La fraude sur les commandes e-commerce représente un risque financier souvent sous-estimé par les marchands débutants sur Shopify. Le scénario type : un client passe une commande avec une carte de crédit volée, le marchand expédie le produit, le véritable propriétaire de la carte conteste le paiement auprès de sa banque, la transaction est annulée, et le marchand perd à la fois le produit et l’argent. À cette perte directe s’ajoutent les frais de chargeback facturés par la banque (entre 15 et 50 € par cas) et la dégradation du ratio de chargebacks qui peut conduire à la suspension du compte marchand au-delà de 1 %. Shopify propose plusieurs outils intégrés pour détecter ces fraudes avant l’expédition, mais leur usage suppose de comprendre les signaux à surveiller et les procédures à appliquer. Chez Propuls’Lead, nous accompagnons les marchands Shopify dans la mise en place d’une politique antifraude équilibrée, parce qu’un filtrage trop strict bloque les vraies ventes et un filtrage trop laxiste expose à des pertes.
Comprendre comment Shopify Fraud Analysis évalue chaque commande
Shopify intègre par défaut un module d’analyse de fraude appelé Fraud Analysis, disponible pour toutes les commandes payées via Shopify Payments ou via certains processeurs externes. Ce module analyse chaque commande sur une vingtaine de signaux et attribue un niveau de risque global : faible, moyen ou élevé. Le résultat s’affiche directement dans la page de détail de la commande avec la liste des indicateurs qui ont contribué à l’évaluation.
Les signaux analysés couvrent quatre catégories principales. Catégorie 1 : signaux liés à la carte de paiement (correspondance entre le code postal de facturation et celui de la banque émettrice, validation CVV, historique de la carte chez Shopify). Catégorie 2 : signaux liés à l’adresse IP de l’acheteur (cohérence avec le pays de l’adresse de livraison, présence dans des listes d’IP frauduleuses connues, utilisation d’un VPN ou d’un proxy).
Catégorie 3 : signaux liés au comportement de commande (montant inhabituel par rapport aux ventes habituelles, livraison express avec adresse différente de la facturation, plusieurs tentatives de paiement échouées avant succès). Catégorie 4 : signaux liés à l’historique du compte client (premier achat avec un compte créé il y a moins d’une heure, adresses email jetables, numéros de téléphone invalides). Notre article sur sécuriser sa boutique Shopify, les bonnes pratiques que chaque marchand doit connaître revient sur le durcissement général du back-office qui complète la lutte antifraude.
Activer Shopify Protect et déléguer la garantie chargeback
Shopify Protect est un service de garantie chargeback disponible pour les marchands éligibles utilisant Shopify Payments. Il fonctionne comme une assurance : pour chaque commande éligible automatiquement protégée, Shopify rembourse le marchand en cas de chargeback frauduleux, prend en charge les frais de gestion et gère lui-même la procédure de contestation auprès de la banque. Le marchand n’a rien à faire et conserve son argent.
L’éligibilité d’une commande à Shopify Protect dépend de plusieurs critères : utilisation de Shopify Payments comme processeur, niveau de risque évalué par Fraud Analysis (les commandes à risque élevé ne sont pas couvertes), correspondance entre les informations de paiement et de livraison, présence d’un suivi de livraison avec preuve de réception. Quand une commande est éligible, un badge « Protégée » apparaît sur la page de détail, indiquant que le marchand peut l’expédier sans craindre un chargeback frauduleux ultérieur.
L’activation de Shopify Protect se fait dans Paramètres > Paiements > Shopify Protect. Le service est gratuit pour les marchands éligibles sur les plans Shopify standard, et fait partie intégrante de Shopify Plus. La couverture ne s’applique qu’aux chargebacks pour fraude (codes raison de chargeback spécifiques) et pas aux chargebacks pour produit non conforme, retard de livraison, ou litige clientèle. Ces derniers restent à la charge du marchand et nécessitent d’autres mécanismes de gestion. Notre article sur WordPress et REST API, sécuriser les endpoints qui exposent vos données revient sur les principes de sécurité applicative qui complètent la protection antifraude côté paiement.
Configurer des règles automatiques pour bloquer les commandes à risque
Au-delà de l’analyse passive de Fraud Analysis, Shopify permet de configurer des règles automatiques qui bloquent ou suspendent les commandes correspondant à certains critères. Ces règles sont accessibles via l’application Fraud Filter (gratuite, développée par Shopify) ou via des applications tierces plus avancées comme Signifyd, NoFraud, ou Riskified.
Les règles les plus utiles pour les marchands français concernent quatre types de blocage. Blocage 1 : pays interdits à la livraison. Si la boutique ne livre que dans l’Union européenne, bloquer automatiquement toute commande avec adresse de livraison hors UE évite les fraudes courantes par expéditeur tiers. Blocage 2 : montant maximum par commande. Une boutique avec panier moyen de 80 € peut bloquer automatiquement les commandes de plus de 1 000 € pour examen manuel, parce que les fraudeurs gonflent le montant des commandes pour rentabiliser leur attaque.
Blocage 3 : adresses email jetables. Des listes publiques de domaines d’emails jetables (mailinator, guerrillamail, etc.) permettent de bloquer automatiquement les commandes utilisant ces adresses, qui sont rarement légitimes en e-commerce. Blocage 4 : tentatives de paiement multiples avec différentes cartes. Une session qui essaie cinq cartes différentes en dix minutes est manifestement en train de tester des numéros volés et mérite un blocage immédiat. La règle d’or de la configuration : commencer avec des règles strictes puis assouplir au cas par cas, plutôt que l’inverse. Notre article sur scanner son site WordPress pour détecter les malwares avant qu’il ne soit trop tard revient sur la détection des compromissions qui peuvent injecter des règles malveillantes dans le tunnel de paiement.
Mettre en place un protocole de vérification manuelle avant expédition
Pour les commandes que les outils automatiques classent comme à risque moyen ou élevé, une vérification manuelle rapide permet de séparer les vraies fraudes des faux positifs. Ce protocole prend cinq à dix minutes par commande et évite à la fois les pertes par fraude et les annulations injustifiées de clients légitimes.
Étape 1 : vérification de cohérence des informations. Comparer l’adresse de facturation, l’adresse de livraison, et l’adresse IP de l’acheteur. Une commande avec carte française, livraison en Russie, et IP au Brésil mérite un blocage. Une commande avec adresse de livraison professionnelle différente de l’adresse de facturation peut être légitime (cadeau, livraison au bureau) et mérite simplement une confirmation par email. Étape 2 : recherche de l’historique de l’adresse email et du numéro de téléphone. Une recherche Google rapide sur l’email permet souvent de confirmer qu’il s’agit d’une personne réelle avec une présence en ligne cohérente.
Étape 3 : contact direct par téléphone si le doute persiste. Un appel de deux minutes permet de confirmer la réalité de la commande et lève la majorité des doutes. Les fraudeurs ne décrochent jamais. Les clients légitimes apprécient généralement la précaution. Étape 4 : documentation systématique de la décision finale dans les notes de la commande, pour permettre une analyse rétrospective des chargebacks éventuels. Cette documentation alimente l’amélioration progressive des règles automatiques. Notre article sur les plugins WordPress obsolètes, le risque de sécurité que vous ne voyez pas revient sur la veille technique qui complète la lutte antifraude au niveau applicatif.
Industrialiser la lutte antifraude dans la méthodologie PROPULSE
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, la lutte antifraude sur une boutique Shopify suit un protocole adapté au volume et au panier moyen du marchand. Profil 1 : boutique avec moins de 100 commandes par mois et panier moyen sous 100 €. Activation de Shopify Protect, règle automatique de blocage des pays hors zone de livraison, examen manuel des commandes signalées à risque élevé. Temps de gestion : quelques minutes par semaine.
Profil 2 : boutique avec 100 à 1 000 commandes par mois et panier moyen entre 100 et 500 €. Ajout de règles automatiques par montant et par adresse email jetable, examen systématique des commandes à risque moyen et élevé, abonnement à une application tierce comme NoFraud ou Signifyd pour les marchands au-dessus de 500 commandes mensuelles. Profil 3 : boutique avec plus de 1 000 commandes par mois ou panier moyen au-dessus de 500 €. Mise en place d’un système antifraude dédié avec garantie chargeback étendue, équipe interne ou consultant en charge de la revue quotidienne, intégration avec un outil de scoring comportemental.
Pour les trois profils, un tableau de bord mensuel suit trois indicateurs clés : taux de chargeback (objectif sous 0,5 %), taux de faux positifs (objectif sous 5 % des blocages), temps moyen de traitement d’une commande à risque (objectif sous 15 minutes). Sur les boutiques accompagnées, ce protocole a réduit le taux de chargeback moyen de 1,2 % à 0,3 % en trois mois, avec un taux de faux positifs acceptable.
Ce qu’il faut retenir sur la prévention de la fraude Shopify
La fraude sur Shopify se gère par une combinaison d’outils automatiques et de vérification manuelle ciblée. Cinq points clés à retenir : Fraud Analysis évalue chaque commande sur une vingtaine de signaux et signale automatiquement les commandes à risque, Shopify Protect couvre les chargebacks frauduleux pour les commandes éligibles sans intervention du marchand, les règles automatiques de blocage par pays, montant et email jetable filtrent les attaques les plus courantes, le protocole de vérification manuelle (cohérence, recherche email, appel téléphonique) sépare les vraies fraudes des faux positifs, le pilotage par indicateurs (taux de chargeback, taux de faux positifs, temps de traitement) permet l’ajustement continu. Chez Propuls’Lead, ce travail méthodique protège la marge des marchands et préserve leur compte Shopify Payments.