DataDome

Web Bot Auth : Vérifier l’identité des utilisateurs et garantir la confiance envers les agents au fil du parcours client

Table des matières
Dernière mise à jour : 22 Jan, 2026
|
min

DataDome Bot Protect prend désormais en charge Web Bot Auth, un nouveau standard d’authentification IETF qui permet aux agents d’IA de prouver leur identité par vérification cryptographique. Cette avancée permet aux clients de DataDome d’authentifier les agents légitimes avec des signatures infalsifiables tout en maintenant une protection robuste contre l’usurpation d’identité et la fraude, ce qui élimine le dilemme – forcément perdant – entre bloquer des opportunités commerciales potentielles ou accepter le risque de fraude.

Qu’est-ce que Web Bot Auth et pourquoi est-ce important ?

L’adoption par les consommateurs d’agents d’IA pour le e-commerce est encore relativement faible aujourd’hui, mais elle croît rapidement. Les équipes de sécurité font actuellement face à un choix difficile quant à la manière de répondre à ce nouveau type de trafic : bloquer les agents d’IA suspects ou inconnus et risquer de perdre des affaires légitimes, ou faire confiance aux identifiants existants dans les chaînes d’agent utilisateur que les fraudeurs peuvent facilement falsifier, et risquer des coûts de fraude plus élevés. Cette situation perdant-perdant existe parce que l’identité d’un agent IA est incertaine et imprécise.

Par exemple, un agent peut prétendre « Je suis ChatGPT » en ajoutant simplement le texte suivant à son en-tête User-Agent : GPTBot/1.3; +https://openai.com/gptbot. C’est tout. Pas de vérification, pas d’authentification : juste une chaîne de texte.

Les attaquants le savent. Ils usurpent l’identité des moteurs de recherche pour extraire des données de prix, prétendent être des outils de surveillance tout en recherchant des vulnérabilités, et se font passer pour des agents d’IA légitimes pour contourner les défenses. 

Une norme IETF émergente, Web Bot Auth, résout ce problème en permettant aux agents d’IA de prouver leur identité avec une grande confiance lors de l’interaction avec les ressources web. 

Web Bot Auth utilise des signatures cryptographiques uniques, comme des passeports numériques, qui ne peuvent pas être falsifiées dans les interactions de commerce électronique. En tant que solution de facto, Web Bot Auth a déjà été largement adopté par les entreprises de paiement, les plateformes IA et les principaux fournisseurs de cloud comme Amazon Bedrock AgentCore.

Amazon Bedrock AgentCore prend désormais en charge Web Bot Auth (en aperçu), fournissant aux agents d’IA des identités cryptographiques vérifiables. DataDome soutient AgentCore pour valider ce processus de vérification et minimiser les frictions pour les agents d’IA vérifiés sur les domaines autorisés. Avec DataDome et AgentCore, les clients peuvent établir des relations de confiance continues avec les agents pour les domaines nécessitant un accès IA agentique pour répondre aux besoins commerciaux.

Preuve cryptographique infalsifiable

Web Bot Auth exige que les agents d’IA joignent une signature cryptographique à chaque requête HTTP validée par DataDome.

Chaque signature prouve deux éléments essentiels :

  • identité de l’agent IA : identifier quelle plateforme IA effectue la requête (par exemple, OpenAI, AWS) et par conséquent appliquer les politiques commerciales appropriées ;
  • intégrité de la requête : assurer que les requêtes restent inchangées, ce qui élimine les spéculations et empêche les comportements frauduleux.

Web Bot Auth diagram

  1. L’agent d’IA inclut ses données signées, ainsi que des métadonnées (validité, ID de clé, tag, etc.) dans les en-têtes de requête Signature et Signature-input.
  2. DataDome analyse 100 % des requêtes de l’agent et vérifie la signature en utilisant la clé publique de la plateforme fournisseur, disponible à un emplacement bien connu, en continu.
  3. Une fois l’authentification de l’agent établie, les approximations et l’usurpation d’identité sont éliminées. Dans le tableau de bord de DataDome, les clients peuvent alors appliquer des politiques de trafic granulaires adaptées à des points de terminaison spécifiques. Par exemple, ils peuvent autoriser l’accès aux pages de produits tout en limitant le taux de tentatives de connexion pour un agent particulier.

Exemple utilisant Amazon Bedrock AgentCore:

GET /products/xba456 HTTP/1.1

Host: yourdomain.com

User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/140.0.0.0 Amazon-Bedrock-AgentCore-Browser/1.0 (Chromium; +https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/browser-tool.html)

Signature-Agent:"https://zxy...5abc.keydirectory.signer.us-east-1.on.aws"

Signature-Input: sig1=("@authority" "signature-agent");created=176762217;alg="ed25519";keyid="WNTmN5bl8...PcD476nwN";tag="web-bot-auth";expires=1767625817;nonce="YkfwQ...X_DvyHAbIRmsdnyjI"

Signature:sig1=:K+XW0IAT2yCK...aFCG7kZSEER8tgAQ==:

Accept: application/json

 

Web Bot Auth est un élément clé de Bot Protect de DataDome avec Agent Trust. Il fonctionne en authentifiant chaque interaction numérique d’un agent d’IA qui suit ce protocole, vérifiant constamment son identité. Ces identités vérifiées permettent aux organisations de définir des politiques d’accès granulaires par agent d’IA. Décidez quelles parties de votre site ils peuvent visiter : accueillez-les sur les pages de produits et le contenu public, tout en protégeant les flux de connexion, les processus de paiement ou les données sensibles des clients. 

Au lieu de bloquer complètement les agents d’IA ou de laisser votre site exposé, vous définissez des garde-fous qui s’alignent sur votre stratégie commerciale pour assurer une croissance contrôlée.

Que signifie Web Bot Auth pour votre posture de sécurité ?

  • Éliminez les risques de fausse identité et la charge opérationnelle des listes d’autorisation manuelles grâce à une authentification agentique vérifiée cryptographiquement. Distinguez les crawlers de recherche légitimes, les API partenaires et les agents d’IA des usurpateurs sophistiqués. Votre équipe de sécurité cesse de gérer manuellement les listes blanches, et cela réduit la charge opérationnelle tout en fermant les vecteurs d’attaque d’usurpation.
  • Garantissez la continuité des affaires pour le trafic automatisé critique. Les bots et agents d’IA authentifiés passent instantanément grâce à la vérification cryptographique. Pas de revues de sécurité manuelles qui retardent les intégrations partenaires. Pas de faux positifs endommageant les classements SEO ou bloquant les services essentiels. Protection sans friction.
  • Réduction de la charge opérationnelle. Cessez d’enquêter sur les tickets du type « est-ce vraiment ChatGPT ? ». Arrêtez de maintenir des listes d’autorisation d’IP fragiles qui se cassent lorsque les services changent d’infrastructure.
  • Configuration zéro pour les clients existants et intégration rapide pour les nouveaux clients.
    DataDome gère les clés publiques, valide les signatures, gère le cache et protège le pipeline de vérification. Votre équipe ne déploie rien.

L’ère de l’IA agentique a besoin d’Agent Trust

Les agents d’IA se multiplient rapidement. Certains respectent les règles et s’identifient correctement. Beaucoup ne le font pas. À mesure que le trafic agentique augmente dans les mois à venir, l’authentification cryptographique deviendra l’attente de base, et pas une capacité optionnelle.

Mais Web Bot Auth ne résout que la moitié du problème. Il vous dit quelle plateforme agentique envoie la requête, mais ne vous dit pas ce que les agents IA essaient de faire.

C’est là que la détection basée sur l’intention entre en jeu. DataDome valide les utilisateurs légitimes et les agents d’IA avec une vérification d’identité continue et une détection basée sur l’intention. Notre plateforme de protection contre la cyberfraude analyse le comportement en temps réel en examinant chaque clic, modèle de requête et interaction tout au long du parcours client pour déterminer si les actions d’un agent s’alignent avec une utilisation légitime.

Par exemple, un agent vérifié pourrait techniquement suivre le protocole Web Bot Auth tout en accumulant des stocks pour bloquer les clients humains, ce qui prouve que l’identité cryptographique seule est insuffisante. Un agent cryptographiquement vérifié, authentifié et connu, peut encore abuser du service sans limites préétablies et applicables.

Cet abus est significatif, incluant l’accaparement de stocks dans l’e-commerce, qui empêche les achats légitimes, dégrade l’expérience utilisateur et contourne la détection traditionnelle. Les agents d’IA et bots authentifiés peuvent également être utilisés pour le scraping de données, le credential stuffing ou des attaques DDoS, exploitant la confiance vérifiée pour masquer des intentions malveillantes.

DataDome met en œuvre Agent Trust comme une couche de défense essentielle qui va au-delà de « qui êtes-vous ? » pour se concentrer intensément sur « quelle est votre intention et votre comportement ? » Chaque interaction numérique avec un agent d’IA est authentifiée, traçable et alignée sur une valeur commerciale légitime et les conditions d’utilisation.

Agent Trust évalue en continu ce que l’agent d’IA fait, pourquoi il le fait, et s’il continue de mériter la confiance en agissant. Cela permet des interactions sans friction pour les agents IA vérifiés et de confiance dans des limites définies, tout en bloquant automatiquement les IA malveillantes et en limitant les agents non fiables avant qu’ils ne puissent causer des dommages.

La vérification de signature Web Bot Auth est disponible dès maintenant pour tous les clients DataDome. Aucune configuration requise.

Besoin de vérification pour votre agent d’IA ? Pré-vérifiez votre agent d’IA avec DataDome pour garantir un accès ininterrompu à vos sites protégés tout en assurant que l’automatisation légitime fonctionne sans friction et que les menaces automatisées sont bloquées.