IA anti-bots : Visa et Akamai sécurisent les achats

En 2025, la frontière entre un « client » et un logiciel est devenue floue. Les agents (assistants d’achat automatisés, scripts d’autofill, outils d’arbitrage de prix, automates de réservation) ne se contentent plus de cliquer vite : ils peuvent négocier, enchaîner plusieurs actions et finaliser une transaction sans intervention humaine.

Le problème, c’est que cette même mécanique sert aussi aux fraudeurs. Et dans l’e-commerce, la confiance ne tient pas à de grandes déclarations, mais à une réalité très simple : si un marchand ne sait pas distinguer un agent légitime d’un bot malveillant, il paie la note (chargebacks, faux comptes, abus de promotions, saturation du support, perte de conversion).

C’est dans ce contexte que la collaboration annoncée entre Visa et Akamai mérite qu’on s’y arrête. Elle illustre parfaitement le fil rouge de notre série « Intelligence artificielle dans la cybersécurité » : l’IA sert moins à “faire joli” qu’à rétablir un signal fiable dans un environnement où le bruit explose.

Pourquoi les transactions « agentiques » changent la donne

La transaction agentique, c’est le moment où un logiciel agit au nom d’un utilisateur pour acheter, payer, réserver, s’abonner, ou modifier une commande. Dit autrement : l’intention humaine existe, mais l’exécution est déléguée.

Ce basculement met les marchands face à un dilemme :

• Refuser ces agents, c’est dégrader l’expérience (et perdre des ventes) au moment où les consommateurs veulent aller vite, surtout en période de pics (soldes d’hiver, fêtes, retours de fin d’année).
• Les accepter sans garde-fous, c’est ouvrir la porte à des bots industriels capables de tester des cartes, contourner des limites, vider des stocks, ou siphonner des promotions.

Ce que les “bad bots” font déjà très bien

Les bots malveillants ne cherchent pas seulement à « voler » au sens classique. Ils optimisent aussi des abus discrets mais coûteux :

1. Credential stuffing : réutilisation d’identifiants volés pour prendre le contrôle de comptes.
2. Card testing : validation automatisée de cartes via micro-achats ou tentatives répétées.
3. Fraude aux promotions : multi-comptes, parrainage abusif, coupons testés en rafale.
4. Scalping : captation de stock (billetterie, sneakers, consoles) puis revente.
5. Fraude “quiet” : attaques lentes, distribuées, sous les radars des seuils classiques.

Le point commun : la vitesse et l’adaptabilité. Les attaques se réécrivent en continu, parfois à l’aide d’IA générative pour varier les empreintes (texte, comportements, timings).

« Quand un bot sait se comporter comme un client pressé, la sécurité basée uniquement sur des règles finit par perdre. »

Ce que signifie vraiment “faire la différence entre un agent et un bot”

Distinguer un agent légitime d’un bot frauduleux ne se résume pas à un CAPTCHA. Les CAPTCHA sont contournés, détestés, et souvent pénalisants pour l’accessibilité. Le vrai sujet est ailleurs : attribuer un niveau de confiance à une action.

Les signaux qui comptent (et ceux qui trompent)

Les approches modernes combinent plusieurs familles de signaux :

• Signal réseau : réputation d’IP, ASN, proxy/VPN, cohérence géographique.
• Signal device : empreinte navigateur, intégrité de l’environnement, anomalies de capteurs.
• Signal comportemental : rythme de frappe, trajectoires de souris, séquences de pages, latences.
• Signal transactionnel : panier, montant, fréquence, cohérence avec l’historique.
• Signal d’identité : ancienneté du compte, preuve d’authentification, MFA, passkeys.

Ce qui trompe souvent les équipes ? Les signaux « faciles ». Par exemple : bloquer une plage d’IP entière, ou durcir les règles sur un pays. On obtient parfois un pic de “sécurité”… et une chute de conversion.

L’IA est utile ici parce qu’elle modélise des patterns à grande échelle : ce qui est « normal » pour votre site un samedi soir n’est pas « normal » un mardi matin, et ce qui est normal pendant les retours post-Noël (décembre-janvier) diffère d’une période creuse.

Visa x Akamai : pourquoi cette alliance est logique (et intéressante)

Le partenariat évoqué dans l’article RSS s’attaque à une question concrète : comment les marchands peuvent-ils faire confiance aux transactions exécutées par des agents ? Visa apporte une expertise paiement et risque, Akamai une expertise de défense en périphérie (edge), trafic web, gestion des bots et du DDoS.

Ce type d’alliance a trois avantages très concrets.

1) Replacer la décision de sécurité au bon endroit

Beaucoup d’entreprises empilent des contrôles à la fin : au moment du paiement. Or, une attaque bot coûte déjà avant le paiement : surcharge d’inventaire, congestion des API, création de faux comptes, saturation des paniers.

Une protection “au bord” (côté trafic) permet de filtrer plus tôt et de réserver les contrôles lourds (step-up, MFA, vérifs supplémentaires) aux cas ambigus.

2) Croiser les signaux “commerce” et “paiement”

Un marchand voit la navigation et le panier. Un acteur paiement voit des schémas de fraude multi-marchands et des signaux d’autorisation. Croiser ces mondes augmente la précision.

Exemple typique :

• Comportement web “propre” mais carte testée en série ailleurs → risque réel.
• Navigation atypique (agent) mais identité et historique cohérents → risque acceptable.

Ce n’est pas de la magie : c’est de la corrélation et de la priorisation.

3) Gérer l’ère des agents sans punir les bons utilisateurs

L’objectif n’est pas de bloquer tout ce qui ressemble à une automatisation. La réalité, c’est que des agents utiles vont se normaliser (réassorts, suivi de prix, achats récurrents, “buy for me”).

La bonne approche ressemble plus à un contrôle d’accès intelligent :

• Autoriser les agents identifiés et conformes (politiques d’usage, limites de débit, transparence).
• Limiter les comportements gris (rate limiting, proof-of-work léger, step-up).
• Stopper les bots frauduleux (bloquage, tarpits, challenges invisibles, blacklist dynamique).

À quoi ressemble une stratégie IA anti-fraude qui fonctionne en 2026

Une stratégie crédible n’est pas un produit unique. C’est une chaîne de décisions, du trafic au paiement, avec un objectif clair : maximiser la conversion tout en réduisant la fraude.

Architecture recommandée (simple à expliquer, pas toujours simple à déployer)

1. Détection bots en amont (edge/WAF/API gateway)
   • scoring comportemental
   • protections API (schémas, quotas, anomalies)
2. Gestion du risque en session
   • signaux device + identité
   • détection d’ATO (Account Takeover)
3. Contrôles adaptatifs au checkout
   • authentification forte quand nécessaire
   • friction minimale quand le risque est bas
4. Boucle de retour (feedback loop)
   • chargebacks, litiges, retours fraude confirmée
   • réentraînement des modèles, ajustement des seuils

Une sécurité moderne ne dit pas “oui/non” : elle dit “oui, oui mais, ou non” selon le niveau de risque.

Les KPI à suivre (et à afficher au COMEX)

Si vous voulez générer de la confiance, mesurez ce qui compte vraiment :

• Taux de fraude (par type : ATO, card testing, abus promo)
• Chargebacks (volume, montant, ratio)
• Taux de conversion checkout (global + segmenté)
• Faux positifs (clients légitimes bloqués)
• Temps de réponse API (les bots adorent les latences)
• Taux de création de comptes vs taux d’activation réelle

Un signal d’alerte fréquent : un programme anti-bot qui fait baisser la fraude mais fait aussi chuter la conversion. Dans ce cas, ce n’est pas « plus sécurisé » ; c’est juste plus strict.

Questions que vos équipes doivent trancher maintenant

Les entreprises qui s’en sortent le mieux sont celles qui écrivent des règles du jeu claires avant d’être submergées.

“Autorise-t-on les agents d’achat sur notre plateforme ?”

Décidez explicitement :

• Agents autorisés (par exemple via clés API, OAuth, ou attestations)
• Limites de débit et quotas par compte
• Interdictions (scraping massif, contournement de stock, multi-comptes)

“Quelles preuves exige-t-on pour les actions sensibles ?”

Les actions sensibles ne sont pas toutes des paiements :

• changement d’adresse de livraison
• ajout d’un moyen de paiement
• modification d’email / téléphone
• demande de remboursement

Pour chacune : définissez un step-up (MFA, validation email, challenge invisible, vérification de device).

“Quel est notre plan quand l’IA se trompe ?”

Une IA de cybersécurité n’est pas un juge, c’est un filtre probabiliste. Prévoyez :

• un chemin de recours pour les clients bloqués
• des whitelists surveillées (pas « à vie »)
• un monitoring des dérives (saisonnalité, campagnes marketing, nouveautés UX)

Ce que les organisations publiques peuvent en tirer

On associe souvent bots et e-commerce, à tort. Les mêmes mécaniques touchent aussi les plateformes publiques : prise de rendez-vous automatisée, saturation de formulaires, scraping de données, fraudes aux prestations.

La leçon est transposable : l’IA doit aider à distinguer l’automatisation “utile” de l’automatisation “hostile”, sans bloquer les usages légitimes (accessibilité, assistances, automatisations internes).

Un pas concret à faire cette semaine

Si vous pilotez un site e-commerce ou une plateforme transactionnelle, je conseille un exercice simple : choisissez un parcours critique (création de compte, ajout au panier, checkout, remboursement) et répondez à deux questions :

1. Quels signaux avons-nous réellement aujourd’hui pour distinguer humain, agent légitime et bot malveillant ?
2. Quelle friction ajoutons-nous, et à qui ? (tout le monde, ou seulement les cas ambigus)

C’est exactement le terrain où des partenariats comme Visa–Akamai prennent du sens : mettre ensemble les signaux paiement et les signaux web, puis utiliser l’IA pour décider où ajouter de la friction, et où ne surtout pas en mettre.

La confiance dans le commerce numérique va se jouer sur cette capacité : laisser passer la vitesse, et bloquer l’abus. La question à garder en tête pour 2026 : vos contrôles distinguent-ils encore l’intention du comportement, ou ne voient-ils qu’un flux de clics ?