Points clés
- Les agents IA sont utilisés par les fraudeurs pour créer de faux comptes. Ils utilisent de vrais navigateurs avec des IP résidentielles et, dans certains cas, des identités générées par LLM.
- Stopper la création de faux comptes par agents IA nécessite quatre couches de signaux : identité, réseau, environnement navigateur et signaux comportementaux.
- La plupart des entreprises utilisent un outil de détection d'agents IA comme cside ou Castle pour collecter ces signaux et les injecter dans leurs workflows d'application.
- Les méthodes traditionnelles de détection de bots comme les CAPTCHA ne sont pas efficaces contre les bots basés sur des agents IA. Les agents IA tournant sur des navigateurs furtifs sont conçus pour contourner ces méthodes, et l'IA moderne résout les CAPTCHA plus précisément que les humains.
Que sont les bots de création de faux comptes par IA ?
Les bots de création de faux comptes basés sur des agents IA utilisent des frameworks d'automatisation de navigateur et des capacités d'IA pour enregistrer des comptes sur votre plateforme à grande échelle. L'objectif peut être offensif (augmenter vos coûts d'infrastructure) ou basé sur les incitations (bonus de parrainage).
Contrairement aux bots traditionnels de création de comptes, les bots alimentés par l'IA fonctionnent dans de vraies instances Chrome et imitent mieux le comportement humain, notamment en résolvant les CAPTCHA. Un rapport d'analystes du secteur a révélé que la fraude alimentée par l'IA a augmenté de 1 210 % en 2025, contre une hausse de 195 % pour la fraude traditionnelle.
Signaux pour détecter les agents IA créant de faux comptes
Une combinaison de signaux réseau, navigateur et comportementaux est nécessaire
Aucun signal isolé ne détecte un bot sophistiqué de création de faux comptes. La méthodologie de détection utilisée chez cside (pour notre propre flux d'inscription et pour nos clients) examine quatre couches de signaux :
- Signaux d'identité ; vérifier qui le visiteur prétend être. Les outils d'automatisation connus laissent des traces dans le runtime du navigateur. Les bots de plateformes comme Browserbase ont des signatures vérifiables.
- Signaux réseau ; examiner d'où provient le trafic. Les IP de datacenters, les proxys connus et les incohérences entre la localisation déclarée et le fuseau horaire du navigateur signalent les configurations basiques. Les opérations sophistiquées utilisent des rotations d'IP résidentielles qui semblent légitimes.
- Signaux navigateur/appareil ; inspecter si l'environnement navigateur raconte une histoire cohérente. Les outils d'automatisation comme Playwright laissent des artefacts. Quand les détails d'empreinte numérique (rendu graphique, traitement audio, spécifications d'écran) se contredisent, quelque chose a été falsifié.
- Signaux comportementaux ; observer comment le visiteur interagit avec votre flux d'inscription. Timing de remplissage des formulaires, schémas de frappe, mouvements de souris, comportement de correction d'erreurs et séquençage de navigation. Les agents IA masquent mieux cela que les bots traditionnels, mais avec une surveillance au niveau de la session, ils se font quand même repérer.
Nous approfondissons chacune de ces couches de signaux et les techniques de détection spécifiques déployées par les ingénieurs de cside dans notre guide pour détecter le trafic d'agents IA.
Dans une enquête sectorielle récente que nous avons menée, plus d'un tiers des développeurs web ont déclaré mettre en place des défenses supplémentaires contre les bots agents IA, comme l'analyse comportementale.
Signaux de session qui révèlent la création de comptes par IA
- Précision du remplissage de formulaire : les utilisateurs humains hésitent sur le champ e-mail, mettent plus de temps pour les mots de passe et font des corrections. Les bots IA remplissent chaque champ avec un timing régulier et zéro événement d'erreur.
- Schémas d'identité générée : les e-mails jetables sont courants parmi les faux comptes. Les numéros de téléphone peuvent se regrouper autour de préfixes spécifiques. Les adresses peuvent ne pas correspondre à des localisations résidentielles réalistes.
- État d'empreinte vierge : un pic d'inscriptions depuis des profils de navigateur sans historique ni cookies.
- Comportement post-inscription : l'activité anormale des faux comptes peut se traduire par l'utilisation instantanée de codes promo et bonus de parrainage, ou par une inactivité totale.
- Corrélation inter-sessions : en examinant les inscriptions dans leur ensemble, les campagnes coordonnées présentent des intervalles de timing similaires et des groupes d'empreintes numériques.
Outils spécialisés pour détecter la création de faux comptes par IA
Si la création de faux comptes par des agents IA vous préoccupe et que vous souhaitez y mettre fin, vous avez deux options. Acheter un outil, ou développer le vôtre. Notre avis sur le développement interne : ne le faites pas. La sécurité anti-bots est une catégorie que les équipes n'essaient généralement pas de développer en interne, pour des raisons évidentes.
Votre approche de détection sera rétro-ingénierée par les plateformes d'automatisation. Votre équipe devra continuellement mettre à jour la philosophie de détection. Un outil de détection d'agents IA spécialisé dans la détection de fraude est une approche bien plus simple.
cside est l'un de ces fournisseurs, mais pour garder nos articles éducatifs objectifs, nous mentionnons fréquemment d'autres fournisseurs (comme HUMAN et Fingerprint).
Mais ces outils ne sont-ils pas extrêmement chers et réservés aux grandes entreprises ?
Certains le sont (DataDome, HUMAN). Nous avons analysé les tarifs et les compromis dans notre comparatif : 4 outils pour détecter les agents IA sur votre site web. Des fournisseurs comme cside et Fingerprint proposent des forfaits professionnels (à partir de 99 $/mois) qui exposent les signaux de détection via une API pour les intégrer à vos workflows anti-fraude existants.
Vous payez pour les signaux que vous consommez et pouvez lancer un pilote sans signer de contrat annuel.
Pourquoi les acteurs malveillants créent de faux comptes sur votre site web ou application
Les faux comptes permettent toute une gamme de schémas frauduleux, et l'économie a basculé fortement en faveur de l'attaquant à mesure que l'IA a rendu la création en masse moins chère.
- Abus promotionnel et fraude au parrainage : les fraudeurs récupèrent les remises nouveaux utilisateurs, les crédits d'inscription et les bonus de parrainage sur des centaines de comptes. Si votre plateforme offre 10 $ de réduction pour les nouveaux utilisateurs et que la création d'un compte coûte 0,05 $ en automatisation, le calcul est évident.
- SMS pumping (déni de portefeuille) : les bots s'inscrivent en masse pour déclencher la vérification par SMS, faisant grimper vos coûts de messagerie sans aucun revenu réel pour les compenser. Twitter/X perdait 60 M$/an à cause de cela avant de supprimer l'authentification 2FA par SMS.
- Revente d'identifiants : les comptes vérifiés sur les plateformes populaires ont une valeur marchande. Les comptes créés via des flux d'inscription réalistes se vendent sur les marchés criminels, souvent dans le cadre de chaînes de fraude plus larges.
- Manipulation d'avis et de notes : Les faux comptes sont la base de la fraude aux avis : booster des produits, déclasser des concurrents et fabriquer de la preuve sociale à grande échelle.
Exemple détaillé : faux comptes utilisés dans une attaque DoW contre un SaaS outil créateur
Nous avons récemment aidé un outil créateur (startup de moins de 50 employés) à déployer des mesures défensives contre une attaque DoW (Denial of Wallet) :
- Une vague de bots s'est inscrite sur la plateforme, déclenchant une vérification SMS pour chaque compte. La facture d'envoi de ces SMS a grimpé rapidement sans aucun revenu réel pour compenser les coûts.
- Une détection de bots traditionnelle était déjà en place (le « prouvez que vous n'êtes pas un bot » de Cloudflare), mais les bots passaient quand même. Cela a conduit à soupçonner qu'il s'agissait de bots agents IA, et non du type scripté pour lequel les vérifications standard de Cloudflare avaient été conçues.
- L'outil créateur a implémenté les signaux de données de détection d'agents IA et d'empreinte numérique de cside. Immédiatement, ils ont pu voir un tableau de bord du trafic d'agents IA frappant leur flux d'inscription. Au fil du temps, la détection s'est renforcée à mesure que les données historiques révélaient des schémas dans les attaques ciblées.
- Ces signaux ont été injectés dans un score de risque pour des actions d'application. Les sessions avec un score de confiance élevé de comportement malveillant (plusieurs comptes créés sur le même appareil avec rotation d'IP/localisations) ont été bloquées via une intégration Cloudflare Workers.
L'outil créateur a endigué les attaques ciblées en quelques jours. Cela a permis d'économiser des milliers, voire des dizaines de milliers de dollars en coûts d'infrastructure qui auraient continué à grimper si le problème était resté non résolu.
Pourquoi le CAPTCHA échoue face à la création de comptes par IA
Le CAPTCHA a été conçu pour séparer les humains des bots à un point de contrôle unique. Ce modèle ne fonctionne plus.
- Automatisation hébergée localement. Les agents IA de scraping fonctionnent de plus en plus sur du matériel grand public plutôt que sur des serveurs cloud. Une instance Playwright tournant sur un Mac Mini envoie des requêtes depuis une IP résidentielle avec des empreintes d'appareil authentiques.
- Ils utilisent de vrais navigateurs. Ils fonctionnent dans de véritables instances Chrome qui affichent vos pages, exécutent votre JavaScript et se comportent exactement comme le navigateur d'un client.
- Ils sont conçus pour agir comme des humains. Les agents IA randomisent leur timing, varient leur défilement et résolvent même les CAPTCHA.
Stratégies d'application contre les agents IA qui créent de faux profils
| Score de risque | Action | Pourquoi |
|---|---|---|
| Faible (anomalies mineures) | Autoriser, journaliser pour examen | Des signaux isolés se déclenchent aussi chez de vrais utilisateurs. La journalisation construit votre référentiel sans bloquer le revenu. |
| Moyen (signaux multiples) | Vérification renforcée | Ajouter une étape de vérification (confirmation par e-mail, vérification par téléphone) que les vrais utilisateurs passent en quelques secondes mais qui ajoute coût et friction pour les bots à grande échelle. |
| Élevé (forte correspondance de cluster) | Ralentissement silencieux | Ralentir la session au lieu de la bloquer directement. L'attaquant ne sait pas qu'il a été détecté, donc il ne s'adapte pas. |
| Très élevé (schéma connu) | Blocage + empreinte numérique | Bloquer la session et stocker l'empreinte de l'appareil. Les tentatives futures depuis le même profil sont bloquées avant d'atteindre votre flux d'inscription. |
Ne bloquez pas tout par défaut. L'instinct est de bloquer toute session qui semble automatisée, mais cela crée deux problèmes. Vous signalez à l'attaquant que votre détection fonctionne, donc il s'adapte. Et vous bloquez de vrais clients, surtout pendant les périodes de fort trafic où les taux de faux positifs augmentent.
Comment cside protège votre site web contre la création de faux comptes
cside est une plateforme de sécurité web spécialisée dans la surveillance du runtime navigateur. La détection d'agents IA de cside est spécifiquement conçue pour identifier les agents IA frauduleux sur votre site web. Avec cside :
- Obtenez un tableau de bord indiquant quels agents accèdent à votre site et ce qu'ils font
- Des scores de risque automatiques à partir de signaux comportementaux pour détecter les agents IA malveillants (y compris ceux basés sur navigateur et hébergés localement) qui contournent les défenses anti-bots traditionnelles
- Injectez les signaux de détection dans vos propres workflows d'actions d'application
- Prévenez la fraude par agents IA : abus de codes promo, création de faux comptes, test de cartes bancaires, découverte de vulnérabilités et scraping avancé
