Catégories de menaces

Six catégories de menaces. Chacune réglée pour détecter l’automatisation, la fraude et les abus — sans bloquer injustement de vrais clients.

La détection n’est pas un seul vérification. La fraude réelle mélange automatisation, infrastructure et comportement. Nous associons chaque catégorie au type de décision que votre équipe prend réellement — bloquer, challenger, autoriser, observer.

Les catégories vont grossièrement du « bruyant » — automatisation clairement malveillante — au « discret » — signaux comportementaux subtils. Ce sont des entrées indépendantes vers le même score de risque calibré. Une session peut être signalée par une catégorie, plusieurs, ou aucune.

01. Automatisation et bots

Navigateurs headless, frameworks d’automatisation et abus scriptés — y compris les variantes « stealth » conçues pour échapper à la détection. La voie rapide et la voie lente sont toutes deux détectées.

Ce que nous cherchons

• Les navigateurs invisibles et headless, et la famille de correctifs furtifs qui tentent de les dissimuler.
• Les empreintes que les frameworks d’automatisation laissent, même après avoir tenté de couvrir leurs traces.
• Les signes qu’une session est pilotée par un outil de contrôle à distance plutôt que par une personne.
• Les contradictions internes qui trahissent un script se faisant passer pour un vrai navigateur.

Résultat

Reconnaître le trafic automatisé avant qu’il n’atteigne la connexion, l’inscription ou le paiement.

Réglage

La pondération par défaut ici est forte — le trafic automatisé qui survit à nos vérifications est le signe le plus fiable d’intention malveillante dans tout le modèle. Si vous avez un cas d’usage d’automatisation légitime, comme la surveillance de disponibilité ou le reporting planifié, mettez-le en liste blanche par clé plutôt que d’assouplir les pondérations pour tout le monde.

02. Altération d’empreinte

Les sessions où le navigateur ment sur lui-même. Tests de rendu falsifiés, comportement de navigateur manipulé, outils anti-fingerprint utilisant des contre-mesures agressives.

Ce que nous cherchons

• Un résultat de test de rendu qui ne correspond pas au navigateur et au système d’exploitation que la session prétend être.
• Une signature graphique qui contredit le reste de ce que l’appareil rapporte.
• L’identité déclarée du navigateur en désaccord avec ce qu’il restitue réellement.
• Le résidu laissé par les outils anti-fingerprint agressifs.

Résultat

Détecter les tentatives d’évasion délibérées sans bloquer les choix vie privée honnêtes.

Réglage

Nous distinguons mentir de se protéger. Un utilisateur de navigateur vie privée a un profil cohérent et déclaré — cela produit un signal de navigateur vie privée (voir 04), pas un signal d’altération. L’altération signifie que la session prétend être une chose tandis que tout le reste dit qu’elle en est une autre.

03. Abus d’infrastructure

Le trafic depuis des centres de données, des proxies anonymisants, des comportements réseau obsolètes et des plages connues comme malveillantes. Nous signalons les patterns sans bloquer les vrais utilisateurs qui se trouvent sur un VPN d’entreprise.

Ce que nous cherchons

• Le trafic depuis les principaux fournisseurs cloud — les voies de fraude en gros.
• Les plages connues comme mauvaises issues de flux de renseignements sur les menaces, y compris les proxies résidentiels vendus à des réseaux de fraude.
• Des comportements réseau obsolètes ou dégradés suggérant un chaînage de proxies.
• Des signaux de fuseau horaire, langue et localisation qui se contredisent — signe qu’un proxy réécrit la surface mais pas la session sous-jacente.

Résultat

Identifier le signal de fraude en gros — sans se tromper sur les travailleurs à distance.

Réglage

Le trafic depuis un centre de données n’est pas automatiquement malveillant. Un VPN d’entreprise, un employé sur un espace de travail cloud, un journaliste derrière un relai hébergé — tous peuvent paraître « infrastructure signalée » sans être malveillants. Nous le traitons comme un signal faible qui n’escalade que lorsqu’il est combiné avec d’autres catégories.

04. Gestion des navigateurs vie privée

Les navigateurs vie privée reconnus, traités avec une indulgence calibrée. Les utilisateurs soucieux de leur vie privée restent les bienvenus ; les bots se cachant derrière des navigateurs vie privée ne le sont pas.

Ce que nous cherchons

• Les formes connues des navigateurs vie privée populaires.
• La cohérence plutôt que l’altération — un vrai navigateur vie privée produit un profil stable que nous pouvons reconnaître.
• Une vérification croisée avec les signaux matériels (05) et comportementaux (06) pour distinguer un humain soucieux de sa vie privée d’un bot se cachant derrière le même navigateur.

Résultat

Accueillir les utilisateurs vie privée légitimes tout en continuant à détecter les acteurs se dissimulant parmi eux.

Réglage

C’est l’une des catégories les plus importantes pour la prévention des faux positifs. Le paramètre par défaut est d’autoriser les navigateurs vie privée reconnus. Le scoring réseau et infrastructure s’applique toujours, mais nous supprimons les signaux de « faible détail » qui se déclencheraient autrement à tort sur le profil délibérément uniforme d’un navigateur vie privée.

05. Vérifications matérielles

Les vérifications au niveau de l’appareil détectent les émulateurs, les machines virtuelles et les attaques de rejeu. Les bots qui passent les vérifications uniquement basées sur le navigateur échouent à la vérification matérielle.

Ce que nous cherchons

• Les signatures graphiques qui révèlent un rendu logiciel — souvent une machine virtuelle ou un émulateur plutôt qu’un vrai appareil.
• Des capacités graphiques qui ne correspondent pas au matériel revendiqué par l’appareil.
• Des signatures audio qui révèlent un vrai chemin audio par opposition à un chemin simulé.
• Les caractéristiques quotidiennes qu’une vraie machine possède mais qu’un conteneur jetable fraîchement créé n’a souvent pas.

Résultat

Vérifier que l’appareil est ce qu’il prétend être — pas seulement le navigateur qui tourne dessus.

Réglage

Le matériel est le signal le plus fort que nous ayons, et le plus coûteux à falsifier à grande échelle. Les réseaux de fraude peuvent louer des proxies résidentiels pour pas cher ; ils ne peuvent pas louer des millions de vrais appareils pour pas cher. Nous pondérons les disparités matérielles en conséquence.

06. Anomalies comportementales

Les patterns de souris, clavier, défilement et timing post-challenge. La forme d’un vrai utilisateur — et la forme d’un utilisateur automatisé — diffèrent jusqu’à la milliseconde.

Ce que nous cherchons

• Mouvement de souris : les humains ont du tremblement, des micro-corrections et des limites naturelles de vitesse. Les scripts tracent souvent des lignes droites et parfaitement lisses.
• Rythme de frappe : la frappe réelle varie ; la saisie programmatique tend à tomber dans une fenêtre suspecte étroite.
• Défilement : le défilement réel décélère naturellement ; le défilement programmatique souvent pas.
• Timing après un challenge : les humains font une pause ; les scripts continuent immédiatement.

Résultat

Détecter les sessions qui semblent humaines sur le papier mais ne se comportent pas comme une personne.

Réglage

Les signaux comportementaux sont les plus discrets du modèle. Ils font la différence entre une session qui passe toutes les autres catégories et une qui semble quand même suspecte. Nous les utilisons pour escalader des sessions autrement propres, pas comme signal de blocage primaire — juger uniquement sur le comportement pénaliserait les utilisateurs avec des différences motrices, des technologies d’assistance ou simplement des habitudes inhabituelles.

Comment les catégories se combinent

Chaque catégorie produit un score de risque calibré et une mesure de confiance — pas un verdict. Votre équipe est propriétaire de la politique finale. Nous nous assurons simplement que les entrées sont honnêtes.

Le flux est simple : le navigateur collecte le profil, les six catégories pèsent chacune, ces entrées pondérées se combinent en un seul niveau de risque calibré, et votre code décide quoi faire — bloquer, challenger ou autoriser.

La mesure de confiance reflète la quantité de matière que la session nous a réellement fournie. Une session qui a passé seulement quelques secondes sur la page nous en dit moins qu’une avec une minute complète d’interaction, quel que soit son niveau de risque.

Lectures complémentaires

• Pourquoi la calibration, pas les verdicts — la philosophie derrière ces catégories.
• Principes d’ingénierie — les contraintes opérationnelles qui se manifestent dans chaque seuil.
• Détails du runtime de navigateur — la surface côté collecteur pour chaque catégorie.
• Foire aux questions — questions courantes sur le comportement des catégories.