Ce mardi 25 novembre, Benjamin Barbier, cofondateur et directeur de la Strategie de Datadome, s'est penché sur les raisons de se méfier des risques cyber pendant le Black Friday, et le problème sur le détournement des ia agentiques, dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.
00:05Voilà, on est à quelques jours du Black Friday, vous savez c'est ce grand jour où tous les commerçants en ligne font des prix.
00:10Un Français sur deux serait mobilisé autour de ce Black Friday, et puis derrière on aura évidemment les grandes promos de Noël, les soldes.
00:17Évidemment, dès qu'on parle de commerce en ligne, de grands mouvements, de gros volumes de consommateurs sur ces sites en ligne,
00:27on parle arnaques en ligne, et on va les voir fleurir. Et on va en faire un point avec notre expert, Benjamin Barrier, cofondateur et directeur de la stratégie de Datadome.
00:33Bonjour. Bonjour Frédéric. Benjamin, merci d'être avec nous. Datadome qui s'occupe justement de la détection des attaques, notamment des bots malveillants.
00:40Alors première question Benjamin, pourquoi il faut encore plus se méfier là en ces périodes de Black Friday ? Parce qu'on peut créer des faux comptes, c'est ça, il faut nous expliquer ?
00:49Alors c'est ça, je vais peut-être commencer avec deux chiffres. On a mené une étude de notre côté, on s'est rendu compte de deux choses qui sont un petit peu effrayantes.
00:55La première, c'est que deux tiers des sites que l'on a testés, on a regardé dans quel mesure ils étaient protégés contre ces attaques,
01:01deux tiers de ces sites ne sont pas protégés contre la création de faux comptes. Donc ça, c'est un gros problème pour les e-commerçants.
01:06Et plus de 80% de ces sites ne protégeaient pas l'accès aux pages de connexion, ce qui est un problème pour les attaques les plus sophistiquées,
01:14ce qui est un problème pour les consommateurs. Donc on voit qu'il y a une résurgence évidemment des attaques.
01:18Et pourquoi ? C'est parce qu'ils ne sont pas bien formés ? Parce qu'ils ont voulu aller trop vite dans l'installation de leur site ?
01:23Parce que c'est complexe. Alors moi, je ne jette pas la pierre. C'est vrai que c'est des choses qui sont assez complexes
01:26et qui se complexifient encore plus aujourd'hui avec tous les sujets autour de l'IA et de l'IA agentique précisément.
01:34Donc il y a des petites choses qui peuvent être mises en place. Mais évidemment, les fraudeurs sont dans les starting blocks.
01:39Ils savent qu'un Français sur deux vont participer au Black Friday.
01:44En plus, ils ne vont pas aller uniquement sur les grands réseaux de Fnac, d'Arti, de C-Discount, de Amazon.
01:51Ils vont aller, c'est tous azimuts.
01:52Exactement. Et je crois qu'il y a une étude qui a été publiée récemment, qui a montré qu'il y avait une augmentation sur le dernier mois
01:58de 250% des fausses plateformes e-commerce.
02:02Ah oui, d'accord.
02:03Donc plus que jamais, il faut faire attention où est-ce qu'on fait ces emplettes avant Noël.
02:08Et donc c'est la protection de ces connexions qui reste insuffisante aujourd'hui ?
02:11Exactement. Donc quand on parle de la création des faux comptes, c'est un problème pour les sites e-commerçants
02:15parce que des robots vont très facilement créer des dizaines de milliers, de centaines de milliers de faux comptes
02:21qu'ils vont utiliser soit pour mobiliser des stocks, des inventaires de vente qui étaient limités,
02:30soit éventuellement utiliser ces faux comptes pour aller utiliser des moyens de paiement qu'ils auraient dérobés par ailleurs.
02:35Donc ça, c'est un gros problème pour les e-commerçants. Il y a beaucoup à perdre.
02:37Mais la seconde statistique qui est vraiment importante à garder en tête pour tous les gens qui vont profiter ce Black Friday,
02:43c'est la résurgence des tentatives de fraude.
02:46Et donc c'est pareil, de la même façon, il faut être extrêmement vigilant.
02:49Je pense qu'aujourd'hui, en 2025, on peut se dire que vous utilisez votre numéro de téléphone, votre adresse e-mail,
02:54ce que vous voulez comme identifiant, partez du principe qu'il est déjà dans la nature.
02:57Oui, d'accord.
02:58Dès qu'on a un doute, il faut bien regarder tout ça.
03:03Les principaux risques pour Black Friday, pour les commerçants, c'est ça ?
03:07C'est la création massive de faux comptes ?
03:08C'est la création massive de faux comptes.
03:10Ça, c'est les principaux risques pour les commerçants.
03:12Et bien sûr, on appelle ça le « account takeover » en anglais.
03:15Donc l'usurpation de l'identité de leurs clients,
03:19que ce soit par des bots malveillants, soit par des agents d'ailleurs,
03:22qui risquent de mener à des fraudes au paiement, par exemple.
03:25Donc il y a énormément de manque à gagner derrière.
03:28Oui, et puis ça se compte en dizaines de milliers d'euros.
03:30Exactement, ça peut monter tout à l'heure.
03:32On n'est pas à la petite arnaque.
03:33Et ça veut dire aussi, ce qu'on appelle le « credential stuffing » et tout ça,
03:36c'est les agents IA qui peuvent jouer un rôle aussi ?
03:38Exactement.
03:39En fait, le « credential stuffing », c'est le bourrage d'identifiant en français.
03:42Ce sont des robots qui vont tenter des combinaisons de mots de passe et d'identifiant
03:46pour voir à quel moment ça passe,
03:48et à quel moment ils peuvent utiliser des fuites de données
03:51qui peuvent avoir lieu par ailleurs
03:53pour pénétrer dans des systèmes d'un e-commerce.
03:56Du coup, Benjamin-Marie, si DataDome, un expert chez DataDome,
04:00c'est quoi les conseils de DataDome dans ce cas-là ?
04:03Il faut les conseils d'un expert, en tout cas.
04:04Alors, pour les e-commerceurs, il faut faire des choses déjà simples.
04:09On peut refuser les adresses e-mail de boîtes jetables.
04:12Vous savez, il y a certains domaines en ligne
04:14qui permettent d'avoir des adresses e-mail jetables.
04:15Ça, il faut les refuser.
04:16Il faut normaliser les adresses e-mail.
04:18Donc, refuser, par exemple, les points ou les plus.
04:21Parce que vous savez, quand vous utilisez un point ou un plus dans une adresse e-mail,
04:24c'est l'identifiant de départ qui reçoit les e-mails.
04:27On peut en créer un grand nombre.
04:31Donc, tout ça, il faut refuser.
04:33Donc, une normalisation des e-mails ?
04:34Normalisation des e-mails.
04:35Il faut que l'e-mail soit censé pour l'utilisation.
04:38Et si vous voyez qu'il y a une recrudescence de connexions infructueuses,
04:44suspendez le compte, même pour quelques minutes.
04:47Donc, ça, c'est pour les e-commerceurs.
04:48Et pour les gens qui font leur course, pour les consommateurs,
04:52il y a des choses aussi à faire.
04:53Ne cliquez pas sur les liens.
04:54Donc, il me semble qu'il y a une société de livraison de colis récemment
04:58qui a annoncé une fuite de données.
04:59Ne cliquez pas directement sur les liens que vous recevez dans un SMS.
05:03Saisissez l'URL directement dans votre navigateur.
05:06Comme je l'ai dit, partez du principe que votre identifiant est déjà dans la nature.
05:09Donc, pas de mot de passe réutilisé partout.
05:11Et activez la double authentification.
05:13Et donc, restez vision.
05:14Là, on se dit qu'il faut être encore plus vigilant depuis cette année,
05:18depuis l'année dernière.
05:19Parce qu'on avait déjà la vague IA générative
05:23qui nous sert bien.
05:25Mais les pirates aussi, ils savent bien s'en servir.
05:27Et puis, il y a cette vague IA gentil qui est importante aujourd'hui.
05:30J'imagine que des sociétés comme Datadome,
05:32vous apprenez à vos clients à redoubler de vigilance avec ces agents autonomes.
05:35On les programme et puis, c'est eux-mêmes qui vont aller attaquer
05:39et essayer de percer un peu les failles des entreprises.
05:41Exactement.
05:41C'est la vraie révolution, l'IA agentique, pour moi, je pense.
05:45Et c'est une super opportunité pour les commerçants.
05:48Il faut le voir aussi du côté positif.
05:50Ce qui est certain, c'est que ces agents,
05:52ils posent un problème.
05:54C'est qu'il ne suffit plus de vérifier l'identité
05:56d'une personne ou d'une chose qui navigue sur un site internet.
05:59Il faut vérifier son intention.
06:01Parce que demain, mon agent,
06:03je vais l'envoyer pour faire des courses à ma place.
06:06Donc, si mon agent est détourné,
06:09il faut que le site commerçant en question
06:10puisse se rendre compte que ce n'est pas Benjamin Barrier
06:13qui a envoyé cet agent,
06:15mais qu'il est utilisé à des fins fraudules.
06:16Oui, c'est-à-dire qu'on va faire des agents
06:17qui vont aller naviguer, comparer, acheter.
06:20J'avais une société...
06:21On aura une société tout à l'heure,
06:23dans l'émission, qui s'appelle Wenby,
06:24W-N-B-Y.
06:26Vous aurez son cofondateur qui sera avec nous.
06:28Lui, en gros, il récupère les datas.
06:30Ce n'est pas de la cyber.
06:32Lui, c'est vraiment pour accompagner les sites marchands.
06:34Et il va directement proposer des scénarios.
06:37Il voit que l'internaute est là plutôt pour comparer.
06:39Il ne va lui proposer que quatre produits.
06:41Il y en a un qui est pour acheter.
06:42Ce ne sera que deux produits.
06:43Il y en a un autre pour voir un peu toute l'offre.
06:45Lui, on va lui proposer neuf produits.
06:47C'est ça.
06:48Clairement, ça, c'est le bon bot.
06:49C'est fabuleux.
06:50Je crois que Maya Noël était là, non ?
06:52Elle a dit que c'était une grosse tendance au niveau du hôtel.
06:54Oui, c'était hier soir.
06:54Et OpenAI, ils ont annoncé hier après-midi,
06:57Côte-Ouest, ce matin, sur No Time Zone,
06:59qu'ils lançaient Shopping Research.
07:01Et Shopping Research, c'est exactement ça.
07:03C'est qu'ils vont essayer de recréer votre expérience de shopper
07:05directement dans la plateforme qui vous sert à utiliser l'agent.
07:09Et c'est là où, pour parler de Datadome à l'instant,
07:11c'est là où Datadome est important
07:13puisqu'il peut à la fois distinguer les bots,
07:17mais aussi distinguer les bots malveillants
07:18des bots qui, eux, ont une intention plus louable,
07:22en tout cas pour les e-marchands.
07:24C'est-à-dire qu'il y a quelques années,
07:25notre métier, il semblait simple de notre point de vue aujourd'hui,
07:28il y avait les mauvais robots et les bons humains.
07:29C'est vraiment, ce n'est plus du tout le cas maintenant.
07:31Donc, on a des bons robots, des mauvais robots,
07:33des bons humains, des mauvais humains, des mauvais humains.
07:35Et donc, c'est vraiment détecter l'intention
07:37et savoir si le bot ou l'humain en question
07:39est en train d'utiliser un compte de façon légitime
07:42et est en train, éventuellement, de faire de la fraude ou pas.
07:45Et ça, quand vous êtes dans les entreprises,
07:47ça rajoute une couche de détection supplémentaire ?
07:51Non, alors c'est une couche de nouveautés.
07:54On a sorti un produit là récemment
07:55de protection des serveurs MCP.
07:58D'accord.
07:58Donc, les serveurs MCP, ce sont des API
08:01qui sont dédiés aux agents.
08:03Donc, vraiment, c'est la porte d'entrée légitime
08:05d'un agent vers un e-commerçant.
08:07Et on n'a pas un client avec qui on n'a pas ces discussions à l'heure actuelle.
08:10Donc, c'est juste un nouveau point d'entrée, une nouvelle porte
08:12qu'il faut savoir sécuriser.
08:14Eh bien, merci, Benjamin Barry,
08:15à être venu nous parler de tout ça,
08:16cofondateur et directeur de la stratégie chez Datadome.
08:19Donc, le Black Friday approche.
08:20Mais vous allez certainement vous rentrer ensuite pour Noël,
08:22pour les soldes, sur les sites en ligne.
08:24Soyez toujours vigilant alors que vous soyez e-commerçant.
08:27Regardez, il y a des solutions comme celle de Datadome
08:29qui permettent de reconnaître ces mauvais robots,
08:31de ces bons robots,
08:32de ces bons humains, des bons consommateurs.
08:35Et puis, côté consommateur,
08:36soyez toujours vigilants.
08:37Regardez toujours les adresses mail,
08:39les faux comptes, les faux sites, ça existe.
08:42Et aujourd'hui, je peux vous assurer
08:43que les pirates sont très habiles
08:45et savent penser à beaucoup de choses,
08:46notamment grâce à Elia.
08:47Merci de nous avoir accompagnés, Benjamin Barryé.
Écris le tout premier commentaire