Why The Rise of AI Agents Demands a New Approach to Fraud Prevention

Pourquoi l’essor des agents d’IA impose une nouvelle approche de la prévention de la fraude

Table des matières
Dernière mise à jour : 27 Jan, 2025
|
min

Au cours de la dernière décennie, nous avons assisté à un passage des méthodes de détection statiques et techniques à des analyses comportementales avancées, alimentées par l’apprentissage automatique à la périphérie du réseau. Cette évolution a été essentielle pour notre mission chez DataDome : libérer le web du trafic frauduleux.

À mesure que les écosystèmes numériques évoluent pour intégrer aussi bien les applications mobiles que des agents d’IA comme ChatGPT, la frontière entre usage légitime et activité malveillante continue de s’estomper. Cette évolution souligne un changement d’approche fondamental : il ne s’agit plus simplement d’identifier le trafic humain ou de bots. La priorité est désormais de distinguer les utilisateurs légitimes des utilisateurs illégitimes sur tous les canaux et d’empêcher les fraudeurs d’exploiter les entreprises en ligne et leurs utilisateurs finaux.

Ce changement impose des solutions capables de détecter et de bloquer les comportements frauduleux en temps réel, sans perturber l’expérience utilisateur. La plateforme alimentée par l’IA de DataDome est idéalement positionnée pour relever ces défis, car elle s’appuie sur la technologie qui alimente déjà nos solutions existantes pour faire face aux nouveaux risques liés au trafic agentique piloté par l’IA.

L’évolution des technologies web : des navigateurs aux agents d’IA

Le web a évolué à une vitesse fulgurante, passant de ses débuts modestes avec des interactions basées uniquement sur les navigateurs à un écosystème dynamique et multicanal, foisonnant d’applications mobiles, d’API, et désormais, d’agents d’IA. Je vois cette évolution en trois grandes phases.

Phase 1 : un web accessible uniquement via navigateur
À ses débuts, le web était principalement accessible via des navigateurs. Les techniques de détection, relativement simples, consistaient à différencier les utilisateurs humains des bots automatisés. La prévention de la fraude reposait souvent sur des signaux statiques côté serveur, comme la réputation des IP ou des défis basiques.

Phase 2 : l’essor des applications mobiles et des API
L’arrivée des applications mobiles et des interactions pilotées par API a ajouté une nouvelle couche de complexité. Les entreprises ont dû sécuriser ces nouveaux canaux tout en préservant l’expérience utilisateur. Les fraudeurs ont commencé à exploiter les API pour des attaques de credential stuffing, du data scraping et des transactions non autorisées, nécessitant des techniques de détection avancées combinant signaux côté serveur et signaux côté client.

Phase 3 : agents IA et navigateurs headless
Aujourd’hui, les agents d’IA, tels que l’Operator d’OpenAI, incarnent la nouvelle étape de l’évolution du web. Contrairement aux utilisateurs traditionnels, les agents d’IA fonctionnent de manière programmatique, souvent via des navigateurs headless. Ces agents posent des défis uniques, car ils peuvent être utilisés aussi bien pour des usages légitimes — comme la découverte de contenu ou les achats automatisés — que pour des activités malveillantes telles que le scraping, la fraude et l’exploitation de vulnérabilités.

Le trafic issu des LLM est en pleine croissance

Les entreprises doivent aujourd’hui gérer un paysage numérique où les canaux traditionnels, comme la recherche organique, croisent de nouvelles sources telles que le trafic généré par des réponses produites par des IA. Pour rester compétitives, elles doivent optimiser leurs stratégies sur ces différents canaux, sécuriser leurs sources de trafic et utiliser des analyses pour stimuler une croissance plus intelligente.

Le trafic non issu de navigateurs, qui comprend les applications mobiles, les API et les agents d’IA, représente désormais une part majeure des interactions numériques, ce qui ouvre des opportunités en matière d’automatisation et de découverte de contenu, mais aussi des risques accrus de fraude. Voici un aperçu de la nouvelle composition des canaux de trafic que les entreprises doivent gérer :

  1. Recherche traditionnelle : la recherche organique et payante reste essentielle pour capter les utilisateurs recherchant activement des produits ou des services.
  2. Médias sociaux : des plateformes comme TikTok, Instagram et LinkedIn stimulent l’engagement et les conversions via du contenu organique et des campagnes payantes.
  3. API & applications : avec les applications mobiles et les intégrations tierces, les API gèrent désormais une part importante du trafic, ce qui requiert des interactions à la fois fluides et sécurisées.
  4. LLM & agents d’IA : des outils comme ChatGPT génèrent de nouveaux flux de trafic pour la découverte de contenu, l’automatisation et l’e-commerce. Cependant, ils entraînent aussi des risques tels que le scraping et la fraude auxquels les entreprises doivent faire face.

À mesure que les entreprises s’adaptent à ces changements, le trafic non issu de navigateurs (ex : applications mobiles, API et agents IA) a considérablement augmenté, représentant une part majeure des interactions numériques.

DataDome est déjà à l’avant-garde de la protection de ce type de trafic :

  • 35 % du trafic de nos clients provient d’API non liées aux navigateurs, toutes sécurisées pour garantir des interactions sûres à travers les applications mobiles et les sessions en navigateur sans interface (headless).
  • Nos SDK déployés sur plus de 800 millions d’appareils dans le monde offrent une visibilité inégalée sur le comportement des utilisateurs, nous permettant de détecter et prévenir la fraude avec une précision inégalée.
  • Les modèles de langage étendu (LLM) tels que ChatGPT et d’autres outils d’IA génèrent une croissance significative du trafic. Au cours des 30 derniers jours, nous avons observé 178,3 millions de requêtes provenant de crawlers identifiés comme appartenant à OpenAI, avec une augmentation mensuelle de 14,5 %.
  • Plus précisément, ChatGPT à lui seul a représenté 10,6 millions de requêtes au cours des 30 derniers jours.
  • Nous avons également constaté une hausse de 48,0 % du trafic des crawlers OpenAI lors du lancement de leur agent IA, Operator, le 24 janvier.
  • Globalement, les crawlers liés aux LLM représentent environ 2,64 % du trafic « légitime » des bots (ex : les scrapers Googlebot) sur les sites de nos clients, soit environ 350 millions de requêtes au cours des 30 derniers jours provenant de crawlers officiels tels que ChatGPT d’OpenAI et Claude d’Anthropic.

Comment fonctionne l’agent d’IA Operator d’OpenAI?

L’application ChatGPT Operator utilise une IA agentique, conçue pour percevoir, décider et agir de manière autonome dans des paramètres définis pour le compte des utilisateurs. Elle combine un véritable navigateur Chrome avec un programme Computer-Using Agent (CUA), intégrant le modèle GPT-4o d’OpenAI (doté de capacités de vision pour des tâches telles que la lecture d’images) et un mécanisme d’apprentissage par renforcement optimisé pour les interactions avec les interfaces utilisateurs.

Lorsqu’une tâche est attribuée, Operator fait des captures d’écran du navigateur, que le modèle analyse pour déterminer et effectuer des actions dans le navigateur au nom de l’utilisateur, telles que cliquer sur des liens ou remplir des formulaires. Il est programmé pour s’arrêter lorsqu’il rencontre des CAPTCHA ou des tâches nécessitant des saisies sensibles, comme des informations de paiement.

Agents d’IA : le bon, la brute et le truand

Les agents d’IA, comme Operator de ChatGPT, sont de plus en plus utilisés pour un large éventail d’usages, qu’ils soient positifs ou malveillants.

Voici quelques cas d’utilisation positifs des agents IA :

  • faciliter la découverte de contenu pour trouver rapidement des informations ou des produits pertinents ;
  • automatiser les tâches répétitives, permettant ainsi de gagner du temps et d’améliorer la productivité ;
  • soutenir l’e-commerce en simplifiant la recherche de produits et les achats, ce qui améliore l’expérience utilisateur.

Voici quelques cas d’utilisation malveillants des agents IA :

  • scraping de contenus et de données tarifaires pour obtenir des informations concurrentielles de manière non autorisée ;
  • réalisation d’attaques de credential stuffing pour exploiter des identifiants d’utilisateurs volés ;
  • identification et exploitation de vulnérabilités pour compromettre des systèmes et des données ;
  • création de faux comptes pour manipuler les indicateurs utilisateurs ou exploiter des promotions ;
  • automatisation de transactions frauduleuses, telles que le carding ou la fraude au paiement ;
  • réalisation de fraude au clic pour gaspiller les budgets publicitaires et fausser les performances des campagnes ;
  • lancement d’attaques DDoS pour perturber la disponibilité des services et dégrader l’expérience utilisateur ;
  • simulation d’interactions humaines pour contourner des dispositifs de sécurité comme les CAPTCHA.

Pour y faire face, les entreprises doivent adopter une approche équilibrée qui soutient les activités légitimes des agents IA tout en empêchant les usages malveillants. Grâce à la détection en temps réel et à l’analyse comportementale, DataDome permet aux entreprises de maximiser les bénéfices du trafic généré par les agents IA tout en se protégeant contre les acteurs malveillants qui pourraient les utiliser à des fins frauduleuses.

Au-delà du test de Turing : le besoin d’une détection de la fraude pilotée par l’IA

Le test de Turing traditionnel, conçu pour distinguer les humains des bots, n’est plus suffisant dans le monde actuel des agents d’IA et des tactiques de fraude avancées. Les utilisateurs légitimes s’appuient de plus en plus sur des agents IA pour gagner en productivité, et les entreprises doivent s’adapter pour les accompagner. Voici pourquoi :

  • Les limites du CAPTCHA
    • Les solutions CAPTCHA sont basées sur le test de Turing, mais les IA modernes peuvent désormais contourner ces défis avec facilité.
    • Plus important encore, les utilisateurs légitimes utilisent souvent des agents d’IA pour effectuer des tâches, réaliser des achats ou découvrir du contenu, des activités que les systèmes CAPTCHA ne savent pas gérer sans créer de la friction.
  • Les outils côté serveur (CDN et WAF) ne suffisent plus
    • Les CDN et les WAF reposent fortement sur la réputation des IP et la détection côté serveur, ce qui leur fait manquer la finesse nécessaire pour évaluer le comportement et l’intention des utilisateurs.
    • Ces outils peinent à distinguer les bots malveillants, les agents d’IA légitimes et les utilisateurs humains, ce qui entraîne des blocages excessifs et des menaces non détectées.
  • Le besoin de boucles de rétroaction en temps réel
    • De nombreux fournisseurs de protection contre les bots se reposent uniquement sur des défis côté client, sans exploiter l’apprentissage automatique en temps réel à la périphérie.
    • Des solutions efficaces nécessitent des boucles de rétroaction dynamiques pour mettre à jour continuellement les modèles de détection, garantissant une expérience fluide pour les utilisateurs légitimes — y compris ceux utilisant des agents IA — tout en assurant une prévention robuste contre la fraude et les abus, qu’ils soient automatisés ou d’origine humaine.

Comment préparer votre entreprise face à la cyberfraude de demain ?

L’usage des agents d’IA devient de plus en plus courant, la prévention de la fraude doit donc aller au-delà des tests de Turing statiques et des outils traditionnels. Les solutions avancées doivent s’appuyer sur l’analyse comportementale, l’apprentissage automatique en temps réel et des boucles de rétroaction dynamiques pour équilibrer une haute précision de détection et une excellente expérience utilisateur. Cela permet aux entreprises de protéger efficacement leurs plateformes tout en soutenant le trafic légitime piloté par l’IA, moteur de croissance et d’une expérience plus fluide.

DataDome est la plateforme de protection contre la cyberfraude ultime, sécurisant les plus grandes entreprises contre les risques de sécurité et la fraude. Elle offre une protection complète sur tous les appareils, API et agents, qu’ils soient utilisés pour consommer du contenu, naviguer sur des sites web ou effectuer des achats, ce qui garantit aux entreprises de prospérer à l’ère de l’IA tout en maintenant la confiance et la sécurité.

Co-écrit par Benjamin Fabre, CEO & Co-fondateur, et Gilles Walbrou, Chief Technology Officer chez DataDome