À l’occasion de la publication de son Panorama 2025 de la fraude e-commerce en France, Oneytrust dresse un constat sans appel. La fraude est devenue industrielle, portée par des réseaux organisés et par l’usage massif de l’intelligence artificielle. Nous avons échangé avec Laure Littler, PDG, pour comprendre comment les méthodes des fraudeurs évoluent, pourquoi les contrôles traditionnels atteignent leurs limites, et comment les e-commerçants peuvent concilier lutte contre la fraude et expérience client fluide.
SNC : Votre panorama montre que la fraude e-commerce atteint désormais un niveau industriel, avec plus d’un milliard d’euros de pertes en France. Que dit ce chiffre de l’évolution de la fraude aujourd’hui ?
Laure Littler : Ce qu’il faut comprendre, c’est que la fraude a beaucoup évolué ces dernières années, notamment sous l’effet de la réglementation. En 2019, la DSP2 a été mise en place, ce qui a permis de mieux sécuriser les paiements par carte bancaire grâce à l’authentification forte, via les applications bancaires ou les SMS. Cela a fortement réduit certaines fraudes classiques. Mais en parallèle, d’autres typologies, jusque-là plus marginales, se sont développées et industrialisées. On a vu émerger la fraude au retour, mais aussi des fraudes liées à l’usurpation d’identité, à la manipulation psychologique pour récupérer des informations.
Un autre facteur clé est l’essor technologique. Les fraudeurs peuvent aujourd’hui industrialiser leurs attaques, aller beaucoup plus vite, mener des attaques plus complexes, et collaborer entre eux grâce aux réseaux.
La fraude n’est plus opportuniste. Elle est structurée, organisée, menée par des réseaux capables d’attaquer en groupe et de partager de l’information très rapidement.
Les méthodes des fraudeurs ont donc profondément changé ?
L. L. : Oui, on observe une véritable professionnalisation. On parle aujourd’hui de « fraude as a service » : des modes opératoires et des technologies frauduleuses sont packagés, vendus, échangés. Cela rend la fraude accessible à des profils qui ne sont pas nécessairement des experts. La fraude au retour en est un bon exemple. Des fraudeurs proposent ouvertement leurs services, parfois via des plateformes grand public, pas uniquement sur le dark web. Ils prennent une commission, souvent autour de 30 % de la valeur du produit, et réalisent la fraude pour le compte d’un particulier. On voit ainsi coexister des réseaux très organisés et une fraude plus diffuse, facilitée par ces services.
Vous expliquez que l’intelligence artificielle alimente aussi la fraude. Comment est-elle concrètement utilisée par les fraudeurs ?
L. L. : L’IA leur permet avant tout d’industrialiser leurs attaques. Ils peuvent tester très rapidement des paniers, des montants, identifier les failles dans les dispositifs de contrôle, là où auparavant cela demandait beaucoup plus de temps. Elle est aussi utilisée pour la création massive de fausses identités : adresses email, numéros de téléphone, profils complets, parfois accompagnés de faux documents très réalistes. Ces documents permettent de passer plus facilement certains contrôles.
On le voit également dans le phishing. Il y a quelques années, ces messages étaient faciles à repérer. Aujourd’hui, grâce à l’IA générative, les messages sont bien rédigés, contextualisés, crédibles, parfois alimentés par des données issues de fuites précédentes.
Les fraudeurs construisent des messages extrêmement convaincants, ce qui augmente fortement leur efficacité.
Votre analyse montre que les contrôles traditionnels ne suivent plus la vélocité des attaques. Pourquoi atteignent-ils leurs limites ?
L. L. : Les contrôles classiques reposent sur l’analyse de schémas habituels et la détection de ruptures, d’anomalies. On observe de grands volumes de données, des transactions, et on identifie ce qui sort de la norme. Historiquement, cela fonctionnait : une même carte utilisée plusieurs fois très rapidement, un volume anormal d’achats identiques, un pic localisé. Mais aujourd’hui, les fraudeurs changent toutes les données à chaque tentative : cartes, emails, identités, adresses. Ces indicateurs ne suffisent plus face à des réseaux industriels.
Il faut donc aller plus loin, avec des contrôles dits « invisibles », qui s’appuient sur des éléments que le fraudeur ne maîtrise pas. Par exemple, analyser l’histoire d’une identité : existe-t-elle depuis longtemps ? Est-elle cohérente dans le temps ? Y a-t-il une cohérence entre l’adresse IP, l’adresse de facturation, les comportements observés ? Nous enrichissons ce que nous voyons avec des informations externes, pour évaluer la crédibilité globale d’une identité. Ce n’est plus une simple corrélation, mais une analyse beaucoup plus fine, basée sur des algorithmes avancés.
Vous notez que la livraison express est cinq fois plus risquée que la livraison standard. La logistique est-elle devenue un angle mort ?
L. L. : Le sujet n’est pas la logistique en elle-même, mais le processus global. Le fraudeur teste tous les points d’un processus jusqu’à trouver la faille. Une fois celle-ci comblée, il en cherche une autre. La pression du marché vers toujours plus de rapidité joue un rôle clé. Paiement en quelques secondes, livraison en moins de 24 heures, parfois en 30 minutes.
Cette exigence impose des contrôles très automatisés, à tous les niveaux de la chaîne, y compris après la transaction, notamment sur les retours et les remboursements.
La logistique devient donc un point sensible, car elle implique plusieurs acteurs et des délais très courts, ce qui laisse moins de marge pour des contrôles humains.
Les points relais et consignes automatiques sont également identifiés comme des cibles privilégiées.
L. L. : Oui, parce qu’ils permettent de limiter les informations fournies par le fraudeur.
Il peut se faire livrer rapidement, utiliser une adresse de point relais, et se fondre dans un flux très important de colis. Cela rend la détection plus complexe.
Comment convaincre les e-commerçants de renforcer leurs contrôles sans dégrader l’expérience client ?
L. L. : Les e-commerçants sont conscients du problème. La difficulté n’est pas la prise de conscience, mais la complexité des processus, notamment sur les retours et les remboursements. Ce sont des processus multi-étapes, parfois partiellement manuels, qui nécessitent une bonne remontée de données. Travailler ces sujets demande du temps, des outils, et une collaboration étroite entre les équipes métiers du commerçant et des experts fraude. Il faut d’abord comprendre le processus, collecter la donnée, l’analyser, puis automatiser intelligemment.
À la lecture de votre panorama, quelle est la priorité absolue pour les e-commerçants en 2026 ?
La priorité absolue, c’est la fraude au remboursement.
C’est aujourd’hui la typologie qui progresse le plus et qui concentre une grande partie des pertes. Elle doit être traitée dans le contexte opérationnel propre à chaque acteur, en travaillant à la fois sur les processus et sur la data. L’identification des identités synthétiques est clé, car le fraudeur cherche avant tout à se cacher. L’identité digitale est donc un levier extrêmement efficace. Ensuite, il faut mettre en place des algorithmes de machine learning pour automatiser les contrôles, en complément de l’expertise humaine.
Un dernier mot sur l’équilibre entre sécurité et expérience client ?
L’enjeu central est de lutter contre la fraude sans détériorer l’expérience d’achat. Il faut proposer des parcours très fluides pour les clients de confiance, et en revanche rendre les parcours plus complexes pour les fraudeurs. C’est cet équilibre, basé sur des contrôles adaptatifs et automatisés, qui est au cœur de la lutte contre la fraude aujourd’hui, y compris sur la fraude au retour.
La pire chose serait de bloquer ou de complexifier le parcours d’un client loyal.
