Rise of AI fraud

6 enseignements du webinaire “The Rise of AI Fraud” : comment les agents AI réécrivent la défense contre la fraude en 2025

Table des matières
Dernière mise à jour : 23 Oct, 2025
|
min

Les agents d’IA transforment l’internet, et les fraudeurs en profitent. C’était le message clair du webinaire d’octobre de la Loyalty Security Alliance, “The Rise of AI Fraud,” animé par Christopher Staab et avec la participation de Jérôme Segura, VP de la recherche sur les menaces chez DataDome. 

La session a expliqué comment les agents d’IA transforment le comportement des utilisateurs, dynamisent les schémas de fraude traditionnels et défient les équipes de fraude et de sécurité à penser au-delà du modèle humain vs. bot.

Voir le replay du webinaire

Voici les principaux enseignements de la session.

Les agents IA sont partout, et ils ne font que commencer

Le trafic piloté par l’IA a explosé en 2025. Selon le rapport mondial sur la sécurité des bots de DataDome, les agents IA représentent désormais 10% de tout le trafic de bots, contre 2,6% en janvier—une augmentation quadruple en seulement huit mois.

Ces agents alimentent tout, des assistants personnels et outils de réservation aux bots de scraping de contenu et crawlers LLM. Le défi ? Ils ne sont pas tous mauvais. Comme l’a expliqué Segura :

“Les agents IA font partie de notre vie quotidienne. Mais les mêmes technologies qui les rendent utiles pour les consommateurs les rendent également dangereux entre les mains des fraudeurs.”

Cette adoption rapide signifie que la distinction traditionnelle entre bons bots et mauvais bots s’estompe. Certains agents apportent de la valeur—comme les assistants d’achat légitimes ou les outils de rédemption de fidélité—tandis que d’autres récoltent discrètement des données, créent de faux comptes ou commettent des fraudes de points de fidélité.

La plupart des sites Web échouent encore à bloquer les bots simples

Pour le rapport mondial sur la sécurité des bots 2025 de DataDome, nous avons testé près de 17 000 sites Web en envoyant un nombre contrôlé et réduit de requêtes en utilisant une gamme de profils de bots courants. Les résultats sont édifiants :

  • 61% des sites n’ont pas réussi à identifier et bloquer même un seul bot de test
  • Seulement 2,8% ont correctement identifié tous nos bots de test, contre 8,4% l’année précédente.

Cette exposition généralisée même à des bots très simples signifie que les entreprises sont extrêmement vulnérables aux attaques de bots bien plus sophistiquées et alimentées par l’IA que nous voyons en 2025.

Comme l’a noté Segura, “Les attaquants évoluent plus vite que les entreprises ne peuvent ajuster leurs défenses. Tandis que les entreprises débattent des budgets, les fraudeurs innovent en temps réel.”

Comment l’IA dynamise la fraude

Les outils IA ne créent pas seulement de nouveaux types de fraude ; ils optimisent et amplifient ceux existants. Voici ce que l’équipe de recherche sur les menaces de DataDome observe :

  • Prise de contrôle de compte & bourrage d’identifiants : L’IA accélère les tests de mots de passe et la reconnaissance de motifs.
  • Création de faux comptes & comptes fantômes : Les outils génératifs remplissent les formulaires, contournent les CAPTCHA et imitent la navigation humaine.
  • Vol de points de fidélité & fraude au paiement : Les agents IA automatisent la rédemption et l’abus de paiement à grande échelle.
  • Vol de contenu piloté par LLM : Les scrapers automatisés réutilisent des sites Web entiers pour l’entraînement de modèles ou la revente.

Encore plus alarmant : les bots IA ciblent de plus en plus les points d’accès critiques. En fait, DataDome a constaté que 64% des occurrences de trafic IA se produisent sur les pages de formulaire, 23% sur les pages de connexion, et 5% atteignent le paiement.

“Contrairement à un bot simple qui exécute un script fixe,” a expliqué Segura, “un agent IA peut changer de tactique en cours d’attaque, trouver de nouveaux points d’entrée et imiter le comportement d’un utilisateur légitime.”

Ce changement fait de l’intention, et non de l’identité, le nouveau champ de bataille.

De l’identité à l’intention : le prochain saut en avant dans la détection

La logique binaire de bot vs. humain ne s’applique plus. Les équipes de lutte contre la fraude doivent désormais interpréter pourquoi une session se comporte comme elle le fait, et non seulement ce qu‘elle prétend être. Les humains envoient maintenant leurs agents IA pour effectuer des achats légitimes en leur nom. 

L’approche de DataDome se concentre sur l’analyse de l’intention réelle de l’utilisateur tout au long du parcours client. En corrélant les signaux côté serveur et côté client, nos moteurs de détection peuvent identifier les désalignements tels qu’un agent “ChatGPT” qui scrute les données de paiement ou un “GoogleBot” qui ne suit pas les schémas d’indexation.

La détection basée sur l’intention permet aux entreprises de :

  • différencier l’automatisation légitime de l’abus
  • réduire le surblocage qui frustre les vrais utilisateurs
  • s’adapter dynamiquement aux nouveaux comportements des agents

Comme l’a résumé Christopher Staab lors de la session :

“Nous nous sommes concentrés sur la vérification d’identité pendant des années. Mais à mesure que l’IA agentique se développe, nous devons nous orienter vers la vérification de l’intention.”

Pourquoi les équipes de lutte contre la fraude doivent s’adapter rapidement

La fraude IA se développe plus rapidement que les défenses traditionnelles ne peuvent réagir. Segura a averti que “la même démocratisation de l’IA qui donne du pouvoir aux consommateurs donne également du pouvoir aux attaquants.” Les kits de Fraude-en-tant-que-Service sont maintenant vendus sur Telegram ou Discord, et les criminels peu qualifiés peuvent lancer des attaques avancées en utilisant des outils IA publics. Ce changement signifie que nous avons besoin d’une nouvelle approche pour la prévention de la fraude

Pendant ce temps, les défenseurs font face à des cycles budgétaires, des retards de passation de marchés et une infrastructure héritée. Pour rester en avance, Segura a conseillé aux équipes de :

  1. Cartographier vos surfaces d’attaque critiques (connexion, paiement, formulaires)
  2. Tester régulièrement vos défenses en utilisant des simulations contrôlées
  3. Évaluer vos fournisseurs de détection : l’efficacité varie considérablement
  4. Collaborer à travers les silos : les équipes de fraude et de cybersécurité doivent s’aligner
  5. Surveiller le trafic des agents IA pour à la fois sécuriser et monétiser l’utilisation légitime

La lueur d’espoir : le trafic IA peut être monétisé

Bien sûr, tout le trafic IA n’est pas mauvais. Certains agents IA, comme les bots de comparaison de prix ou les assistants de réservation de voyage, apportent de la valeur à la fois aux utilisateurs et aux entreprises qui les autorisent. Les agents IA contribueront également aux revenus à mesure que le commerce agentique sera plus largement adopté. 

Le nouveau tableau de bord IA & LLM de DataDome aide les entreprises à identifier, contrôler et même monétiser le trafic légitime des agents IA, tout en continuant à bloquer les acteurs malveillants.

Comme l’a conclu Segura :

“La prévention de la fraude ne consiste plus seulement à arrêter le mauvais trafic. Il s’agit aussi de reconnaître et de permettre le bon trafic, sans compromettre la sécurité ou l’expérience utilisateur.”

En savoir plus & regarder le replay

Si vous avez manqué la session en direct, regardez le replay complet pour en savoir plus auprès des experts.

Vous pouvez également télécharger le rapport mondial sur la sécurité des bots 2025 complet pour explorer les découvertes et les insights de DataDome.