À quelques jours de la journée de promotions du 28 novembre, qui devrait mobiliser un Français sur deux selon une étude Havas Market, les e-commerçants se préparent à une affluence soutenue et à une hausse marquée de la demande. Les e-commerçants se préparent à une forte affluence et une hausse de la demande sur la période. L’essor du commerce agentique fait entrer le secteur dans une nouvelle phase d’automatisation, où des agents IA opèrent pour le compte d’utilisateurs réels afin de naviguer, comparer et acheter. Ces capacités peuvent toutefois être détournées à des fins frauduleuses, et l’enjeu n’est plus seulement de stopper les bots, mais de distinguer les interactions légitimes orchestrées par des agents des automatisations malveillantes conçues pour les imiter.
Cette distinction devient cruciale au niveau des comptes, car les e-commerçants doivent vérifier l’identité des utilisateurs dans un environnement de plus en plus automatisé. Les agents légitimes qui assistent les consommateurs et les bots malveillants qui cherchent des failles empruntent souvent les mêmes parcours pour créer un compte ou s’y connecter. Les tests menés par DataDome montrent que 64 % des enseignes évaluées restent vulnérables à la création de faux comptes et que plus de la moitié sont exposées à des tentatives de cyber fraude en raison d’une protection de connexion insuffisante.
De plus, une large partie des vulnérabilités repérées l’an dernier n’a toujours pas été corrigée. Le résultat se traduit par davantage de comptes piratés, des cartes cadeaux vidées et de vrais acheteurs contraints de faire face à une pression accrue des bots sur les offres les plus recherchées de la saison.
La création de faux comptes reste simple et accessible
- 64 % des commerçants de l’échantillon demeurent vulnérables à la création massive de faux comptes ;
- 73 % acceptent encore les adresses email jetables, ce qui permet aux attaquants de générer un nombre illimité de comptes via des boîtes temporaires ;
- Seuls 27 % des e-commerçants évalués disposent d’une détection efficace capable de bloquer la création automatisée de comptes ;
- 36 % des e-commerçants n’ont pas déployé d’authentification multifactorielle, laissant les parcours de création de comptes largement exposés.
La protection des connexions reste insuffisante
- 82 % autorisent encore des tentatives de connexion automatisées sans contrôle ;
- 64 % n’appliquent aucun verrouillage de compte, ce qui les expose aux attaques par bourrage d’identifiants.
Ces vulnérabilités créent un terrain idéal pour les fraudeurs qui utilisent l’IA afin d’étendre leurs opérations en toute discrétion, en multipliant les tentatives de connexion ciblées, en générant de faux comptes et en interagissant avec les flux de sécurité d’une manière qui imite de plus en plus le comportement humain.
Implications et risques pour les e-commerçants ?
- Création massive de faux comptes : La création de faux comptes reste la menace la plus répandue à l’approche du Black Friday. Les fraudeurs s’appuient sur des domaines de messagerie jetables et des techniques d’aliasing simples, comme les variantes avec un point ou le signe plus de Gmail, pour générer des centaines de comptes à partir d’une seule boîte mail.
- Combinés à l’automatisation et aux agents IA capables de reproduire les saisies réelles des utilisateurs, ces procédés permettent de créer des identités factices à grande échelle, souvent sans être détectés. Une fois actifs, ces comptes servent à contourner les limites d’achat, capter des stocks très demandés et exploiter des promotions ou des codes de parrainage.
- Les pertes financières peuvent être significatives, avec un risque compris entre 50 000 et 500 000 dollars, soit 43 100 – 431 000 €, par campagne pour certains commerçants.
- Credential stuffinget prise de contrôle de compte : le bourrage d’identifiants (credential stuffing)* reste une menace à fort impact et difficile à repérer. Avec 55 % des e-commerçants qui ne verrouillent pas les comptes ou ne détectent pas les connexions automatisées, les fraudeurs peuvent tester discrètement des identifiants volés à grande échelle.
- Les agents IA accentuent ce risque, car ils ajustent leurs tentatives en fonction des réponses de la plateforme, ce qui réduit leur visibilité et augmente le taux de réussite. Une fois connectés, les fraudeurs exploitent les données de paiement stockées, les points de fidélité et la confiance des utilisateurs.
- Le nouveau risque lié au partage d’identifiants dans le commerce agentique : Selon Gartner, 90 % des entreprises qui autorisent le partage d’identifiants avec des agents IA connaîtront trois fois plus d’incidents de prise de contrôle de compte d’ici 2028.
- Dans le même temps, 36 % des adultes américains se disent déjà intéressés par l’idée de laisser un agent IA réaliser des achats ou des transactions en leur nom. Cet équilibre délicat entre simplicité d’usage et contrôle renforcé va structurer la prochaine vague de risques de fraude.
- Les e-commerçants doivent donc apprendre à distinguer les identifiants volés des accès légitimes accordés à des agents de confiance.
- E-mails jetables et contournement de l’authentification multifactorielle : Avec 73 % des plateformes qui acceptent encore les domaines jetables, les fraudeurs disposent d’un moyen simple pour contourner l’authentification multifactorielle. Ces adresses, faciles à automatiser et à vérifier, créent l’illusion d’une protection solide alors que les comptes restent largement exposés à la création de profils frauduleux.
Il est encore temps d’agir : les mesures à prendre avant le Black Friday 2025 !
Les e-commerçants disposent encore de quelques jours pour corriger les vulnérabilités les plus critiques avant le pic de trafic.Voici plusieurs actions concrètes :
- Bloquer les domaines de messagerie jetables : Cette seule mesure peut réduire la création de faux comptes de 80 à 90 %.
- Mettre en place une normalisation des e-mails : Le rejet des variantes « . » et « + » des adresses Gmail peut réduire jusqu’à 70 % des abus liés aux comptes multiples.
- Activer le verrouillage des comptes après plusieurs tentatives de connexion infructueuses : Le verrouillage des comptes est essentiel pour mettre fin aux attaques par credential stuffing (bourrage d’identifiants).
- Ajouter des directives « disallow » dans le fichier robots.txt et déployer une solution avancée de gestion des bots pour détecter et bloquer activement le trafic automatisé sophistiqué et malveillant, y compris celui provenant d’agents IA.
Le Black Friday édition 2025 présente un risque élevé de fraude, avec des centaines de milliers de faux comptes et des prises de contrôle à grande échelle. La bonne nouvelle est que la plupart des vulnérabilités majeures peuvent être corrigées en vingt-quatre à quarante-huit heures. Les e-commerçants qui engagent ces actions dès maintenant renforcent leur protection, préservent leur chiffre d’affaires et gardent une longueur d’avance sur les menaces liées à l’IA durant la période de vente la plus critique de l’année.
