Alors que le commerce agentique prend de l’ampleur, les détaillants entrent dans une nouvelle ère d’automatisation où des agents d’IA agissent au nom des utilisateurs pour naviguer, comparer et acheter. Cependant, ces mêmes capacités peuvent être exploitées par des fraudeurs. Ce Black Friday, le défi ne réside pas dans l’arrêt des bots, mais dans la distinction entre les interactions légitimes pilotées par des agents et les automatisations malveillantes qui les imitent.
Cette distinction est cruciale au niveau des comptes, où les détaillants doivent vérifier l’identité face à l’augmentation de l’automatisation. Les agents légitimes et les bots malveillants empruntent des chemins similaires pour la création de comptes et les connexions. Selon une évaluation de 2025, 64 % des détaillants restent vulnérables à la création de faux comptes, et plus de la moitié sont exposés à des attaques de prise de contrôle de compte en raison de protections de connexion faibles.
De nombreuses vulnérabilités observées l’année dernière persistent, entraînant davantage de comptes volés, de cartes-cadeaux vidées et de véritables acheteurs contraints de lutter contre les bots pour obtenir les cadeaux les plus prisés de l’année.
Les tests de sécurité menés sur 11 grands sites de commerce électronique révèlent des vulnérabilités généralisées laissant les détaillants exposés. La création de faux comptes reste alarmante, avec 64 % des détaillants vulnérables et 73 % acceptant les emails jetables. Seulement 27 % des détaillants évalués mettent en œuvre une détection efficace des bots. De plus, 36 % ne disposent pas de MFA, laissant les processus de création de compte dangereusement ouverts.
Les protections de connexion restent faibles, 82 % permettant des tentatives de connexion automatisées sans défi et 64 % n’ayant pas de contrôles de verrouillage de compte. Ces faiblesses offrent des conditions idéales pour les attaquants pilotés par IA pour développer leurs opérations sans être détectés.
La création massive de faux comptes et le bourrage d’identifiants constituent des menaces importantes. Les attaquants utilisent des domaines d’email jetables et des techniques d’aliasing simples pour générer des centaines de comptes à partir d’une seule boîte de réception. Ces comptes contournent les limites d’achat, accaparent les stocks très demandés et exploitent les promotions. Les pertes financières peuvent être substantielles, allant de 50 000 à 500 000 dollars par campagne.
Les détaillants doivent prendre des mesures rapides pour combler les lacunes critiques avant l’afflux de trafic. Ils peuvent bloquer les domaines d’email jetables, mettre en œuvre la normalisation des emails et le verrouillage des comptes après des tentatives de connexion échouées. En déployant une gestion robuste des bots, ils peuvent détecter et bloquer le trafic malveillant sophistiqué.
L’industrie du commerce électronique montre une tendance préoccupante : bien que quelques détaillants de premier plan aient mis en œuvre des défenses sophistiquées à plusieurs niveaux, la majorité reste vulnérable aux abus de comptes automatisés. Ce Black Friday 2025 présente un risque élevé de fraude généralisée, mais les vulnérabilités critiques peuvent être résolues rapidement, permettant aux détaillants de protéger leurs revenus et de préserver la confiance des clients.
