Cette traduction est générée automatiquement et en attente de relecture. Passer à l'anglais
Tableau de bord

Cas d’usage

À quoi ressemble le succès, en trois tranches de trafic de production réel.

Les chiffres dans notre section résultats — une baisse médiane des chargebacks d’environ 47 %, un taux de faux positifs inférieur à un demi-pourcent, une vérification en quelques millisecondes — proviennent d’intégrations comme celles ci-dessous. Les cas présentés ici sont des composites anonymisés ; les patterns sont réels.

Marketplaces

Le problème : des réseaux de faux comptes créant des dizaines de comptes pour faire du bombing d’avis, manipuler les classements de vendeurs ou abuser des promotions de bienvenue.

Le signal : douze comptes créés en deux heures, tous depuis des connexions différentes — mais avec des signes de navigateur et d’altération pointant vers un seul cluster automatisé.

Comment le signal s’amplifie

Une seule inscription depuis une connexion domestique sur un vrai navigateur est sans intérêt. Douze inscriptions depuis douze connexions domestiques différentes, sur ce qui ressemble au même navigateur automatisé avec la même signature d’altération, c’est un réseau de faux comptes.

Les catégories qui se déclenchent ensemble ici :

  • Automatisation et bots (01) — signatures de navigateur headless sur chaque compte.
  • Altération d’empreinte (02) — tests de rendu qui ne correspondent pas à la version de navigateur revendiquée.
  • Abus d’infrastructure (03) — proxies résidentiels vendus par un opérateur de fraude connu.
  • Anomalies comportementales (06) — formulaires d’inscription remplis selon des patterns identiques, avec le même timing.

Aucune catégorie isolée ne signalerait le réseau. Le score de risque combiné, si.

La politique

La marketplace bloque au niveau supérieur — le réseau, pas les clients — et passe à la vérification par téléphone quand le risque est élevé et la confiance solide. Tout le reste passe sans friction. En pratique, toute la politique tient en quelques lignes de code lisant le niveau de risque que Noxtica retourne.

Le résultat

Les inscriptions frauduleuses chutent d’environ 70 % dans le mois suivant l’intégration. Le taux de conversion des inscriptions de vrais clients reste inchangé.

Services financiers

Le problème : la fraude sans présentation de carte, notamment les attaques de prise de contrôle de compte où l’attaquant possède les détails de la carte mais pas les appareils connus du titulaire.

Le signal : une session dont le profil ne correspond pas aux appareils connus du titulaire. La réponse est une vérification renforcée, pas un blocage pur et simple. Les vrais clients ne voient aucune friction ; les réseaux de fraude voient une vérification supplémentaire à chaque transaction.

Comment le signal s’amplifie

La fraude sans présentation de carte utilise de plus en plus de vraies coordonnées de carte volées sur des appareils contrôlés par l’attaquant. L’appareil est le différenciateur. Nous conservons un profil par client ; quand une transaction arrive depuis un profil que nous n’avons pas vu pour ce client, nous le signalons.

Les catégories qui se déclenchent ensemble ici :

  • Vérifications matérielles (05) — le nouvel appareil peut avoir une signature graphique, audio ou mémoire différente.
  • Abus d’infrastructure (03) — les réseaux de fraude se trouvent souvent derrière des routes de centres de données même quand ils utilisent des proxies résidentiels en façade.
  • Anomalies comportementales (06) — le timing du paiement qui ne correspond pas à l’historique du titulaire.

Le signal de nouvel appareil seul n’est pas malveillant — les clients achètent des téléphones, remplacent des ordinateurs, réinstallent des systèmes d’exploitation. Nous le pondérons par rapport aux autres catégories pour distinguer « client sur un nouvel appareil » de « attaquant avec des coordonnées volées ».

La politique

Un client qui revient sur un appareil connu, en dessous du niveau supérieur, passe directement sans friction. Quand le risque est élevé — ou qu’un nouvel appareil apparaît sur une transaction inhabituellement importante — la session reçoit une vérification renforcée plutôt qu’un blocage pur et simple. Le biais est toujours vers laisser les vrais clients compléter leur achat.

Le résultat

Les pertes par chargeback chutent d’environ 45 à 50 % dans les trois mois. La vérification renforcée n’est vue que par une petite fraction des transactions, et la grande majorité d’entre elles se complètent avec succès — de vrais clients passant la vérification.

Plateformes sensibles à l’identité

Le problème : les plateformes sans mot de passe et en single-sign-on doivent confirmer que l’entité cliquant sur un lien de connexion est la même que celle qui l’a demandé. Les kits de phishing et les services de relai de liens brisent cette hypothèse.

Le signal : un lien cliqué depuis un profil différent de celui qui l’a demandé déclenche une étape de vérification supplémentaire. Les kits de phishing et les services de relai de liens sont arrêtés à cette porte.

Comment le signal s’amplifie

Quand un lien de connexion est demandé, nous enregistrons le profil demandeur. Quand le lien est cliqué, nous re-vérifions le profil et le comparons. S’ils correspondent — même navigateur, même appareil — le lien s’authentifie automatiquement. S’ils ne correspondent pas, nous traitons le clic comme une session différente et exigeons une étape de vérification supplémentaire.

Les catégories qui se déclenchent ensemble ici :

  • Altération d’empreinte (02) — les kits de phishing utilisent souvent des navigateurs headless dont les profils ne correspondent pas à l’appareil réel de l’utilisateur.
  • Anomalies comportementales (06) — le délai entre la demande et le clic, la source du trafic et l’évolution de la session comptent tous.
  • Abus d’infrastructure (03) — les services de relai de liens tournent typiquement depuis une infrastructure cloud.

La politique

Si l’appareil qui clique correspond à l’appareil qui a demandé le lien, le lien de connexion fonctionne automatiquement. S’il ne correspond pas, la plateforme exige un second facteur avant de laisser passer la session. La vérification de correspondance est une simple comparaison avec le profil enregistré au moment de l’émission du lien.

Le résultat

Le succès du phishing contre les campagnes de liens de connexion chute considérablement — typiquement une réduction de plus de 90 % des attaques de relai de credentials réussies. Les vrais utilisateurs qui changent légitimement d’appareil voient une étape de vérification supplémentaire, puis rejoignent la liste des appareils de confiance pour les liens futurs.

Schéma : quand bloquer, quand challenger

Dans les trois cas d’usage, la structure de la politique est la même :

  1. Risque critique — bloquer avec journalisation. Ces sessions ne valent pas le coût d’un challenge.
  2. Risque élevé — challenger : vérification renforcée, second facteur ou revue manuelle. Les vrais clients passent ; les bots non.
  3. Risque moyen — observer. Journaliser la session et la remonter dans le tableau de bord, mais ne pas ajouter de friction.
  4. Risque faible ou minimal — autoriser. La grande majorité du trafic.

Ces quatre actions s’associent au modèle de risque en cinq niveaux : les deux niveaux les plus bas se réduisent tous deux à « autoriser » pour presque tout le monde, mais les conserver séparés est utile dans le tableau de bord pour comprendre où se situe votre population.

Lectures complémentaires