Alerte sécurité : les e-commerçants se préparent à une vague de faux acheteurs pour le Black Friday
Avec l’essor du commerce agentique, les e-commerçants entrent dans une nouvelle phase d’automatisation, où des agents d’IA agissent au nom de vrais utilisateurs pour naviguer, comparer et acheter. Mais ces mêmes capacités peuvent être détournées par des fraudeurs. Pour le Black Friday, l’enjeu n’est plus simplement de bloquer les bots ; il s’agit de distinguer les interactions légitimes pilotées par des agents des automatisations malveillantes conçues pour les imiter.
Cette distinction est cruciale au niveau du compte utilisateur, où les e-commerçants doivent vérifier l’identité dans un contexte d’automatisation croissante. Les agents légitimes qui assistent les utilisateurs et les bots malveillants qui testent des vulnérabilités suivent des parcours similaires de création de compte et de login. Dans ce contexte, notre évaluation 2025 montre que 64 % des e-commerçants restent vulnérables à la création de faux comptes, et plus de la moitié sont exposés aux attaques d’account takeover en raison de protections de connexion insuffisantes.
De plus, de nombreuses vulnérabilités déjà observées l’an dernier restent non corrigées. Résultat : davantage de comptes volés, de cartes cadeaux vidées, et de vrais acheteurs obligés d’affronter des bots pour obtenir les cadeaux les plus demandés — en pleine période de rush des fêtes.
Principales conclusions
À l’aide de frameworks de bots open source avec une configuration minimale, l’équipe DataDome Advanced Threat Research a mené des tests de sécurité sur 11 sites e-commerce majeurs pour évaluer la qualité de protection de ces plateformes contre l’automatisation abusive des comptes. Les résultats révèlent des vulnérabilités généralisées qui exposent les e-commerçants.
La création de faux comptes reste alarmante de facilité
- 64 % des e-commerçants sont vulnérables à la création massive de faux comptes
- 73 % acceptent les emails jetables*, permettant aux attaquants de générer un nombre illimité de comptes via des boîtes temporaires
- Seulement 27 % appliquent une détection de bot efficace, capable de bloquer la création automatisée de comptes
- 36 % des e-commerçants n’ont aucun MFA en place, ce qui laisse les parcours de création de compte dangereusement ouverts
*Une adresse email jetable (DEA) est un email temporaire et intraçable utilisé par des acteurs malveillants pour créer de multiples faux comptes, exploiter à répétition des promotions uniques ou détourner des alertes tout en restant anonymes.
La protection des connexions reste faible
- 82 % autorisent des tentatives de connexion automatisées sans vérification
- 64 % n’ont aucun contrôle de verrouillage de compte, ce qui les expose aux attaques de credential stuffing
Ces failles offrent des conditions idéales aux attaquants pilotés par l’IA pour intensifier leurs opérations sans être signalés : exécuter des tentatives de connexion ciblées, créer des faux comptes et interagir avec les flux de sécurité de manière plus humaine que les bots.
Implications et risques
- Création massive de faux comptes : la création de faux comptes reste la menace la plus répandue et la plus dommageable à l’approche du Black Friday. Les attaquants utilisent des domaines d’emails jetables et des techniques d’alias simples (comme les variantes « dot » et « plus » de Gmail) pour générer des centaines de comptes à partir d’une seule boîte mail. Combinée avec l’automatisation et désormais les agents d’IA capables d’imiter la saisie humaine, cette création de comptes se fait à grande échelle et passe souvent inaperçue. Une fois créés, ces comptes servent à contourner des limites d’achat, accaparer des stocks très demandés, et exploiter promotions et codes de parrainage. Les dommages financiers peuvent être importants : les e-commerçants peuvent perdre entre 50 000 et 500 000 $ par campagne.
- Credential stuffing et account takeover : le credential stuffing reste une menace à fort impact et faible visibilité. Avec 55 % des e-commerçants qui n’appliquent ni verrouillage de compte ni détection de bots à la connexion, les attaquants peuvent tester silencieusement des identifiants volés à grande échelle. Les agents d’IA aggravent ce risque en adaptant les tentatives selon les réponses des plateformes, contournant la détection et augmentant les taux de réussite. Une fois le compte compromis, les fraudeurs exploitent moyens de paiement enregistrés, points fidélité et confiance des utilisateurs.
- Le nouveau risque du partage d’identifiants dans le commerce agentique : selon Gartner, 90 % des organisations permettant aux utilisateurs de partager leurs identifiants avec des agents d’IA connaîtront trois fois plus d’incidents d’account takeover d’ici 2028. Pourtant, 36 % des adultes américains déclarent déjà être intéressés par l’idée de laisser un agent IA acheter ou effectuer des transactions en leur nom. Cette tension — entre commodité et contrôle — définira la prochaine vague de risques de fraude. Les e-commerçants doivent décider non seulement comment détecter les identifiants volés, mais aussi comment permettre en toute sécurité un accès d’agent de confiance sans ouvrir la porte à un abus d’identifiants à grande échelle.
- Emails jetables pour contourner le MFA : avec 73 % qui acceptent les domaines d’emails jetables, ces plateformes permettent aux attaquants de contourner totalement le MFA via des adresses faciles à automatiser et à valider. Les comptes semblent protégés, mais sont en réalité ouverts à la création massive de faux comptes.
Recommandations : mesures rapides avant le Black Friday
Les e-commerçants ont encore le temps de combler les failles les plus critiques avant le pic de trafic. Pour réduire les risques ci-dessus, ils peuvent renforcer leur posture de sécurité :
- Bloquer les domaines d’emails jetables. Ce seul changement peut réduire la création de faux comptes de 80 à 90 %.
- Mettre en place la normalisation des emails. Supprimer les variations « dot » et « plus » des adresses Gmail peut réduire les abus multi-comptes jusqu’à 70 %.
- Activer le verrouillage de compte : après plusieurs échecs de connexion, le verrouillage est essentiel pour stopper le credential stuffing.
- Appliquer les directives disallow dans robots.txt et déployer une solution robuste de gestion de bots pour détecter et bloquer le trafic sophistiqué et malveillant provenant des agents d’IA.
Conclusion
Le secteur du e-commerce montre une tendance préoccupante : tandis qu’une poignée de e-commerçants adoptent des défenses avancées et multi-couches, la majorité reste vulnérable à l’abus automatisé des comptes, à la création massive de faux comptes et aux attaques de credential stuffing. Notre évaluation révèle que 64 % des plateformes n’atteignent pas les protections de base, et 18 % sont si exposées qu’elles manquent même des protections les plus élémentaires.
Le Black Friday 2025 présente un risque élevé de fraude à grande échelle, allant de centaines de milliers de faux comptes aux vagues d’account takeover. La bonne nouvelle ? La plupart des vulnérabilités critiques peuvent être corrigées en 24 à 48 heures. Les retailers qui agissent maintenant pourront protéger leurs revenus, préserver la confiance des clients et garder une longueur d’avance sur les menaces pilotées par IA pendant la période de ventes la plus importante de l’année.