May 7, 2026

Agent Spoofing

CYBERSÉCURITÉ

CYBERsécurité

LECTURE

3min

Agent-spoofing

Agent Spoofing : 80% des sites retails ne sont pas protégés.

Qu’est ce qu’un agent spoofing ?

C’est un bot malveillant qui se fait passer pour un agent IA, un crawler de moteur de recherche, un comparateur de prix,etc, pour tromper la sécurité d’un site retail en ligne.

En accédant librement au site, le bot peut par exemple aspirer des informations ou manipuler des données de référencement. Avec la multiplication des agents IA, cette usurpation d’identité est devenue le vecteur d’attaque le plus difficile à détecter.

Les chiffres à retenir.

Étude conjointe DataDome / Botify / AWS / Retail Economics (6 000 consommateurs UK, US, France), publiée fin février 2026 :

80 % des sites retail ne sont pas protégés contre l’agent spoofing.
80 % des agents IA ne s’identifient pas correctement auprès des sites qu’ils visitent.
L’activité des bots IA sur les sites de retail a été multipliée par 5 en 2025.
38 % des consommateurs utilisent un assistant IA dans leur parcours d’achat en ligne.

Conséquence directe pour les retailers : analytics faussés, signaux de référencement IA gonflés, décisions commerciales biaisées et une plus grande exposition à la fraude.

Le constat technique.

Les deux méthodes historiques pour distinguer un agent légitime d’un imposteur, l’en-tête du User-Agent (une chaîne de texte indiquant le nom et la version du client ), et la plage d’IP (adresse réseau d’origine de la requête), ne sont plus suffisants pour identifier la nature de l’utilisateur qui se connecte.

Le User-Agent est une simple déclaration sur l’honneur : n’importe quel bot malveillant peut s’y présenter comme Agent IA connu avec une ligne de code.
Les agents IA se déploient sur des infrastructures cloud mutualisées, comme AWS, Azure, Google Cloud, où des milliers de services légitimes et malveillants partagent les mêmes blocs d’adresses. Et ces adresses changent en permanence par allocation dynamique.

La réponse émergente du secteur repose sur un principe emprunté à la signature électronique : Le HTTP Message Signatures (RFC 9421).

L’agent signe cryptographiquement chaque requête sortante avec une clé publique exposée à une URL canonique. L’origine valide la signature côté serveur et s’assure ainsi de l’identité de l’émetteur.

Pour 80% des retailers, c’est le moment d’auditer leur solutions de Bot Management et de WAF, d’identifier les agents signés et d’appliquer des règles de sécurité précises en fonction de leur nature. Pour les marchands engagés dans une démarche UCP (Universal Commerce Protocol), ces signatures s’imposent rapidement comme la norme de confiance.