Newsletter
Agent spoofing : 80 % des sites retail ne sont pas protégés
Des bots malveillants se font passer pour des agents IA et des crawlers afin de déjouer les défenses des sites retail, et les méthodes traditionnelles pour distinguer l’ami de l’ennemi ne tiennent plus.
Qu’est-ce que l’agent spoofing ?
L’agent spoofing, c’est un bot malveillant qui se fait passer pour un agent IA, un crawler de moteur de recherche, un comparateur de prix, ou tout autre client de confiance, afin de tromper la sécurité d’un site retail en ligne.
En accédant librement au site, le bot peut par exemple aspirer des informations, manipuler des données de référencement, et bien plus encore. Avec la multiplication des agents IA, cette usurpation d’identité est devenue le vecteur d’attaque le plus difficile à détecter.
Les chiffres à retenir
Une étude conjointe de DataDome, Botify, AWS et Retail Economics, menée auprès de 6 000 consommateurs au Royaume-Uni, aux États-Unis et en France, publiée fin février 2026, dresse un constat sans appel :
- 80 % des sites retail ne sont pas protégés contre l’agent spoofing.
- 80 % des agents IA ne s’identifient pas correctement auprès des sites qu’ils visitent.
- L’activité des bots IA sur les sites de retail a été multipliée par 5 en 2025.
- 38 % des consommateurs utilisent un assistant IA dans leur parcours d’achat en ligne.
Le coût pour les retailers
L’agent spoofing entraîne directement des analytics faussés, des signaux de référencement IA gonflés, des décisions commerciales biaisées et une plus grande exposition à la fraude.
Le constat technique
Les deux méthodes historiques pour distinguer un agent légitime d’un imposteur ne suffisent plus à identifier la nature de l’utilisateur qui se connecte :
- L’en-tête User-Agent (une chaîne de texte indiquant le nom et la version du client) n’est qu’une simple déclaration sur l’honneur. N’importe quel bot malveillant peut s’y présenter comme un agent IA connu avec une seule ligne de code.
- La plage d’IP (l’adresse réseau d’origine) est tout aussi peu fiable. Les agents IA se déploient sur des infrastructures cloud mutualisées comme AWS, Azure et Google Cloud, où des milliers de services légitimes et malveillants partagent les mêmes blocs d’adresses, qui changent en permanence par allocation dynamique.
La réponse émergente : les signatures cryptographiques
La réponse du secteur repose sur un principe emprunté à la signature électronique : le HTTP Message Signatures (RFC 9421).
L’agent signe cryptographiquement chaque requête sortante avec une clé publique exposée à une URL canonique. L’origine valide la signature côté serveur et s’assure ainsi de l’identité de l’émetteur.
Pour les 80 % de retailers aujourd’hui exposés, c’est le moment d’auditer leurs solutions de Bot Management et de WAF, d’identifier les agents signés et d’appliquer des règles de sécurité précises en fonction de la nature réelle de chaque agent.
Pour les marchands engagés dans une démarche UCP (Universal Commerce Protocol), ces signatures s’imposent rapidement comme la norme de confiance.
Auditez vos défenses contre l’agent spoofing
Échangez avec notre équipe sur le Bot Management, la configuration de votre WAF et la vérification des agents signés sur l’ensemble de votre parc retail.
Démarrer