Pour les entreprises
Équipes anti-fraude, ingénieurs sécurité, PMs de plateforme. Les équipes qui paient quand la fraude passe — et celles qui paient quand de vrais clients partent.
Chaque navigateur raconte une histoire. Nous démasquons les fictions.
Empreintes de navigateur qui détectent la fraude sans pénaliser de vrais clients par faux positifs. Scores de risque calibrés, résultats calibrés.
Trois publics. Un seul signal.
L’empreinte du navigateur ne concerne rarement qu’une seule équipe. Le même signal façonne les résultats pour les entreprises, les plateformes et leurs utilisateurs.
-
-
Pour les plateformes
Places de marché, réseaux sociaux, plateformes multi-faces. La confiance entre utilisateurs compte plus que jamais ; la résistance Sybil est un véritable rempart.
-
Pour les personnes
Utilisateurs finaux. La partie prenante dont on parle trop peu. Les personnes qui se voient mises au défi à tort, bloquées, ou à qui l'on demande de résoudre des CAPTCHA parce qu'elles sont sur Brave.
Ce qu’il fait.
Six capacités. Chacune ancrée dans un résultat business réel.
-
Notation du risque
-
Détection de bots
-
Console opérateur
-
Latence Edge-First
-
Confidentialité par construction
-
Intégration ouverte
Du signal à la décision.
Quatre étapes. Le navigateur collecte, le token porte le signal, le score est calibré côté serveur, et votre code décide.
Navigateur
Le SDK collecte côté client plus de 30 signaux du navigateur — canvas, WebGL, audio, polices, marqueurs matériels. Chargé en async, ne bloque jamais DOMContentLoaded.
Token
Les signaux sont encapsulés dans un token signé (ES256) et envoyés à votre backend. Le token ne peut pas être rejoué ; il transporte l'empreinte complète.
Score
Votre serveur appelle verify(). Nous renvoyons un risque à 5 niveaux + confiance + trace des flags. Pas de lookup DNS ; p99 sous 12 ms à l'edge.
Décision
Votre code lit le niveau de risque et décide. Bloquer, challenger, observer ou autoriser — votre policy, notre reçu.
Ce que nous mesurons.
Quatre couches de signal, composées en une seule empreinte calibrée. Chaque couche répond à une question différente — ensemble, elles font la différence entre un verdict et une mesure.
-
Intelligence du navigateur
Le navigateur est-il réel ?
Captez le trafic automatisé, les navigateurs masqués et les visiteurs synthétiques dès leur arrivée — avant qu'ils n'atteignent votre signup, login ou checkout. Les vrais clients passent. Les faux non.
→ Catégories de détection -
Signaux réseau
Le réseau est-il sûr ?
Repérez les origines suspectes et l'infrastructure à haut risque sans punir le trafic légitime. Les télétravailleurs, utilisateurs de VPN et réseaux corporate restent les bienvenus. Les sources de fraude en gros sont signalées.
→ Catégories de détection -
Vérification matérielle
L'appareil est-il réel ?
Vérifiez l'appareil réel derrière la session — pas seulement le logiciel qui tourne dessus. Les vrais utilisateurs sur de vrais appareils passent sans effort. Les bots sur infrastructure jetable et partagée remontent immédiatement.
→ Catégories de détection -
Empreintes comportementales
L'utilisateur est-il réel ?
Distinguez une vraie personne d'un script par le rythme avec lequel elle interagit avec la page. Les humains hésitent, se corrigent, explorent. L'automatisation se déplace avec une précision révélatrice qu'elle ne peut cacher.
→ Catégories de détection
Quatre couches de signaux, chacune répondant à une question différente. Ensemble, elles font la différence entre un verdict et une mesure.
Ce que nous détectons.
Six catégories de menace. Chacune affinée pour attraper l'automatisation, la fraude et l'abus — sans défier à tort les vrais clients.
Une requête de navigateur se ramifie en six catégories de détection dont les signaux pondérés sont combinés en un score de risque calibré.
- Automatisation et bots Reconnaissez le trafic automatisé avant qu'il n'atteigne le login, le signup ou le checkout.
- Manipulation d'empreinte Faites remonter les tentatives délibérées d'évasion sans bloquer les choix honnêtes de confidentialité.
- Abus d'infrastructure Identifiez le signal de fraude en gros — sans déclencher à tort sur les télétravailleurs.
- Gestion des navigateurs de confidentialité Accueillez les utilisateurs légitimes de la confidentialité tout en attrapant les acteurs qui se cachent parmi eux.
- Attestation matérielle Vérifiez que l'appareil est ce qu'il prétend être — pas seulement le navigateur qui tourne dessus.
- Anomalies comportementales Attrapez les sessions qui semblent humaines sur le papier mais ne se comportent pas comme une personne.
Pourquoi nous ne vous disons pas « c'est un bot ».
La plupart des services d'empreinte vous disent ce que vous voulez entendre : bot ou humain. Binaire. Propre. Faux. Nous disons ce que le signal exprime réellement, avec un niveau de confiance — et laissons votre code décider.
// Nous ne vous disons pas « c'est un bot ».
// Nous vous disons risk: medium, confidence: 0,87.
// Vous décidez.
Cinq paliers. Calibrés sur des données de population — pas binaire, jamais silencieux.
Voyez-le en production.
Là où les signaux deviennent des décisions. La console opérateur — rechercher, comparer, auditer, décider.
À quoi ressemble le succès.
Vrais chiffres d'intégrations réelles. Biais vers le faux-négatif ; biais vers la rétention client.
- 47 %
- réduction médiane des rétrofacturations (90 jours)
- 0,4 %
- taux de faux positifs, configuration par défaut
- ~5 ms
- latence médiane de verify en edge
-
Place de marché
Réseaux Sybil détectés avant le bombardement d'avis — par signal, pas par IP.
-
Services financiers
Défis pour nouveaux appareils plutôt que blocages. Les vrais clients ne ressentent rien.
-
Plateformes sensibles à l'identité
Clics sur les magic-links vérifiés par correspondance d'empreinte. Les kits de phishing s'arrêtent ici.
Des signaux honnêtes. Des promesses vérifiables.
Six propriétés qui tiennent à l'inspection. Pas de magie vendor — chacune est auditable face à la surface produit.
-
Résidence des données en EU
-
Prêt pour le GDPR
-
Code source du SDK ouvert
-
Aucune PII collectée
-
p99 verify <12ms
-
Calibré, pas magique
Ce en quoi nous croyons.
Contraintes opérationnelles qui se voient partout — dans le SDK, dans l'API, dans la console opérateur.
-
Calibration plutôt que verdicts
Vous possédez la politique. Nous vous donnons les preuves.
-
La source est la documentation
Chaque seuil est documenté et ajustable. Pas de boîte noire.
-
Les faux positifs ne sont pas des pertes acceptables
Un client bloqué ne revient jamais. Nous nous y opposons.
-
Confidentialité par construction
Pas de PII. Pas d'appel tiers. Nous ne pouvons pas vendre ce que nous n'avons jamais collecté.
Les questions des ingénieurs.
Vraies questions issues de vraies intégrations. Si la vôtre n'y est pas, la documentation la couvre sans doute.
Est-ce que ça marche avec Tor ?
Les sorties Tor reçoivent par défaut un risque `medium` du signal IP (datacenter_asn + listes d'exits connus), mais l'empreinte elle-même est toujours calculée. Si votre application autorise explicitement Tor — journalisme, recherche sensible, parcours de survivants d'abus — mettez `tor_policy: 'allow'` dans l'appel verify pour supprimer la notation basée sur l'IP tout en gardant les autres signaux actifs. Le drapeau reste dans la réponse de toute façon ; c'est juste vous qui décidez s'il compte dans le score.
Et les navigateurs centrés sur la vie privée — Brave, LibreWolf, Tor ?
Tous fonctionnent. Chacun a des empreintes distinctives — le farbling de Brave, les profils LibreWolf et Tor Browser sont connus dans nos données de population. Les fonctions anti-pistage ne cassent pas la vérification ; elles produisent simplement des empreintes différentes (toujours cohérentes). Nous signalons le niveau de protection comme un signal honnête plutôt que de pénaliser silencieusement l'utilisateur.
Quel est votre taux de faux positifs ?
Dépend du seuil sur lequel vous déclenchez. Avec les valeurs par défaut (risk ≥ high → challenge), notre benchmark interne contre un jeu vérité-terrain de 4,2 M sessions réelles mesure ~0,4 % de faux positifs. À risk = critical seulement, le taux FP tombe à ~0,07 %. Les deux chiffres sont continuellement mis à jour et visibles dans le dashboard opérateur, ventilés par famille de navigateur et par pays pour que vous voyiez d'où viennent les ratés.
Faut-il un backend ?
Oui — le SDK collecte dans le navigateur et émet un token signé ; la vérification a lieu côté serveur via notre REST API. Le token contient l'empreinte complète et est vérifié cryptographiquement (ES256, `kid: nox-2026-01`), donc `verify()` ne fait pas de lookup DNS pendant une requête. La latence de vérification p99 est sous 5 ms parce que c'est une vérification de signature plus un cache lookup, pas une re-collecte.
Conformité GDPR / CCPA ?
Nous sommes sous-traitant sous votre DPA, avec notre propre DPA disponible sur demande. Nous traitons les empreintes comme « données personnelles » car elles pourraient ré-identifier un visiteur récurrent — les contrôles de l'Article 28 s'appliquent pleinement. Pas de transferts hors UE ; infrastructure en résidence UE (Cloudflare routing UE uniquement). Suppression physique sur demande via le backoffice. Nous signons les DPA en 24 h. La liste des sous-traitants est sur `/subprocessors`.
Cinq questions supplémentaires dans la doc — on-prem, iframes, comportement réseau, ajustement des seuils et Noxtica vs. CAPTCHA. → Voir toutes les questions dans la doc
Commencez à protéger vos utilisateurs dès aujourd’hui.
Arrêtez la fraude avant qu’elle ne survienne. Gardez vos vrais clients en mouvement. Obtenez la calibration adaptée à votre trafic — et une équipe qui décroche vraiment.
Ce que vous obtenez
Un partenaire, pas une page tarifaire.
Tout ce qu’il faut pour livrer avec confiance — et rien d’inutile.