Augmentation de 135 % : les coulisses des attaques de bots pendant les fêtes de décembre 2025
Les deux dernières semaines de décembre sont une période de repos et de célébration pour beaucoup, mais dans le monde de la cyberfraude, elles représentent une fenêtre d’opportunité à haut risque pour les attaques de bots pilotées par l’IA. Alors que les gens profitaient de vacances et que les entreprises géraient leurs opérations saisonnières de pointe, l’équipe de DataDome et nos modèles d’IA sont restés vigilants pour défendre nos clients.
En 2025, la « saison des prises » pour les fraudeurs a atteint des sommets sans précédent. En comparant les données d’une année sur l’autre pour le mois de décembre, nous avons observé une augmentation de 135 % des requêtes de bots malveillants.
Plongeons dans les coulisses de ces batailles des fêtes pour examiner le cycle de vie des campagnes de bots de fin d’année :
- Sonder les failles (analyse de vulnérabilité) : comment les attaquants ont utilisé la reconnaissance pour identifier les faiblesses du système pendant les délais d’expédition chargés.
- Briser la confiance existante (credential stuffing) : l’utilisation incessante de connexions volées pour détourner les comptes clients a culminé pendant les moments familiaux les plus calmes de la veille de Noël et du jour de Noël.
- Fabriquer des identités (création de faux comptes) : la création stratégique de milliers de profils frauduleux « dormants » pour accumuler des promotions à durée limitée et faciliter le blanchiment de cartes-cadeaux après les vacances.
- Surveiller et épuiser les stocks (scraping & scalping) : comment les bots ont suivi les articles à forte demande en temps réel avant de lancer des raids massifs « d’ajout au panier » sur des produits de luxe et la billetterie.
- Le casse final (fraude au paiement) : l’augmentation des transactions frauduleuses le jour de Noël et la veille du Nouvel An alors que les attaquants cherchaient à encaisser pendant que les défenseurs étaient absents.
Une augmentation de 135 % des requêtes de bots malveillants d’une année sur l’autre
L’ampleur de l’activité des fêtes de fin d’année 2025 a atteint des niveaux significativement plus élevés que l’année précédente. La comparaison des données du trafic mondial de décembre 2024 à décembre 2025 révèle une augmentation de 135 % d’une année sur l’autre de l’activité des bots malveillants.

L’augmentation de 135 % des requêtes malveillantes observée cette saison n’est pas seulement une question de volume, elle reflète un changement fondamental dans la manière dont les bots contournent la sécurité. Alors que nos données capturent l’ampleur massive de ces batailles (des analyses de vulnérabilité frappant le marché à la fraude au paiement du jour de Noël), c’est le rôle invisible de l’IA qui rend ces attaques si dangereuses.
L’IA a fondamentalement changé les “règles d’engagement” de trois manières clés :
- elle imite le “bruit” humain : les fraudeurs utilisent désormais des agents d’IA pour simuler des comportements humains réalistes (c’est-à-dire des mouvements de souris naturels et des schémas de navigation variés) permettant aux bots de “se cacher dans le bruit” du trafic élevé des fêtes ;
- identités de haute fidélité : l’IA générative peut être utilisée pour créer des profils synthétiques qui semblent indiscernables des clients légitimes, ce qui permet à des milliers de comptes dormants d’échapper à la détection jusqu’au moment où ils lancent une attaque ;
- reconnaissance adaptative : les bots pilotés par l’IA ne suivent plus un script linéaire. Ils peuvent effectuer une reconnaissance à grande vitesse pour identifier les failles du système en temps réel, adaptant instantanément leurs tactiques lorsqu’ils rencontrent une barrière défensive.
Dans ce paysage natif de l’IA, la distinction entre un utilisateur authentique et un bot sophistiqué est plus floue que jamais. Les défenses doivent être aussi autonomes et adaptatives que les menaces auxquelles elles font face.
D’une activité élevée aux pics soudains
Pour bon nombre de nos clients, le début du mois de décembre maintenait déjà un niveau de trafic automatisé constamment élevé, car nous sortions d’une période chargée de Black Friday et Cyber Monday en novembre. De plus, alors que le monde entrait dans le cœur des festivités, le paysage numérique est passé d’un volume élevé prévisible à des pics agressifs et soudains pour certaines entreprises qui avaient été quelque peu épargnées jusqu’alors.
Analyse de vulnérabilité
L’analyse de vulnérabilité est un processus automatisé (OWASP OAT-014) qui utilise des bots ou des robots d’exploration pour sonder systématiquement l’architecture sous-jacente d’un site web, les appareils réseau ou les applications afin d’identifier les faiblesses de sécurité exploitables.
Un marché en ligne de premier plan a été ciblé par plus de 22,8 millions de requêtes d’analyse de vulnérabilité tout au long de décembre. Le schéma d’attaque est resté relativement dormant pendant la première moitié du mois avant de s’intensifier en un pic massif et isolé le 19 décembre.

Pour un épicier en ligne populaire, “seulement” 160 000 requêtes d’analyse de vulnérabilité ont été enregistrées en décembre, mais le schéma d’attaque était très erratique, caractérisé par plusieurs pics isolés et marqués plutôt que par une ligne de base stable. Ces efforts de reconnaissance ont atteint des pics distincts les 3, 8, 22 et 24 décembre.

Ciblant une entreprise dans l’industrie du luxe, plus de 154 000 requêtes d’analyse de vulnérabilité ont été enregistrées en décembre. Le schéma d’attaque est resté à une ligne de base basse et stable pendant la majeure partie du mois jusqu’à un pic isolé le 27 décembre.

Credential stuffing
Le credential stuffing (OWASP OAT-008) est une cyberattaque automatisée au cours de laquelle des bots malveillants “bourrent” des combinaisons connues de noms d’utilisateur et de mots de passe volés dans des pages de connexion en ligne. L’objectif principal de ces attaques est la prise de contrôle de compte (account takeover), qui permet aux fraudeurs de détourner des comptes d’utilisateurs légitimes pour vider des cartes-cadeaux, exploiter des données de paiement stockées ou voler des identités personnelles.
Face à plus de 1,8 million de requêtes de credential stuffing tout au long du mois, une entreprise dans l’industrie du commerce de détail et de l’épicerie a connu une activité accrue avec un pic significatif et marqué survenant juste après le jour de Noël.

Ciblant une plateforme de petites annonces populaire, plus de 5,1 millions de requêtes de credential stuffing ont été détectées tout au long du mois de décembre. Le schéma d’attaque était caractérisé par deux phases majeures : une première vague qui a culminé le 3 décembre, suivie d’une période d’activité modérée soutenue qui a culminé dans un grand pic le 28 décembre.

Une entreprise dans l’industrie des services financiers a été ciblée par plus de 175 millions de requêtes de credential stuffing tout au long de décembre. La chronologie de l’attaque montre une vague modérée distincte le 9 décembre, suivie d’une période de stabilité relative avant de s’intensifier en une campagne massive à la fin du mois.

Création de faux comptes
La création de faux comptes (OWASP OAT-019) est une forme de fraude automatisée où des bots malveillants ou des fraudeurs génèrent de nouveaux comptes utilisateurs à grande échelle en utilisant des données d’identité synthétiques, fabriquées ou volées. Contrairement au credential stuffing, qui cible les comptes existants, la création de faux comptes se concentre sur la construction d’une infrastructure frauduleuse de comptes dormants qui semblent légitimes.
Ciblant une entreprise dans l’industrie des services financiers, plus de 595 000 requêtes de création de faux comptes ont été détectées en décembre. L’activité a été marquée par une escalade soudaine et massive qui a atteint un pic marqué le 10 décembre.

Pour cette entreprise dans l’industrie du sport, nous avons détecté plus de 5,2 millions de requêtes de création de faux comptes en décembre. Le schéma d’attaque était hautement stratégique, maintenant une ligne de base basse avant de s’intensifier en plusieurs vagues modérées au début du mois. Cette activité a culminé dans une vague massive qui a atteint un pic le 17 décembre.

Une entreprise dans l’industrie des cartes-cadeaux a connu plus de 840 000 requêtes de création de faux comptes en décembre. Le schéma d’attaque a montré une escalade progressive à partir de la moitié du mois, menant à une vague soutenue qui a culminé le 26 décembre.

Scraping
Le scraping (OWASP OAT-011) est l’extraction automatisée de données à partir de sites web, d’applications mobiles ou d’API par des bots simulant le comportement de navigation humaine. Bien que certains scraping soient effectués par des “bons bots” comme les robots d’indexation des moteurs de recherche, le scraping malveillant vise à voler du contenu de grande valeur, des descriptions de produits, des avis ou des prix pour un sous-cotation compétitive et une revente.
Tout au long du mois de décembre, une entreprise dans l’industrie du jeu en ligne et du divertissement numérique a été ciblée par plus de 1,9 million de requêtes de scraping. L’activité a suivi un schéma hautement volatile avec plusieurs vagues distinctes : un pic massif principal le 21 décembre, suivi de vagues secondaires les 24 et 26 décembre.

Cette entreprise dans l’industrie de la billetterie a été ciblée par plus de 29,7 millions de requêtes de scraping. Bien que l’activité automatisée ait maintenu une ligne de base significative et relativement stable pendant la majeure partie du mois, la campagne a atteint un pic isolé le 26 décembre.

Une entreprise dans le secteur événementiel a été ciblée par plus de 23 millions de requêtes de scraping tout au long de décembre. Le schéma de trafic est resté relativement stable avec des fluctuations modérées pendant les trois premières semaines du mois, suivi d’une vague massive et soutenue qui a culminé le 24 décembre.

Scalping
Le scalping (OWASP OAT-005) est le processus automatisé d’utilisation de bots pour acheter des biens ou services à forte demande et à disponibilité limitée plus rapidement que n’importe quel humain ne pourrait le faire. Ces bots scalpeurs épuisent les stocks pour les clients légitimes et les forcent à acheter sur des marchés secondaires à des prix considérablement gonflés.
Ciblant une entreprise dans l’industrie du sport, plus de 776 000 requêtes de scalping ont été détectées tout au long de décembre. Le schéma d’attaque était presque inexistant au début, suivi d’un pic soudain et agressif le 11 décembre. Après cette première vague, l’activité est restée à une ligne de base élevée avec des vagues constantes de trafic automatisé, culminant finalement dans un pic significatif de fin d’année le 31 décembre.

Pour cette entreprise dans l’industrie de la billetterie et des événements, plus de 748 000 requêtes de scalping ont été détectées tout au long de décembre. Le schéma d’attaque était caractérisé par des vagues mineures apparaissant les 9 et 23 décembre. Cela a culminé dans un pic marqué le 29 décembre, représentant la période la plus intense d’épuisement automatisé des stocks.

Ciblant une entreprise dans l’industrie du retail de luxe, plus de 27 millions de requêtes de scalping ont été détectées tout au long de décembre. Le schéma d’attaque était hautement persistant, caractérisé par des vagues constantes et à haute fréquence d’activité. Ces vagues automatisées ont atteint un pic significatif le 17 décembre avant de s’intensifier en un pic final et record du mois le 30 décembre.

Fraude au paiement
La fraude au paiement, également appelée carding (OAT-001), est l’utilisation non autorisée d’un moyen de paiement (c’est-à-dire des cartes de crédit volées, des cartes-cadeaux ou des portefeuilles numériques) pour effectuer une transaction ou pour réaliser du card cracking, où des bots testent systématiquement des milliers de numéros de carte et de codes CVV pour trouver des combinaisons valides.
Ciblant une entreprise dans l’industrie de l’amélioration de l’habitat et du commerce de détail, plus de 9 000 requêtes de fraude de paiement ont été détectées au cours du mois de décembre. L’activité a été caractérisée par une augmentation isolée et marquée qui a culminé le 21 décembre, se démarquant significativement de la ligne de base relativement basse du trafic frauduleux observé tout au long du reste du mois.

Concentrée autour du pic des vacances, une entreprise dans l’industrie des cartes-cadeaux a été frappée par plus de 10,3 millions de requêtes de fraude au paiement en décembre. La chronologie de l’attaque est restée assez stable jusqu’à la mi-mois, lorsque l’activité a commencé à grimper, entraînant finalement un pic massif et isolé le 25 décembre.

Ciblant une entreprise dans l’industrie des médias et de l’édition, plus de 3,5 millions de requêtes de fraude au paiement ont été détectées en décembre. Le schéma d’attaque était hautement volatile, présentant une série de vagues d’escalade qui ont culminé brusquement le 15 décembre, avec un pic secondaire significatif suivant le 31 décembre.

Exploiter l’esprit des fêtes
Les fraudeurs sont maîtres du timing. Ils comptent sur le « facteur bruit », la réalité stratégique selon laquelle les requêtes de bots malveillants et d’IA se fondent plus facilement lorsque le trafic humain légitime est au plus haut. Mais ils misent aussi sur d’autres avantages critiques : les cyberdéfenseurs sont souvent absents du bureau pour profiter d’une pause bien méritée, et les consommateurs peuvent baisser leur garde, grisés par l’esprit des fêtes.
Les données de décembre 2025 racontent une histoire claire : les opérateurs de bots mobilisent plus de ressources chaque année pour exploiter la fenêtre des fêtes avec une augmentation en glissement annuel de 135 % en décembre pour le trafic de bots malveillants.
Chez DataDome, notre mission reste « Always-On ». Nos modèles d’IA ont travaillé 24 heures sur 24 pour garantir que pendant que les bots tentaient de s’introduire, nos clients pouvaient garder leurs portes digitales ouvertes. Pendant que le monde célébrait, notre protection restait active et autonome, bloquant des milliards de menaces en temps réel pour assurer la sécurité des entreprises que nous protégeons et de leurs clients.
Alors que nous nous tournons vers 2026, la leçon est claire : les fraudeurs ne prennent pas de vacances (bien au contraire), et grâce à l’IA, ils deviennent plus intelligents pour se cacher à la vue de tous. Pour garder une longueur d’avance sur la prochaine vague, votre défense ne peut pas se permettre de rester inactive non plus.
Testez votre site gratuitement dès aujourd’hui pour voir si votre entreprise est vulnérable aux attaques de bots et d’agents d’IA.