains” traditionnels pour s’authentifier ;
  • peuvent partager la même plateforme sous-jacente que les agents d’autres clients.

Sans moyen de vérifier l’identité des agents, les commerçants font face à un choix impossible : bloquer tous les agents IA (perte de revenus) ou les autoriser tous (invitation à la fraude et aux abus).

C’est pourquoi les protocoles d’authentification sont devenus indispensables pour le commerce agentique. L’industrie avait besoin d’une façon de répondre : “Est-ce vraiment ChatGPT qui achète pour un client légitime, ou un acteur malveillant usurpant l’identité de ChatGPT ?”

La solution de l’industrie : les protocoles d’authentification des agents

L’industrie a convergé vers l’authentification cryptographique comme fondement pour vérifier l’identité des agents. Web Bot Auth, une norme émergente de l’IETF basée sur le RFC 9421, permet aux agents IA de prouver leur identité à l’aide de signatures cryptographiques infalsifiables. Considérez-les comme des passeports numériques qui ne peuvent pas être falsifiés.

Les réseaux de paiement ont construit leurs protocoles spécifiques au commerce sur cette base, en l’étendant avec des identifiants de paiement et un contexte de transaction. 

Reconnaissant l’augmentation du trafic piloté par l’IA vers les sites de vente au détail, Visa a lancé le Trusted Agent Protocol (TAP) en octobre 2025, soutenu par des partenaires majeurs tels qu’Adyen, Fiserv, Shopify, Stripe et Worldpay. TAP s’appuie sur la base cryptographique de Web Bot Auth, en l’étendant avec des capacités spécifiques au commerce :

  • vérification de l’intention de l’agent,
  • données de reconnaissance des consommateurs,
  • transport sécurisé des identifiants de paiement.

Mastercard a suivi avec Agent Pay, utilisant Web Bot Auth pour l’authentification des agents tout en ajoutant des “Jetons Agentiques” pour la vérification des transactions sous la marque Mastercard.

Ces protocoles répondent au défi de l’identité spécifique au commerce agentique : vérifier non seulement qu’un agent est réel, mais qu’il est autorisé à effectuer des transactions au nom d’un consommateur spécifique. 

Mais ce n’est pas parce que vous savez qui est un agent que vous savez ce qu’il prévoit de faire. Un acteur malveillant avec des identifiants compromis passera tous les contrôles d’authentification, et c’est là que l’intelligence comportementale devient essentielle.

La prise en charge des protocoles d’authentification par DataDome

DataDome prend déjà en charge la vérification des signatures Web Bot Auth sur notre plateforme, ce qui signifie que nous pouvons vérifier cryptographiquement les identités des agents à la périphérie, distinguant les plateformes et agents IA légitimes comme ChatGPT ou AWS Bedrock AgentCore des imposteurs tentant d’usurper des identités de confiance. Avec DataDome, les commerçants obtiennent une vérification de l’identité des agents qui fonctionne avec plusieurs protocoles de commerce et réseaux de paiement. 

Cela dit, l’intention va de pair avec l’authentification.

Volet comportemental

Pourquoi l’intention compte autant que l’identité

Alors que les protocoles d’authentification traitent de qui est l’agent, vous devez également comprendre ce qu’il fait, c’est-à-dire la couche comportementale qui distingue les achats légitimes de l’activité malveillante, quel que soit le mode d’authentification.

Car voici le problème : même les agents authentifiés peuvent se comporter de manière malveillante. Un identifiant valide ne garantit pas une intention légitime. 

Agent Trust de DataDome pose les bonnes questions.

  • Quel est cet agent spécifique ? (Agent ChatGPT, AWS Bedrock AgentCore, système inconnu, identifiant usurpé)
  • Que cherche-t-il à faire ? (Rechercher des produits, finaliser un achat, collecter des données, tester des méthodes de paiement)
  • Son comportement correspond-il à une intention légitime ? (Modèles de navigation normaux vs. scraping systématique)
  • Quel niveau d’accès devrait-il avoir ? (Navigation libre des produits, achat authentifié, API restreintes)

C’est ce passage du blocage basé sur l’identité à la gestion de la confiance basée sur l’intention qui permet aux commerçants de capturer les revenus du commerce agentique en toute sécurité. 

Au lieu de bloquer toute automatisation ou de tout laisser passer, DataDome offre un contrôle granulaire basé sur l’analyse comportementale en temps réel et des capacités de gouvernance pour construire et ajuster les relations de confiance des agents au fil du temps, que la transaction utilise UCP, ACP ou des protocoles futurs.

Classification des agents en temps réel à grande échelle

DataDome traite des milliards de demandes d’agents, utilisant des modèles d’IA entraînés sur des modèles de trafic mondiaux pour identifier :

  • les assistants d’achat IA légitimes des grandes plateformes,
  • les navigateurs IA comme Comet et Atlas,
  • le trafic des serveurs MCP,
  • la mise en œuvre des protocoles UCP et ACP,
  • les identifiants d’agents usurpés tentant de contourner la sécurité,
  • l’automatisation malveillante déguisée en agents utiles.

Cette classification a lieu en temps réel, en analysant les empreintes comportementales, les signaux de protocole et les modèles de requêtes pour distinguer le commerce productif de l’automatisation nuisible.

Comme l’explique Dan Ayash, Directeur des solutions avancées de cybersécurité de PayPal, “Pour lutter contre les bots pilotés par l’IA, vous devez comprendre ce qu’ils essaient de faire, pas seulement qui ils sont. C’est ce que DataDome nous aide à faire.”

La protection sans friction

Le plus grand risque en sécurité du commerce agentique n’est pas de laisser passer les mauvais acteurs. C’est de bloquer les agents légitimes qui auraient généré des ventes. Chaque agent utile bloqué envoie potentiellement ce client à un concurrent.

L’approche de DataDome garantit que la sécurité ne sacrifie pas la conversion :

  • autoriser les agents vérifiés à rechercher librement des produits ;
  • bloquer le trafic malveillant confirmé avant qu’il ne puisse extraire des données ou commettre des fraudes ;
  • s’adapter à mesure que les comportements des agents évoluent et que de nouveaux schémas d’attaque émergent.

Cette réponse graduée maintient la protection tout en maximisant les revenus générés par les agents légitimes.

Pourquoi les deux couches sont importantes

L’authentification et l’intelligence comportementale ne sont pas redondantes, elles sont complémentaires. Voici ce que chaque couche protège, et ce qu’elle manque seule :

L’authentification seule détecte : 

Mais manque : 

  • les agents légitimes compromis,
  • l’abus et le mauvais usage des identifiants,
  • le comportement malveillant de sources authentifiées.

L’analyse comportementale seule attrape : 

  • les schémas et anomalies suspects,
  • le scraping et la collecte de données,
  • les tentatives de transaction inhabituelles.

Mais manque : 

  • qui est réellement l’agent,
  • s’il a l’autorisation d’effectuer des transactions,
  • la distinction entre des types d’agents similaires.

Ensemble, ils fournissent une visibilité complète : un acteur malveillant avec des identifiants compromis passera les contrôles d’authentification mais échouera à l’analyse comportementale. Un agent légitime présentant des schémas inhabituels (peut-être en raison d’un bug logiciel ou d’une compromission) est signalé pour enquête même si l’authentification réussit.

DataDome opère à la fois au niveau de l’authentification fondamentale (vérification des signatures Web Bot Auth) et au niveau comportemental (analyse de l’intention), évaluant continuellement la confiance des agents et fournissant une défense en profondeur.

L’avenir de la sécurité du commerce agentique n’est pas de choisir entre ces approches. C’est de déployer les deux, quel que soit le protocole de commerce utilisé par vos clients.

Ce que cela signifie pour les commerçants

L’adoption du commerce agentique se produit maintenant. La majorité des consommateurs utilisent déjà l’IA pour faire des achats, et l’infrastructure se consolide rapidement autour de normes comme UCP et ACP.

Les commerçants font face à un choix : adopter ces protocoles et capturer ce trafic croissant, ou regarder les clients finaliser leurs achats chez des concurrents qui participent à l’écosystème.

Mais l’adoption sans sécurité est imprudente. Les commerçants qui réussiront sont ceux qui mettront en œuvre une gestion de la confiance des agents complète dès le départ, en combinant les protocoles d’authentification avec l’intelligence comportementale plutôt que d’attendre que des schémas de fraude émergent.

L’authentification vous dit qui frappe à la porte. L’intelligence comportementale vous dit ce qu’ils prévoient de faire une fois que vous les laisserez entrer. Vous avez besoin des deux.

Téléchargez notre Guide pour préparer votre entreprise au commerce agentique pour en savoir plus sur la façon de préparer votre entreprise aux transactions pilotées par l’IA, ou planifiez une démonstration en direct pour voir la solution de gestion de la confiance des agents de DataDome en action.