Est-ce que ça marche avec Tor ?

Les sorties Tor reçoivent par défaut un risque medium du signal IP (datacenter_asn + listes d'exits connus), mais l'empreinte elle-même est toujours calculée. Si votre application autorise explicitement Tor — journalisme, recherche sensible, parcours de survivants d'abus — mettez tor_policy: 'allow' dans l'appel verify pour supprimer la notation basée sur l'IP tout en gardant les autres signaux actifs. Le drapeau reste dans la réponse de toute façon ; c'est juste vous qui décidez s'il compte dans le score.

Et les navigateurs centrés sur la vie privée — Brave, LibreWolf, Tor ?

Tous fonctionnent. Chacun a des empreintes distinctives — le farbling de Brave, les profils LibreWolf et Tor Browser sont connus dans nos données de population. Les fonctions anti-pistage ne cassent pas la vérification ; elles produisent simplement des empreintes différentes (toujours cohérentes). Nous signalons le niveau de protection comme un signal honnête plutôt que de pénaliser silencieusement l'utilisateur.

Quelle est la taille du bundle JS ?

~55 KB brotli, ~167 KB minifié. Le SDK charge en lazy les probes lourds (canvas, audio, webgl, énumération de fontes) uniquement à l'appel de collect(), donc le parse initial est ~12 KB brotli. Chargé en async, ne bloque jamais DOMContentLoaded ni LCP. Les visites mises en cache sont des beacons de ~150 octets.

Oui — le SDK collecte dans le navigateur et émet un token signé ; la vérification a lieu côté serveur via notre REST API. Le token contient l'empreinte complète et est vérifié cryptographiquement (ES256, kid: nox-2026-01), donc verify() ne fait pas de lookup DNS pendant une requête. La latence de vérification p99 est sous 5 ms parce que c'est une vérification de signature plus un cache lookup, pas une re-collecte.

Conformité GDPR / CCPA ?

Nous sommes sous-traitant sous votre DPA, avec notre propre DPA disponible sur demande. Nous traitons les empreintes comme « données personnelles » car elles pourraient ré-identifier un visiteur récurrent — les contrôles de l'Article 28 s'appliquent pleinement. Pas de transferts hors UE ; infrastructure en résidence UE (Cloudflare routing UE uniquement). Suppression physique sur demande via le backoffice. Nous signons les DPA en 24 h. La liste des sous-traitants est sur /subprocessors.

Que se passe-t-il si votre service tombe ?

Le SDK collecte toujours — les tokens sont mis en file dans localStorage et postés de manière asynchrone. Si l'endpoint verify est injoignable au-delà de votre timeout, le SDK retourne { risk: 'medium', confidence: 0.5, error: 'unavailable' } pour que votre code puisse retomber sur une politique dégradée (challenge au lieu de block, par exemple). Nous publions un SLA 99,95 % et une page de statut publique sur status.noxtica.com. Uptime des 90 derniers jours : 99,98 %.

Puis-je faire tourner ça on-prem ?

Oui — le collector et le verifier sont livrés sous forme d'images Docker signées pour les clients Enterprise. Même format d'empreinte, mêmes chaînes de drapeaux, mêmes niveaux de risque ; pas de dépendance cloud. Les mises à jour sont tirées par votre registry à votre rythme. Les installations air-gapped sont supportées avec un bundle offline de mise à jour des poids. Parlez-nous-en.

Comment gérez-vous les iframes ?

Le SDK détecte le contexte iframe et ajuste la collecte — certains signaux (canvas, webgl) fonctionnent toujours mais avec une entropie réduite. Nous exposons iframe_context: true comme drapeau, jamais comme risque automatique. Les incohérences de valeurs entre l'iframe et la fenêtre principale produisent cross_context_mismatch (+5 par incohérence, plafonné à +30) car c'est un indice connu d'automatisation. Vous décidez de ce que les iframes signifient pour votre app.

Que le SDK envoie-t-il sur le réseau ?

À collect() : le token signé (~2-4 KB JSON, signé ES256). À verify() depuis votre serveur : le token seul. Aucune télémétrie additionnelle, aucun beacon analytics, aucune fonte chargée depuis un CDN. Aucun appel tiers nulle part dans le call path. Le token est la seule charge — et vous pouvez le décoder localement pour voir exactement ce que nous envoyons.

Foire aux questions

Q: Quel est votre taux de faux positifs ?

Dépend du seuil sur lequel vous déclenchez. Avec les valeurs par défaut (risk ≥ high → challenge), notre benchmark interne contre un jeu vérité-terrain de 4,2 M sessions réelles mesure ~0,4 % de faux positifs. À risk = critical seulement, le taux FP tombe à ~0,07 %. Les deux chiffres sont continuellement mis à jour et visibles dans le dashboard opérateur, ventilés par famille de navigateur et par pays pour que vous voyiez d'où viennent les ratés.

Des questions réelles issues de vraies intégrations. Si la vôtre n’est pas ici, la page de contact reçoit une vraie réponse de quelqu’un qui connaît le produit.

Est-ce que ça fonctionne avec Tor ?

Oui. Le trafic depuis les points de sortie Tor commence à un niveau de risque modéré — c’est un réseau anonymisant connu — mais nous lisons quand même l’image complète de la session. Si votre application accueille explicitement les utilisateurs de Tor, comme le journalisme, la recherche sensible ou les flux pour survivants d’abus, vous pouvez demander à Noxtica de ne plus compter le signal Tor dans le score tout en gardant tous les autres signaux actifs. Le signal reste visible dans le résultat dans tous les cas. C’est vous qui décidez s’il est pris en compte.

Pour le raisonnement complet sur pourquoi les utilisateurs de Tor ne sont pas automatiquement bloqués, voir Gestion des navigateurs vie privée dans la documentation des catégories de menaces.

Qu’en est-il des navigateurs axés sur la vie privée — Brave, LibreWolf, Tor ?

Tous fonctionnent. Chaque navigateur vie privée a une forme distinctive que nous reconnaissons depuis nos données de population. Les fonctionnalités de protection contre le tracking ne cassent pas la vérification ; elles produisent simplement un profil différent mais toujours cohérent. Nous traitons le niveau de protection comme un signal honnête plutôt que de pénaliser silencieusement l’utilisateur pour avoir fait ce choix.

C’est le principe 03 (les faux positifs ne sont pas des pertes acceptables) en pratique. Bloquer un utilisateur de Brave vous coûte un client qui a spécifiquement choisi un navigateur vie privée. L’échange n’en vaut pas la peine, et la calibration le reflète.

Quel impact sur le poids de ma page ?

Très peu. Le premier chargement est petit parce que les mesures lourdes ne s’activent que lorsque la page demande réellement un score. Tout se charge en arrière-plan et ne retarde jamais le rendu de votre page. Les visiteurs qui reviennent envoient un signal encore plus petit. En pratique, l’utilisateur ne remarque jamais que c’est là.

Faut-il un backend ?

Oui. Le collecteur tourne dans le navigateur et produit un résultat scellé ; la vérification réelle se fait sur votre serveur via notre API. Comme l’image complète voyage à l’intérieur de ce résultat scellé, la vérification est rapide — pas de collecte fraîche, pas de lookups réseau supplémentaires pendant qu’une requête est en cours. Le résultat est vérifié en quelques millisecondes.

La raison pour laquelle le backend est nécessaire : un verdict rendu uniquement dans le navigateur est trivialement falsifiable. Le résultat scellé garantit que rien n’a été altéré après la collecte, et vérifier cette garantie dans votre propre backend de confiance est ce qui rend l’ensemble du système fiable.

Êtes-vous conformes à la réglementation sur la vie privée ?

Nous agissons en tant que sous-traitant dans le cadre de votre accord de traitement des données, et nous avons le nôtre disponible sur demande. Nous traitons les données que nous gérons comme des données personnelles, parce qu’elles pourraient ré-identifier un visiteur qui revient, et appliquons l’ensemble des contrôles que cela implique. L’infrastructure reste dans l’UE sans transfert en dehors. La suppression définitive est disponible sur demande via le backoffice, et nous pouvons signer des accords en une journée. Notre liste de sous-traitants se trouve à /subprocessors.

Quelques points spécifiques que les responsables de la protection des données demandent :

Base légale : nous recommandons une base d’intérêt légitime pour la prévention de la fraude pour la plupart des intégrations. Les flux de consentement sont également pris en charge.
Minimisation des données : ce que nous stockons est un résumé brouillé et unidirectionnel, pas des valeurs brutes. Nous ne pouvons pas reconstituer les signaux originaux à partir de ce résumé.
Droit à l’effacement : la suppression est appliquée au niveau de la couche de stockage, pas comme un flag logiciel. Une fois supprimées, les données sont définitivement perdues.
Demandes d’accès : nous fournissons un moyen de retourner tout ce qui est associé à un visiteur donné, limité à votre compte.

Quel est votre taux de faux positifs ?

Ça dépend de l’endroit où vous placez votre seuil. Avec nos paramètres par défaut conservateurs, notre benchmark interne sur des millions de sessions réelles et vérifiées mesure bien en dessous de la moitié d’un pourcent. Réservez l’action uniquement pour le niveau le plus extrême et le taux chute près de zéro. Ces deux chiffres sont tenus à jour et visibles dans le tableau de bord opérateur, ventilés par famille de navigateur et par pays afin que vous puissiez voir exactement d’où viennent les erreurs.

Comment nous le mesurons : nous maintenons un ensemble de référence étiqueté de sessions humaines réelles et de sessions automatisées connues, actualisé chaque trimestre. Chaque modification du scoring est benchmarkée contre l’ensemble complet avant d’être déployée.

Si vous souhaitez exécuter le benchmark sur votre propre trafic, le tableau de bord opérateur exporte vos sessions avec leurs niveaux de risque, les raisons derrière chaque score et votre propre étiquette de résultat pour que vous puissiez calculer votre propre taux.

Que se passe-t-il si votre service est en panne ?

Le collecteur continue de fonctionner. Les résultats sont mis en file d’attente localement et envoyés quand la connexion revient. Si la vérification est inaccessible au-delà de votre délai d’expiration, Noxtica retourne un résultat sûr et neutre avec un marqueur « indisponible » clair, afin que votre code puisse basculer vers une politique plus souple — challenge plutôt que blocage, par exemple. Nous publions un objectif de disponibilité de 99,95 % et une page de statut publique à status.noxtica.com. La disponibilité récente a été supérieure à cet objectif.

Le marqueur « indisponible » est le signal pour votre fallback. Un formulaire d’inscription peut effectuer un challenge léger, un formulaire de paiement peut bloquer, et une API publique en lecture seule peut simplement autoriser — le bon comportement par défaut dépend de votre tolérance au risque pour cette surface.

Puis-je l’exécuter en on-prem ?

Oui. Le collecteur et le vérificateur sont livrés sous forme d’images signées et autosuffisantes pour les clients Enterprise. Même format de profil, mêmes signaux, mêmes niveaux de risque, sans dépendance au cloud. Vous tirez les mises à jour selon votre propre calendrier, et les installations air-gapped sont prises en charge avec un bundle de mise à jour hors ligne. Parlez-nous en.

L’on-prem est généralement demandé par les secteurs réglementés — banque, santé, gouvernement — où les règles de résidence des données excluent un vérificateur hébergé. La contrepartie est opérationnelle : vous maintenez le vérificateur, tirez les mises à jour et exécutez les benchmarks de calibration. Nous fournissons le logiciel et le runbook ; votre équipe l’exploite.

Comment gérez-vous les widgets intégrés et les iframes ?

Le collecteur détecte quand il tourne dans une iframe intégrée et ajuste ce qu’il mesure — certains signaux fonctionnent encore, simplement avec moins de détails. Nous exposons le contexte intégré comme un signal honnête, jamais comme un risque automatique. Ce qui compte vraiment, c’est quand l’iframe intégrée et la page principale se contredisent, parce que c’est un indice d’automatisation bien connu. C’est vous qui décidez ce que les iframes signifient pour votre application.

L’utilisation légitime des iframes est courante — widgets de paiement, outils tiers, aperçus de contenu — et traiter les iframes comme un risque automatique bloquerait de vrais clients. La contradiction est le signal qui compte : une vraie iframe hérite d’un état cohérent de sa page parent, tandis qu’une iframe pilotée par automatisation n’en hérite souvent pas.

Que envoie le collecteur sur le réseau ?

Quand la page est scorée : un résultat scellé, quelques kilo-octets, envoyé à votre propre endpoint. Quand votre serveur le vérifie : juste ce résultat. Pas de télémétrie supplémentaire, pas de balises analytics, pas de polices récupérées ailleurs, pas d’appels tiers nulle part dans le chemin. Le résultat scellé est l’unique charge utile — et vous pouvez l’ouvrir localement pour voir exactement ce qu’il contient.

Vous pouvez tout confirmer dans le panneau réseau de votre navigateur pendant l’intégration. La seule requête que fait le collecteur est vers votre propre endpoint same-origin. Rien ne va chez Noxtica depuis le navigateur pendant la collecte ; la vérification se produit plus tard, de serveur à serveur, depuis votre backend.

Puis-je personnaliser les seuils de risque ?

Oui. Les paramètres par défaut sont volontairement conservateurs (voir principe 03). Vous pouvez ajuster le déclenchement de chaque niveau, par clé, dans la console opérateur. Le réglage se fait au niveau du seuil plutôt qu’au niveau des paramètres internes du modèle — nous ne voulons pas que des clients individuels remodèlent le modèle de façon à s’éloigner du benchmark de calibration.

Si vous avez besoin d’un réglage plus profond, c’est une conversation Enterprise. Nous le prenons en charge pour les déploiements on-prem, où le benchmark peut être ré-exécuté sur votre propre trafic.

Quelle est la différence entre Noxtica et un CAPTCHA ?

Un CAPTCHA demande à l’utilisateur de prouver qu’il est humain. Noxtica demande au navigateur de se décrire, puis pèse cette description par rapport à la population au sens large. Les deux sont complémentaires, pas interchangeables.

De nombreuses intégrations utilisent Noxtica pour décider si afficher un CAPTCHA. Une session suspecte reçoit le challenge ; une session propre ne le reçoit pas. Cette combinaison supprime le CAPTCHA pour la grande majorité des vrais utilisateurs, qui ne le voient jamais.

Lectures complémentaires

Démarrage — le guide d’intégration pas à pas.
Runtime de navigateur — ce que fait le collecteur au moment de la collecte.
Intégration backend — comment fonctionne la vérification sur votre serveur.
Catégories de menaces — ce que nous détectons et pourquoi.