MAISON CODE .
/ Security · Fraud · Risk · Payments

Analyse de la fraude : apprentissage automatique contre le cartel

Comment détecter les cartes de crédit volées, les adresses IP proxy et les réseaux de criminalité organisée à l'aide de Shopify Shield et de modèles ML personnalisés.

AB
Alex B.
Analyse de la fraude : apprentissage automatique contre le cartel

Une commande de 5 000 € arrive. Adresse de livraison : Miami (transitaire). Adresse de facturation : Nigéria. Adresse IP : Kansas (VPN). Est-ce une fraude ? Probablement. Mais que se passe-t-il s’il s’agit d’un diplomate nigérian légitime qui répertorie un réexpéditeur à Miami ? Si vous l’annulez, vous perdez 5 000 €. Si vous l’expédiez, vous obtenez une rétrofacturation et payez \€5 000 + \€15 de frais. L’analyse de la fraude est l’art de la probabilité.

Pourquoi Maison Code en parle

Chez Maison Code Paris, nous agissons comme la conscience architecturale de nos clients. Nous héritons souvent de stacks “modernes” construites sans compréhension fondamentale de l’échelle.

Nous abordons ce sujet car il représente un point de pivot critique dans la maturité de l’ingénierie. Une mise en œuvre correcte différencie un MVP fragile d’une plateforme résiliente de niveau entreprise.

Les signaux

Shopify fournit « fraud_analysis » sur chaque commande.

  • avs_code : système de vérification d’adresse (le Zip correspond-il à la banque ?).
  • cvv_code : valeur de vérification de la carte.
  • ip_distance : Distance entre l’IP et l’adresse de facturation.

Workflows automatisés (Shopify Flow)

Nous n’examinons pas manuellement chaque commande. Nous avons mis en place des règles Shopify Flow.

  • Drapeau rouge : Si le niveau de risque = élevé -> Annulation automatique.
  • Drapeau jaune : si niveau de risque = moyen ET valeur > \€500 -> conserver pour examen. Envoyer une alerte Slack.
  • Drapeau vert : paiement de capture automatique.

3D sécurisé (3DS)

La mise en page. Si vous activez 3D Secure (Verified by Visa), la responsabilité est transférée à la banque. Même si la carte est volée, vous gardez l’argent. La Banque absorbe la perte. Cependant, la 3DS réduit la conversion d’environ 5 %. Stratégie : Déclenchez 3DS uniquement pour les commandes à haut risque. (Voir Paiements mobiles pour Apple Pay qui est en fait 3DS).

Empreinte digitale de l’appareil

Les fraudeurs professionnels suppriment les cookies. Nous utilisons Device Fingerprinting (par exemple, Sardine, Sift). Il regarde :

  • Niveau de batterie.
  • Résolution d’écran.
  • Polices installées. Si nous voyons 50 commandes de noms différents mais avec exactement le même hachage d’appareil, il s’agit d’un anneau de robot. (Voir Bot Mitigation).

Fraude amicale

“Je n’ai pas commandé ça.” (Client menteur). C’est difficile à battre. Défense :

  • Signature à la livraison (FedEx).
  • Preuve de livraison avec photo.
  • Générateur de preuves de litige : automatisez l’exportation PDF des journaux d’accès indiquant l’adresse IP et l’adresse e-mail de l’utilisateur au moment de l’achat.

6. Contrôles de vitesse (le piège à vitesse)

Les humains achètent lentement. Les robots achètent rapidement. Un utilisateur ne peut pas passer 10 commandes en 1 minute. Vérifications de vitesse bloc basé sur le temps.

  • “Max 1 commande toutes les 5 minutes par IP”.
  • “Max 3 cartes de crédit différentes par heure et par session”. Cela empêche les attaques de « test de cartes », dans lesquelles un voleur achète des articles à 1 € pour vérifier si les cartes volées fonctionnent. (Voir Limitation de débit).

7. Fraude au remboursement (The Silent Killer)

“J’ai rendu la boîte.” (C’était vide). “Je n’ai jamais reçu de remboursement.” (Ils l’ont eu deux fois). C’est plus difficile à détecter car cela se produit après l’achat. Défense :

  1. Contrôle du poids : vérifiez que le poids du colis retourné correspond au poids sortant.
  2. Adjudication du remboursement : Ne remboursez pas automatiquement les articles de grande valeur. Nécessite une inspection humaine.
  3. Liste noire : si un utilisateur rembourse > 50 % des commandes, licenciez le client.

9. Le tableau de bord de l’évaluation humaine

Vous ne pouvez pas tout automatiser. Parfois, le modèle indique « 50 % de fraude ». Il faut un humain pour le regarder. Nous créons des tableaux de bord Retool personnalisés pour les équipes de gestion des risques. Ils voient :

  • Carte de l’IP par rapport à l’adresse de facturation.
  • Recherche sur les réseaux sociaux (automatisée via Clearbit).
  • Historique des commandes passées dans le monde. Un clic : “Approuver” (Captures Stripe) ou “Rejeter” (Voids Auth). Cela permet à votre équipe CS de prendre des décisions basées sur les données.

10. Apprentissage automatique : rétrofacturation ou vente

Les règles standard se comportent comme : “Si > 500 €, alors bloquez.” ML se comporte comme : “Si > 500 € ET l’e-mail contient des chiffres ET l’IP est VPN, alors la probabilité est de 92 %.” Nous formons des modèles personnalisés sur vos données historiques. Nous alimentons les « Chargebacks » comme étiquettes positives et les « Commandes réussies » comme étiquettes négatives. Le modèle apprend des modèles dont vous ignoriez l’existence. “Les commandes de chaussures taille 11 en provenance de Brooklyn à 2 heures du matin sont frauduleuses à 80 %.“

11. Le triangle de rétrofacturation

Lorsqu’une rétrofacturation se produit, trois parties s’affrontent.

  1. La Banque : Veut protéger le titulaire de la carte (son client).
  2. Le commerçant (vous) : veut garder l’argent.
  3. Le système de cartes (Visa) : Détermine les règles. Pour gagner, vous devez fournir des « preuves convaincantes » (Visa Compelling Evidence 3.0). Cela implique de relier l’historique des transactions précédentes. “Oui, l’utilisateur X a revendiqué une fraude, mais voici 10 commandes précédentes provenant de la même adresse IP et du même identifiant de périphérique.” L’automatisation de cette soumission de preuves via l’API Stripe augmente les taux de victoire de 20 % à 60 %.

12. Adjudication du remboursement 2.0

Tous les remboursements ne sont pas égaux. Un VIP qui retourne une taille M pour acheter une taille L est “Good Churn”. Un nouvel utilisateur qui renvoie une PS5 s’appelle “Bad Churn”. Nous utilisons une logique de remboursement basée sur les risques.

  • VIP : “Remboursement instantané” (Argent en banque en 5 minutes).
  • Nouvel utilisateur : “Remboursement après inspection” (Argent en banque dans 7 jours). Cette friction décourage le « garde-robe » (acheter pour un événement et revenir).

13. Fraude à l’identité synthétique

C’est la nouvelle frontière. Les fraudeurs combinent des données réelles (SSN d’un enfant) avec de fausses données (Adresse, Téléphone). Cela crée une « identité Frankenstein ». Les contrôles traditionnels réussissent parce que le SSN est valide. Défense : biométrie comportementale. Comment l’utilisateur tape-t-il ? Est-ce qu’ils copient-collent le numéro de téléphone ? (De vraies personnes le tapent). Est-ce qu’ils hésitent sur le champ “Nom” ? (Les vraies personnes ne le font pas). Nous intégrons des outils comme Forter ou Sardine qui analysent les données de mouvement de la souris/écran tactile pour détecter ces profils synthétiques.

12. Pourquoi Maison Code ?

Chez Maison Code, nous avons défendu des baisses de plusieurs millions de dollars. On connaît la panique d’une attaque de type « Card Testing » à 3 heures du matin. Nous ne nous appuyons pas sur les paramètres Shopify par défaut (qui sont trop lâches). Nous construisons des moteurs de risque personnalisés. Nous superposons Cloudflare (réseau), Shopify Flow (règles) et 3rd Party ML (Sardine) pour créer un « dôme de fer » pour vos paiements. Nous veillons à ce que vous conserviez vos revenus et que votre taux de rétrofacturation reste inférieur à 0,5 %.

14. L’anatomie d’un testeur de cartes

Le « test de cartes » consiste à essayer 10 000 cartes de crédit pour voir lesquelles fonctionnent. Ils n’achètent pas votre veste à 500 €. Ils essaient d’acheter un autocollant à 1 €. Si cela fonctionne, ils vendent la carte sur le dark web sous le nom de « Live ». Impact sur vous :

  1. Frais Stripe : vous payez \€0,30 par échec d’authentification. 10 000 tentatives = \€3 000 de frais.
  2. Réputation : Visa signale votre compte marchand comme « à haut risque ». Défense : Captcha à la caisse. Si l’IP passe > 3 commandes échouées, exigez hCaptcha. Cela tue l’efficacité du bot (ROI < 0).

15. Le protocole de révision manuelle

Parfois, l’IA ne suffit pas. Vous avez besoin d’un protocole humain. La checklist pour une commande suspecte :

  1. Appelez le client : “Bonjour, je vérifie juste la taille.” (Si le numéro est mort -> Fraude).
  2. Domaine de messagerie : john.doe@gmail.com (Normal) vs af3289@tempmail.com (Fraude).
  3. Preuve sociale : « John Doe » existe-t-il sur LinkedIn à « Miami » ?
  4. Street View : l’adresse de livraison est-elle une maison ou un entrepôt dans un parc industriel ? Une enquête de 2 minutes permet d’économiser 2 000 €.

16. La liste de contrôle antifraude (avant le vol)

Avant de passer à 10 millions de dollars de GMV, assurez-vous d’avoir ces 20 contrôles :

  1. CVV Match Enforced : Rejeter si le CVV ne correspond pas.
  2. AVS Match Enforced : Rejeter si le Zip ne correspond pas (Soft relax pour l’international).
  3. Velocity Check 1 : 3 cartes maximum par session.
  4. Velocity Check 2 : maximum de 5 commandes par IP et par jour.
  5. Velocity Check 3 : 2 000 € maximum par client lors du paiement.
  6. Âge de l’e-mail : le domaine doit avoir plus de 30 jours (via l’API).
  7. Proxy IP : Bloquez les IP Tor/VPN lors du paiement.
  8. Distance : alerte si l’adresse IP est > 500 miles de la facturation.
  9. Valeur élevée : examen manuel des commandes > 1 000 €.
  10. SKU Velocity : Alerte si 50 unités d’un article à forte revente sont vendues en 10 minutes.
  11. 3D Secure : Activer en cas de risque élevé.
  12. Validation par téléphone : envoyez un SMS OTP pour les commandes suspectes.
  13. Normalisation de l’adresse : utilisez l’API Google Places pour vérifier que l’adresse existe.
  14. Liste noire : base de données partagée des fraudeurs connus.
  15. Capuchon de remboursement : blocage automatique de l’utilisateur après un taux de retour de 30 %.
  16. Alerte de rétrofacturation : utilisez Ethoca/Verifi pour recevoir des alertes avant la rétrofacturation.
  17. Formation des employés : l’équipe CS sait à quoi ressemble le “Test de carte”.
  18. Webhook Monitoring : surveillez « order.created » pour détecter les anomalies.
  19. Ghosting : CAPTCHA silencieux pour un comportement semblable à celui d’un robot.
  20. Juridique : des « Conditions d’utilisation » claires concernant les enquêtes sur les fraudes.

17. Conclusion

La fraude est un coût pour faire des affaires. Si votre taux de fraude est de 0%, vos filtres anti-fraude sont trop stricts (vous rejetez les bons clients). Visez 0,5%. Mais ne laissez jamais le « Cartel » gagner. Automatisez la défense. Dormez profondément.

Trop de rétrofacturations ?

Nous mettons en œuvre des moteurs de décision automatisés en matière de risques. Engagez nos Architectes.