ai powered fraud

“J’ai rejoint DataDome pour lutter contre la nouvelle génération de fraude alimentée par l’IA”

Table des matières
Bot management Cyberfraude IA agentique
Jerome Segura, VP of Threat Research
15 Jul, 2025
|
min

Un nouveau chapitre

Après plus d’une décennie chez Malwarebytes, quitter l’entreprise n’a pas été une décision facile à prendre. J’étais très attaché à cette société ; beaucoup dans le secteur me considéraient comme « le gars de chez Malwarebytes ». Mais je savais qu’il était temps de relever un nouveau défi.

J’ai toujours été attiré par les zones périphériques du paysage des menaces. J’aime la traque : la curiosité, l’énigme, l’art de découvrir des attaques dans la nature. Mais ces dernières années, les menaces les plus intéressantes ne proviennent plus des malwares traditionnels. Elles viennent du web. Elles sont automatisées. Elles évoluent plus vite que la plupart des défenseurs ne peuvent réagir. Et elles sont suralimentées par l’IA.

C’est pourquoi j’ai rejoint DataDome. De l’extérieur, je voyais déjà que c’était une entreprise en avance sur son temps. De l’intérieur, j’ai pu constater l’ampleur, la précision et l’ingéniosité de ses systèmes de détection. C’est une entreprise qui comprend où se dirige le secteur et qui y apporte déjà des solutions.

Qu’est-ce qui rend la détection des menaces basées sur l’IA si difficile

La plupart des gens pensent encore le trafic en termes binaires : humain ou bot. C’est dépassé. Nous entrons dans une nouvelle réalité où le trafic est hybride, les comportements sont sophistiqués et les signaux souvent subtils.

On voit apparaître des outils d’IA agentique capables de naviguer de manière autonome sur les sites. Les photos de profil deepfake et les biographies générées par l’IA passent désormais inaperçues lors d’une inspection superficielle. Les crawlers alimentés par des LLM aspirent massivement des données propriétaires. Rien qu’en mai, DataDome a détecté 976 millions de requêtes provenant de crawlers identifiés comme appartenant à OpenAI, dont 92 % liés à ChatGPT. Ces modèles ne représentent plus un trafic marginal : les crawlers LLM constituent désormais 4,5 % de l’ensemble de toute l’activité bot légitime que nous observons chez nos clients — un record, et un signe clair que l’automatisation pilotée par l’IA s’accélère.

Parallèlement, le coût financier du lancement de ces attaques a considérablement baissé. Avec le Bots-as-a-Service, n’importe qui peut louer un flux d’attaque prêt à l’emploi. Avec l’IA, les attaquants n’ont même plus besoin d’écrire de scripts : il leur suffit de décrire ce qu’ils veulent faire.

Dans ce contexte, les signaux simples comme les vérifications de navigateur ou les CAPTCHA ne suffisent plus. Même de nombreuses solutions modernes sont insuffisantes, soit parce qu’elles se concentrent trop étroitement sur les signatures des bots, soit parce qu’elles s’appuient sur des heuristiques fragiles auxquelles les attaquants peuvent facilement s’adapter.

Le changement fondamental à opérer est l’analyse basée sur l’intention. Il ne s’agit pas simplement de déterminer si un utilisateur est « un bot », mais de comprendre pourquoi il agit ainsi. Cherche-t-il à acheter un billet… ou à en acheter 100 pour les revendre ? Lit-il votre blog… ou aspire-t-il vos données tarifaires ?

Comprendre l’intention est le seul moyen de permettre un usage légitime de l’IA agentique tout en stoppant les abus. C’est la prochaine frontière de la détection et l’une des raisons pour lesquelles je crois autant en l’approche de DataDome.

Là où DataDome sort du lot

Un moteur de détection IA multi-couches, ajusté en temps réel

Ce qui m’a immédiatement marqué en rejoignant DataDome, c’est l’ampleur, la profondeur et la rigueur de son moteur de détection. De nombreuses entreprises utilisent des termes accrocheurs comme « alimenté par l’IA » ou « en temps réel », mais peu tiennent réellement ces promesses, surtout à grande échelle et sans compromettre les performances ou l’expérience utilisateur.

Chez DataDome, la détection n’est pas une couche unique ni un modèle unique. Elle repose sur une architecture IA multi-couches conçue pour évaluer chaque requête, à chaque fois. La plateforme analyse plus de 5 000 milliards de signaux par jour, provenant de sources côté client et côté serveur, alimentant une boucle de rétroaction auto-adaptative qui apprend en continu à partir des comportements réels. Des indicateurs clés de performance comme le taux de rebond, les refus de connexion ou les abandons de panier sont utilisés pour affiner les décisions en permanence, afin de garantir la prise en compte du contexte. Chaque décision est prise en moins de 2 millisecondes, ce qui garantit une expérience fluide, même à l’échelle des grandes entreprises.

Neutraliser les techniques d’évasion avancées

Tout cela est rendu possible grâce à une architecture qui combine plusieurs techniques qui se renforcent mutuellement. La détection par signature, l’apprentissage automatique supervisé et les algorithmes génétiques constituent l’ossature, tandis que l’analyse de séries temporelles, la détection d’anomalies et la biométrie comportementale complètent un système pensé pour évoluer avec le paysage des menaces. Nous capturons également des signaux au niveau des appareils et maintenons une visibilité complète au niveau des sessions, une capacité essentielle à l’heure où de nombreux attaquants utilisent l’émulation, l’usurpation et des techniques d’évasion basées sur l’IA.

Le fingerprinting et la détection d’évasion sont un autre domaine dans lequel DataDome excelle. Nous identifions avec précision la manipulation d’empreintes TLS, les environnements JavaScript falsifiés et les variantes de navigateurs « anti-détection ». L’empreinte digitale des appareils est une pièce maîtresse de ce dispositif, surtout face à des acteurs malveillants utilisant des frameworks comme Puppeteer ou des outils capables de faire tourner les identifiants réseau bas-niveau. Nous exploitons également des challenges proof-of-work et une détection côté client basée sur machine virtuelle pour révéler les comportements d’évasion avant qu’ils ne puissent être exploités à grande échelle. Ces techniques permettent de débusquer les frameworks d’automatisation et les environnements headless utilisés pour imiter des utilisateurs réels.

Vérifier les bons bots, bloquer les imitateurs

La gestion des bons bots est aussi importante que le blocage des mauvais. DataDome va au-delà de la simple classification : nous les vérifions. Nous distinguons les bots de confiance, comme Googlebot et Bingbot, tout en bloquant les usurpateurs et crawlers non autorisés.

Pour rendre cette visibilité accessible au-delà de notre plateforme, nous maintenons DataDome Intel, une base de données publique de renseignement sur les menaces qui recense les crawlers IA, navigateurs headless et bots usurpateurs. Cela fait partie de notre engagement en faveur de la transparence et de notre volonté d’aider la communauté cybersécurité et anti-fraude à garder une longueur d’avance sur les menaces automatisées.

À la pointe de la détection des LLM et de l’IA agentique

L’un des domaines les plus passionnants est la manière dont nous détectons et classons les crawlers basés sur le LLM et le trafic IA agentique. Ces bots ne suivent pas les règles classiques : certains sont des outils utiles pour des utilisateurs légitimes ; d’autres aspirent du contenu propriétaire sans consentement ou recherchent des vulnérabilités. DataDome a été le premier à proposer une détection et une classification fines pour cette catégorie émergente, qui permettent des réponses dynamiques adaptées au risque métier : autoriser, bloquer, contester ou limiter le débit.

Détection d’anomalies en temps réel sur toutes les sessions

Nous appliquons également une détection d’anomalies en temps réel afin d’identifier rapidement les schémas de trafic inhabituels et les comportements d’attaques distribuées. Les campagnes de credential stuffing, les opérations de scraping progressif (« low-and-slow ») et les sondages intersites sont détectés et acheminés vers une analyse approfondie, souvent avant qu’ils ne causent des dommages.

Détection unifiée sur le web, les appareils mobiles et les API

Tout cela se produit sur l’ensemble des surfaces qui intéressent nos clients : sites web, API et applications mobiles. En maintenant une détection unifiée sur tous les canaux, nous pouvons repérer lorsqu’un bot change de tactique en cours de session, par exemple en passant d’un navigateur à une API, d’une manière que les systèmes cloisonnés ne détectent souvent pas.

Et même en dehors du périmètre principal, nous étendons la protection aux surfaces négligées ou oubliées. Les capacités de découverte de DataDome aident les organisations à identifier des actifs fantômes comme des domaines non surveillés, des pages de connexion abandonnées ou des sous-domaines mal configurés, et à les placer sous protection pour éliminer les angles morts avant qu’ils ne deviennent des points d’entrée.

Conçu pour les menaces qui comptent

Ce que nous construisons n’est pas seulement un meilleur moteur de détection des bots. C’est une plateforme de détection des menaces en temps réel et adaptative, conçue spécifiquement pour la manière dont la fraude, l’automatisation et les attaques alimentées par l’IA fonctionnent réellement aujourd’hui. Et d’après tout ce que j’ai pu voir jusqu’ici, c’est exactement le type de système dont les entreprises auront besoin pour affronter ce qui vient.

Pourquoi l’ampleur de la détection est importante pour l’avenir

La montée en puissance de l’IA agentique change la donne. Ces outils opèrent de manière autonome, naviguent facilement entre les couches web et API, et s’adaptent rapidement à tout ce qui les bloque. Les anciens signaux sur lesquels nous comptions, comme les empreintes de navigateur ou la réputation IP, ne suffisent tout simplement plus.

C’est là que l’ampleur de la détection devient cruciale. Les menaces alimentées par l’IA peuvent venir de n’importe où, emprunter des chemins inattendus et changer de tactique en cours de session. Pour s’en défendre, il faut une visibilité complète. Les équipes doivent s’attacher à voir l’ensemble du contexte, sur tous les canaux, pour chaque requête, en temps réel.

C’est pourquoi je considère que l’ampleur de la détection n’est pas un simple « plus », mais une nécessité. Lorsque vous pouvez détecter précocement les signaux d’abus sur toutes les surfaces, identifier les comportements d’évasion et vous adapter à mesure que les attaquants évoluent, vous offrez à votre entreprise résilience, contrôle et liberté de se développer sans craindre l’exploitation.

Et c’est ce qui rend l’approche de DataDome si puissante. Elle est rapide, précise et complète. Elle donne aux équipes la certitude qu’elles voient ce qui compte, au moment où cela compte, et qu’elles peuvent agir avant que l’impact ne touche leurs clients ou leur chiffre d’affaires.

Rejoignez-nous

Vous entendrez bientôt parler de moi, que ce soit pour des recherches, des analyses ou peut-être même quelques découvertes inattendues. En attendant, je vous invite à :

Nous ne faisons que commencer.

DataDome
Jerome Segura
VP of Threat Research
Jérôme Segura est un chercheur en sécurité reconnu, qui s'intéresse particulièrement à l'analyse des malwares et à l'évolution constante des menaces, notamment grâce à sa connaissance approfondie du malvertising. Fort de nombreuses années d'expérience dans le domaine de la cybersécurité, il a fait ses preuves dans l'identification des vecteurs d'attaque émergents. Son expertise consiste à mettre au jour les mécanismes qui sous-tendent les attaques en ligne et à traduire des conclusions complexes en connaissances pratiques, fournissant ainsi des renseignements exploitables pour aider à protéger les particuliers et les organisations contre les acteurs malveillants. Son travail consiste souvent à disséquer des cyberattaques complexes et à partager ses conclusions afin de contribuer à un paysage numérique plus sûr.

Articles liés