Google Cloud Fraud Defense, la prochaine évolution de reCAPTCHA

 (cloud.google.com)
1 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Google Cloud a lancé Google Cloud Fraud Defense, présenté comme la prochaine évolution de reCAPTCHA et comme une plateforme de confiance pour le web agentique
  • Fraud Defense est conçu pour vérifier la légitimité des bots, des humains et des agents IA, et pour fournir aux entreprises l’intelligence nécessaire afin de protéger les interactions numériques et le commerce
  • Grâce à un nouveau tableau de bord et à un moteur de politiques agentiques, il permet de mesurer, classer et contrôler l’activité agentique sur les sites web, avec la possibilité d’autoriser ou de bloquer selon le score de risque, le type d’automatisation et l’identité de l’agent
  • Lorsqu’un comportement potentiellement frauduleux est identifié chez un agent, un challenge basé sur un code QR permet à un humain d’intervenir pour prouver sa présence, avec l’objectif de rendre la fraude automatisée économiquement difficile
  • Les clients reCAPTCHA existants deviennent automatiquement des clients Fraud Defense, sans migration, sans action supplémentaire ni changement de tarif, tout en conservant les clés de site et les intégrations existantes

Une plateforme de confiance pour le web agentique

  • Google Cloud a lancé Google Cloud Fraud Defense lors de Google Cloud Next
  • Fraud Defense est la prochaine évolution de reCAPTCHA, une plateforme de confiance pour le web agentique (agentic web)
  • Les agents IA autonomes peuvent renforcer les interactions en ligne en utilisant le web public et des protocoles standards du secteur pour raisonner, planifier et exécuter des transactions complexes, mais ils créent aussi de nouveaux vecteurs d’abus et de fraude
  • Fraud Defense s’appuie sur des signaux globaux utilisés pour protéger l’écosystème propre à Google afin d’aider les entreprises à offrir des expériences fiables aussi bien aux utilisateurs humains qu’aux agents IA

Mesure et contrôle du trafic agentique

  • Fraud Defense fournit un ensemble de fonctionnalités permettant aux clients de mesurer et de contrôler l’activité agentique sur leurs sites web

  • Mesure de l’activité agentique

    • Un nouveau tableau de bord permet de mesurer et de comprendre l’activité agentique
    • Il identifie, classe et analyse le trafic agentique en combinant des standards du secteur comme Web Bot Auth et SPIFEE avec des méthodes existantes
    • Il relie l’identité des agents à l’identité humaine pour mieux évaluer le risque et la confiance

  • Moteur de politiques agentiques

    • Il offre un contrôle plus fin à différentes étapes de l’interaction avec l’utilisateur final et sur l’ensemble du parcours
    • Le moteur de politiques agentiques de Fraud Defense permet d’autoriser ou de bloquer des agents et des utilisateurs selon des conditions comme le score de risque, le type d’automatisation et l’identité de l’agent

  • Challenges résistants à l’IA

    • Lorsqu’un comportement potentiellement frauduleux est détecté chez un agent, le fournisseur de l’application peut dissuader et atténuer les requêtes malveillantes grâce à un nouveau challenge basé sur un code QR
    • Ce challenge demande à un humain d’intervenir pour prouver sa présence, et vise à rendre la fraude automatisée économiquement impossible

Impact pour les clients reCAPTCHA existants

  • reCAPTCHA reste le pilier central de défense contre les bots au sein de la plateforme Fraud Defense plus large
  • Les clients reCAPTCHA existants deviennent automatiquement des clients Fraud Defense
  • Aucune migration n’est nécessaire, aucune action supplémentaire n’est requise, et il n’y a pas de changement de prix
  • Les clés de site et les intégrations existantes restent exactement identiques à aujourd’hui

Trois approches pour le web agentique

  • Sur le web agentique, empêcher la fraude et les abus doit fondamentalement déboucher sur une expérience client plus simple
  • Fraud Defense s’appuie sur trois approches pour rendre possible un web agentique sûr et soutenir la croissance des entreprises

  • Prévenir les menaces en évolution

    • Fraud Defense protège les entreprises avec l’intelligence anti-fraude utilisée pour sécuriser les différents services de Google
    • Alors que les menaces évoluent de l’automatisation par bots et du trafic invalide vers la compromission d’agents et la fraude à grande échelle par identités synthétiques pilotées par l’IA, il identifie les nouvelles menaces avant qu’elles n’atteignent le site
    • Cette visibilité repose sur un vaste graphe d’intelligence anti-fraude qui protège déjà 50 % des entreprises du Fortune 100 et plus de 14 millions de domaines dans le monde
    • Cela offre une immunité collective et une confiance vérifiée à un niveau difficile à atteindre avec les seules données locales

  • Protéger le parcours client

    • Les attaquants ne ciblent pas seulement des endpoints isolés, ils visent le parcours numérique dans son ensemble
    • Cette caractéristique est encore plus marquée sur le web agentique, où des agents se voient confier l’exécution de parcours de bout en bout
    • Fraud Defense permet d’avoir une vision intégrée des risques, de l’inscription à la connexion, au paiement puis au checkout
    • En corrélant les données de télémétrie sur l’ensemble du cycle de vie, il identifie des campagnes de fraude complexes à plusieurs étapes que des solutions ponctuelles cloisonnées laissent échapper
    • Ce modèle de confiance unifié distingue l’activité légitime des clients des abus sophistiqués et aurait réduit en moyenne de 51 % les prises de contrôle de comptes (ATO)

  • Accélérer la croissance de l’entreprise

    • Dans l’économie agentique, les frictions réduisent la conversion
    • Fraud Defense est conçu pour rester invisible pour la plupart des utilisateurs, en remplaçant les énigmes intrusives par une vérification discrète en arrière-plan
    • Il utilise un modèle de confiance intelligent pour bloquer avec précision les bots, humains et agents malveillants tout en laissant passer les utilisateurs légitimes
    • Selon le 2025 Shopify Retail Report, les assistants d’achat IA devraient augmenter de 25 % la valeur moyenne des commandes

Autres moyens d’en savoir plus

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Commentaires sur Hacker News

  • Les exigences pour les appareils mobiles sont indiquées ici : https://support.google.com/recaptcha/answer/16609652
    On dirait qu’à l’avenir, pour naviguer sur le web, il faudra un appareil Android récent avec Google Play Services installé, ou un iPhone/iPad récent
    La vérification de l’intégrité de l’appareil n’est pas encore mentionnée, mais la direction semble déjà évidente

    • Si Google Play Services fait partie des exigences, il faut comprendre qu’un appareil Android certifié capable de fournir une attestation Play Integrity sera nécessaire
      C’est la seule voie officiellement prise en charge pour obtenir Google Play Services
      Dans ce type de documentation d’assistance grand public, ils n’entrent généralement pas dans les détails d’implémentation comme l’API utilisée, et même si MEETS_DEVICE_INTEGRITY est requis, il est probable que cela ne soit pas indiqué ici
      Par exemple, la documentation grand public de Google Pay dit seulement qu’il faut un appareil Android “certifié” et un verrouillage d’écran : https://support.google.com/wallet/answer/12200245
      Si on fouille jusqu’à la fin de la FAQ, on voit bien que les téléphones rootés ne peuvent pas utiliser le paiement sans contact, mais cette exigence est déjà incluse dans l’exigence de certification [1]
      Du point de vue de Google aussi, à cause des marques déposées enregistrées par Google, Android == Google Android sur le plan juridique
      Si cette fonctionnalité n’utilise pas d’attestation d’appareil, elle sera facile à tromper et n’aura pas beaucoup d’intérêt ; j’imagine qu’ils ne l’utiliseront peut-être pas au début, puis commenceront à l’introduire via des A/B tests dans les prochaines années
      [1] “What to do if you see device is not certified” -> développer “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • Mon aventure avec GrapheneOS va devenir encore plus palpitante
      C’est vraiment violent de pousser les utilisateurs vers la procédure officielle de vérification d’identité de Google simplement pour naviguer sur le web
      L’app reCAPTCHA sur iPhone impose aussi la connexion à un compte Google ?
      Apparemment, pour que le web perde son anonymat, il n’a même pas fallu aller jusqu’à la vérification d’identité
    • Cette approche semble aussi nécessiter d’activer le Bluetooth sur les deux appareils
      C’est au moins le cas pour la fonction qui consiste à scanner sur son téléphone le QR code affiché sur l’ordinateur afin de s’authentifier avec une passkey, et ça a l’air similaire ici
      Le Bluetooth sert à vérifier que les deux appareils sont bien physiquement au même endroit
    • Si vous voulez recevoir du trafic sur votre site web, il faudra peut-être désormais arrêter d’utiliser reCAPTCHA
      Bien sûr, tout le monde se soumettra docilement, mais laissez-moi rêver quelques minutes
    • Je dis depuis des années que naviguer sur le web avec un smartphone n’a aucun sens
      Quand la situation deviendra suffisamment mauvaise, les gens finiront par être d’accord avec moi

  • J’ai du mal à croire qu’on fasse la promotion d’un défi basé sur un QR code comme d’une méthode “agentique” de défense contre la fraude
    Faire saisir à des humains des données qu’ils ne peuvent pas lire est dangereux, et s’il suffit qu’un QR code soit contaminé par une URL zero-day pour tout faire dérailler, c’est la catastrophe
    Je sais bien que les QR codes sont partout aujourd’hui, mais les scanner aveuglément pour accéder à une URL revient à peu près à exécuter un binaire téléchargé sur Internet
    Le mode d’installation curl $URL | bash est fondamentalement du même ordre, mais il s’est répandu malgré tout

  • Je n’achèterai pas auprès d’une entreprise qui exige de scanner un QR code pour acheter

    • En Chine, ça risque de ne pas tenir longtemps
      Là-bas, on paie en pratique partout en scannant un QR code
    • Beaucoup de restaurants obligent à commander par QR code
      Ça a commencé pendant le Covid, mais c’est resté, et d’après mon expérience c’est encore plus fréquent hors des États-Unis
    • Ça arrive bientôt
      Les idiots de Poshmark m’ont demandé une pièce d’identité délivrée par l’État pour acheter une chemise à 35 dollars
      C’était pourtant un vieux compte, et l’adresse correspondait bien à celle de la carte bancaire
      La seule réponse possible, c’est de supprimer le compte

  • La fonction QR code a l’air de pouvoir devenir, une fois que les gens y seront habitués, un moyen de déployer Pegasus par tromperie

    • Scan du QR code → redirection automatique vers le Play Store sous prétexte que “l’app captcha” n’est pas installée → téléchargement d’un malware à cause du filtrage lamentable de Google Play → profit
      Je ne peux pas être le premier à avoir eu cette idée, si ?
    • Globalement, ça donne juste envie de soupirer, et de remercier nos “dirigeants visionnaires” d’avoir rendu chaque chose un peu pire
      Mais bon, c’est bien pour ça qu’on nous promet un paradis de l’IA, non ?
      Non ?

  • Question sérieuse : que se passe-t-il si on n’a pas de smartphone ?

    • Ça veut dire que tu es un serf et que tu n’as pas d’importance
      Pas la peine de t’inquiéter
      En partenariat avec les opérateurs, on te fournira un appareil subventionné adapté à ton budget, et on fera en sorte que tu puisses l’acheter à la moindre occasion
    • L’attitude générale de la société semble être quelque chose comme “débrouille-toi et disparais”
      Et il faudra aussi acheter un nouvel appareil
      Beaucoup de choses sont déjà réservées aux apps, ou sont en train de le devenir, y compris les voyages vers certains pays

  • Si les appareils mobiles sont désormais indispensables pour prouver qu’on est “humain”, cela signifie que Google ne fait plus confiance aux plateformes desktop / ouvertes

    • Où est-ce que c’est indiqué exactement ?
      Je ne trouve pas ça dans le texte original
    • Qui leur fait confiance, de toute façon ?
      À mes yeux, la seule plateforme desktop digne de confiance, c’est macOS

  • Le timing est quand même assez drôle
    Toute la semaine dernière, j’ai été harcelé par des CAPTCHA chaque fois que je faisais une recherche depuis la barre d’adresse, puis il y a moins de deux heures, je suis passé entièrement à DuckDuckGo
    Bien joué, Google !

  • J’essaie de réduire de plus en plus mon usage du téléphone
    Idéalement, j’aimerais même revenir à un feature phone
    Mais si tous les sites web commencent à exiger qu’on scanne un QR code avec un smartphone certifié, ce genre de stratégie deviendra pratiquement impossible

    • C’est une raison de plus pour que davantage de gens réalisent rapidement qu’il existe des alternatives à cette vie centrée sur le téléphone dans laquelle ils vivent
      Posséder un téléphone portable n’est pas une obligation, et ne doit pas le devenir
      Les responsables politiques doivent aussi ouvrir les yeux

  • Google veut clairement que seuls les modèles approuvés par Google puissent circuler sur le web