Résidence des données configurable
Comment un visiteur devient une décision.
Une visite guidée du moteur derrière le score — comment le navigateur est lu, transformé en une lecture du risque calibrée, puis renvoyé à votre code. Suivez le parcours de bout en bout : les signaux que nous mesurons, les menaces que nous détectons et les résultats derrière chaque décision.
Chaque appareil raconte une histoire. Nous détectons les fictions.
Bloquez la fraude et les bots sans importuner les clients que vous avez eu tant de mal à conquérir. Obtenez une lecture claire du risque pour chaque visiteur — et décidez quoi en faire.
Sécurité agentique et intelligence du navigateur, désormais conçues pour le web agentique — pilotez votre console avec un assistant IA intégré, laissez vos agents lire Noxtica via un serveur MCP en lecture seule, et gouvernez les agents auxquels vous faites confiance.
Du signal à la décision.
Quatre étapes. Le navigateur est lu, le résultat est transmis en toute sécurité à votre backend, votre serveur obtient une lecture claire du risque, et votre code décide.
Un script léger lit le navigateur du visiteur dès son arrivée — discrètement, sans ralentir votre page.
Ce qu'il voit est transmis en toute sécurité à votre backend — impossible à falsifier, copier ou rejouer en chemin.
Votre serveur le vérifie et reçoit une lecture claire du risque, avec les raisons qui la motivent — en environ une demi-seconde.
Votre code tranche : bloquer, challenger, observer ou laisser passer. Votre politique, votre contexte, votre décision.
Une lecture. Un verdict. Les raisons avec.
87
Risque faible — autoriser
Exemple illustratif — pas du trafic live.
Pourquoi nous ne vous disons pas « c’est un bot ».
La plupart des outils vous disent ce que vous voulez entendre : bot ou humain. Net, simple, et souvent faux — sans aucun moyen de voir comment ils y sont arrivés. Soit vous faites confiance à la réponse, soit non.
Les vrais clients et les vrais attaquants peuvent se ressembler étonnamment. La bonne question n’est pas « est-ce un bot » — c’est « à quel point ce visiteur est-il inhabituel, et à quel point les parties suspectes seraient-elles difficiles à truquer ? ». C’est ce à quoi nous répondons.
// Nous ne disons pas simplement « c’est un bot ».
// Nous vous donnons une lecture claire du risque — et les raisons.
// Vous décidez.
Quand un signalement frappe un vrai client, votre équipe peut l’expliquer — au juridique, au produit, au client. Chaque décision s’accompagne de ses raisons : il n’y a donc rien à croire sur parole et rien que vous ne puissiez régler.
Vous n’obtenez pas un oui/non en boîte noire. Vous obtenez une lecture claire du risque, un niveau de confiance et les raisons derrière les deux — le reçu. La décision finale vous appartient, parce que seule votre équipe sait ce qui est en jeu.
La plupart des outils vous tendent un oui/non et cachent comment ils y sont arrivés. Nous vous donnons une lecture claire du risque, avec les raisons — et laissons votre équipe trancher.
Cinq niveaux clairs, pas un oui/non brutal — et jamais un blocage silencieux.
Ce que nous mesurons.
Nous lisons quatre choses sur chaque visiteur — le navigateur, le réseau, l’appareil et la façon dont la personne se comporte. Ensemble, elles distinguent un vrai client d’un faux bien ficelé.
Le navigateur est-il réel ?
Intelligence du navigateur
Captez le trafic automatisé, les navigateurs masqués et les visiteurs synthétiques dès leur arrivée — avant qu’ils n’atteignent votre signup, login ou checkout. Les vrais clients passent. Les faux non.
Le réseau est-il sûr ?
Signaux réseau
Repérez les origines suspectes et l’infrastructure à haut risque sans punir le trafic légitime. Les télétravailleurs, utilisateurs de VPN et réseaux corporate restent les bienvenus. Les sources de fraude en gros sont signalées.
L’appareil est-il réel ?
Vérification matérielle
Vérifiez l’appareil réel derrière la session — pas seulement le logiciel qui tourne dessus. Les vrais utilisateurs sur de vrais appareils passent sans effort. Les bots sur infrastructure jetable et partagée remontent immédiatement.
L’utilisateur est-il réel ?
Empreintes comportementales
Distinguez une vraie personne d’un script par le rythme avec lequel elle interagit avec la page. Les humains hésitent, se corrigent, explorent. L’automatisation se déplace avec une précision révélatrice qu’elle ne peut cacher.
Et une que nous gouvernons : Know Your Agent
Ces quatre couches mesurent les visiteurs. Les agents IA et les bots sont différents — vous ne vous contentez pas de les mesurer, vous décidez de leur faire confiance ou non. Know Your Agent vous permet d'autoriser ou de refuser des agents par locataire grâce à l'empreinte JWK ou à l'hôte Signature-Agent, intégré à la vérification Web Bot Auth.
Ce que nous détectons.
Les menaces qui vous coûtent — automatisation, fraude et abus — détectées sans challenger à tort vos vrais clients.
Détecter la fraude n'est pas une simple vérification. L'abus réel mêle trafic automatisé, origines suspectes et comportements qui ne tiennent pas debout. Nous transformons tout cela en la décision que votre équipe prend vraiment — bloquer, challenger, autoriser, observer.
Bots & trafic automatisé
Navigateurs headless, frameworks d’automatisation et abus par script — y compris les variantes « stealth » conçues pour échapper à la détection. La voie rapide et la voie lente sont toutes deux attrapées.
Reconnaissez le trafic automatisé avant qu’il n’atteigne le login, le signup ou le checkout.
Sessions qui cachent ce qu'elles sont
Sessions où le navigateur ment sur sa propre empreinte. Sortie canvas falsifiée, APIs runtime manipulées, extensions anti-empreinte avec contre-mesures agressives.
Faites remonter les tentatives délibérées d’évasion sans bloquer les choix honnêtes de confidentialité.
Origines suspectes
Trafic issu de datacenters, proxies anonymisants, protocoles dépréciés et plages connues comme malveillantes. Nous marquons les motifs sans bloquer les vrais utilisateurs qui se trouvent sur un VPN d’entreprise.
Identifiez le signal de fraude en gros — sans déclencher à tort sur les télétravailleurs.
Utilisateurs soucieux de leur vie privée, traités équitablement
Tor, Brave Strict, Firefox-RFP, LibreWolf — reconnus et traités avec une tolérance calibrée. Les utilisateurs soucieux de leur vie privée restent les bienvenus ; les bots qui se cachent derrière des navigateurs de confidentialité, non.
Accueillez les utilisateurs légitimes de la confidentialité tout en attrapant les acteurs qui se cachent parmi eux.
Appareils factices & jetables
Nous regardons au-delà du navigateur, jusqu’à l’appareil lui-même, pour que les émulateurs et les machines virtuelles jetables ne puissent pas se faire passer pour du vrai matériel. Les bots qui battent les contrôles seulement navigateur sont attrapés ici.
Vérifiez que l’appareil est ce qu’il prétend être — pas seulement le navigateur qui tourne dessus.
Activité qui ne se comporte pas comme un humain
La façon dont une personne bouge, tape et fait défiler ne ressemble en rien à un script. Les vraies personnes hésitent et explorent ; l’automatisation se trahit par une précision révélatrice.
Attrapez les sessions qui semblent humaines sur le papier mais ne se comportent pas comme une personne.
La requête d'un visiteur est lue à travers les menaces que nous détectons, qui se combinent en une seule lecture claire du risque.
- Requête navigateur
- Lecture claire du risque
- Votre décision
Chacune vous donne une lecture claire du risque et un niveau de confiance — pas un oui/non brutal. Votre équipe garde la décision finale. Nous nous assurons simplement que ce sur quoi vous agissez est honnête.
Voyez ce que nous détectons.
Six schémas d'attaque, chacun issu d'une catégorie de menace ci-dessus — rejoués pour montrer la lecture du risque calibrée et la décision qu'elle déclenche.
- Déferlante d’automatisation headless
94/ 100 de risque
BLOQUÉlu en 410msUne vague de sessions headless scriptées frappant la connexion à l’unisson.
- Session à empreinte falsifiée
78/ 100 de risque
VÉRIFIERlu en 470msUn navigateur qui ment sur sa propre sortie canvas et ses API d’exécution.
- Origine proxy de datacenter
86/ 100 de risque
BLOQUÉlu en 350msUne requête acheminée via une plage de datacenter anonymisante.
- Visiteur sur navigateur de confidentialité
24/ 100 de risque
AUTORISERlu en 340msUne personne réelle sur un navigateur de confidentialité renforcé — laissée passer.
- Machine virtuelle jetable
90/ 100 de risque
BLOQUÉlu en 520msUn appareil émulé se faisant passer pour du vrai matériel grand public.
- Schéma d’interaction non humain
71/ 100 de risque
VÉRIFIERlu en 430msUn formulaire rempli avec une précision révélatrice qu’aucune personne n’a en tapant.
Schémas illustratifs dérivés des catégories ci-dessus — pas des données clients. Les scores se situent sur la même échelle de 0 à 100 que celle sur laquelle votre politique s'appuie.
La fraude contenue. Les clients toujours en mouvement.
Chiffres issus du déploiement d’un partenaire de conception initial — partagés anonymement
- 47%de rétrofacturations supprimées par un partenaire pilote dans ses 90 premiers jours
- 99.6%des vrais clients laissés passer sans accroc sur ce déploiement
- ~500msajoutées à un paiement — une lecture complète du risque en un clin d’œil
$ noxtica use-case --marketplacePlace de marché
Les places de marché utilisent Noxtica pour attraper les réseaux coordonnés de faux comptes avant qu’ils n’enterrent les vendeurs honnêtes sous de faux avis. Identifiants différents, adresses différentes — mais la même configuration automatisée les trahit.
Réseaux de faux comptes attrapés avant qu’ils n’enterrent vos vendeurs honnêtes.
$ noxtica use-case --financialServices financiers
Les marchands card-not-present utilisent Noxtica pour ajouter une vérification supplémentaire rapide uniquement lorsqu’un paiement semble provenir d’un endroit nouveau. Les vrais clients ne ressentent rien ; les réseaux de fraude butent sur un mur à chaque tentative.
Une vérification supplémentaire seulement quand c’est justifié. Les vrais clients ne ressentent rien.
$ noxtica use-case --identityPlateformes sensibles à l’identité
Les plateformes sans mot de passe et à magic-link utilisent Noxtica pour s’assurer que le lien est ouvert par la même personne qui l’a demandé. Les kits de phishing qui relaient le lien à quelqu’un d’autre sont stoppés à la porte.
Les magic-links ne s’ouvrent que pour la personne qui les a demandés. Le phishing s’arrête ici.
Quatre publics. Un seul signal.
La sécurité agentique et l’intelligence du navigateur concernent rarement une seule équipe. Le même signal façonne les résultats pour les entreprises, les plateformes et les personnes qui les utilisent.
Pour les entreprises
Équipes anti-fraude, ingénieurs sécurité, PMs de plateforme. Les équipes qui paient quand la fraude passe — et celles qui paient quand de vrais clients partent.
- Réduisez les rétrofacturations en attrapant les faux inscrits avant qu’ils ne vous coûtent
- Repérez les prises de contrôle de compte avant que l’attaquant n’entre
- Pistes prêtes pour audit pour SOC 2, ISO 27001 et GDPR
Pour les plateformes
Places de marché, réseaux sociaux, plateformes multi-faces. La confiance entre utilisateurs est toute l’activité — et stopper les faux comptes à grande échelle est votre rempart.
- Détectez les abus de comptes en double sans bloquer les vrais utilisateurs
- Réduisez la charge de modération en ne faisant remonter que les comptes au comportement suspect
- Bloquez les fermes d’avis payés et les réseaux de review-bombing dès l’inscription
Pour les personnes
Utilisateurs finaux. La partie prenante dont on parle trop peu. Les personnes mises au défi à tort, bloquées, ou à qui l’on demande de résoudre des CAPTCHA parce qu’elles sont sur Brave.
- Pas de CAPTCHA sauf si quelque chose semble réellement suspect
- Les vraies personnes sur des navigateurs de confidentialité restent les bienvenues, pas punies
- Aucune donnée personnelle collectée. Aucun cookie de pistage. Aucune identité inter-sites.
Pour l'IA et les agents
Le web agentique. Décidez à quels agents vous faites confiance avec Know Your Agent, pilotez la console avec un assistant IA intégré, et laissez vos propres agents lire Noxtica via une intégration MCP en lecture seule.
Trois façons honnêtes dont nous sommes agentiques.
Le terme « agentique » est employé à tort et à travers. Voici ce qu'il signifie exactement chez Noxtica — trois capacités disponibles dès aujourd'hui, sans aucune modification autonome de vos systèmes.
Nous pilotons la console
Un assistant IA intégré — propulsé par Claude, avec des options OpenAI, Gemini et xAI — s'exécute côté serveur sous la session de l'opérateur pour lire à votre place les politiques, règles, domaines et la distribution du risque, avec des plafonds de budget par locataire et une journalisation d'audit complète.
Comment fonctionne l'assistant →Vos agents lisent Noxtica
Un serveur Model Context Protocol (MCP) optionnel et en lecture seule permet à vos propres agents IA de lire les politiques, règles, alertes et la distribution du risque via JSON-RPC, à l'aide de jetons bearer à portée limitée, à débit limité et audités que vous émettez — accès en lecture uniquement, jamais en écriture.
Lire la documentation MCP →Nous surveillons le web agentique
Know Your Agent (KYA) est un registre défensif : décidez quels agents IA et bots vous autorisez ou refusez par locataire — par empreinte JWK ou hôte Signature-Agent — intégré à la vérification Web Bot Auth.
Découvrir Know Your Agent →
Nous avançons vers l'autocalibration et les boucles de rétroaction ; aujourd'hui, les opérateurs ajustent les politiques et les seuils avec un contrôle total.
Conçu pour passer la revue de sécurité.
La posture de sécurité sur laquelle les auditeurs vous interrogent — six contrôles que vous pouvez vérifier vous-même, sans les croire sur parole.
Prêt pour le GDPR
Code source du SDK ouvert
Aucune PII collectée
Une lecture complète du risque en ~500ms
Une lecture claire, pas de la magie
Un partenaire, pas une page tarifaire.
Tout ce qu’il faut pour livrer avec confiance — et rien d’inutile.
Ce qui est inclus
- Tarifs transparents — pas de mur de démo
- onboarding pratique avec de vrais ingénieurs
- Conforme GDPR, résidence des données configurable, prêt pour SOC 2
- support humain direct — sans tunnel de vente
Vous avez vu comment Noxtica lit.
Voyez ce que Noxtica lit sur votre trafic — quinze minutes, sans présentation.
Les questions que les équipes posent en premier.
Ce que les acheteurs et les ingénieurs veulent savoir d’emblée. La FAQ technique complète — taille du bundle, l’API, les iframes, les seuils — vit dans la documentation.
Est-ce que ça va bloquer à tort mes vrais clients ?
C’est exactement ce contre quoi nous construisons. Un client bloqué revient rarement, alors les valeurs par défaut penchent vers la prudence : nous préférons laisser passer un bot plutôt que stopper à tort une vraie personne. Vous obtenez une lecture claire du risque et décidez du niveau de sévérité — et vous pouvez resserrer ou relâcher à mesure que vous apprenez à connaître votre propre trafic.
Est-ce que ça marche pour les utilisateurs soucieux de leur vie privée — Brave, Tor, LibreWolf ?
Oui, et ils restent les bienvenus. Les navigateurs de confidentialité ne cassent rien ; nous les reconnaissons simplement et les traitons équitablement au lieu de punir silencieusement la personne derrière. Si votre produit s’adresse à des publics sensibles, vous pouvez choisir d’accorder à ces utilisateurs une marge supplémentaire.
Que se passe-t-il si Noxtica a une panne ?
Votre site continue de fonctionner. Si une vérification ne peut pas nous atteindre à temps, vous recevez une valeur par défaut sûre pour que votre code puisse retomber gracieusement — challenger au lieu de bloquer, par exemple — plutôt que de verrouiller qui que ce soit. Nous nous engageons sur 99.95% de disponibilité et publions une page de statut publique.
Faut-il des ingénieurs pour faire tourner ça ?
Un peu. Un petit script va sur votre site et une seule vérification a lieu sur votre serveur quand vous voulez une décision. Il n’y a rien à héberger, rien à maintenir en marche, et le gros du travail est de notre côté. La plupart des équipes sont en ligne en un après-midi — le guide pas à pas est dans la documentation.
Est-ce conforme — GDPR, CCPA, données UE ?
Oui. Nous ne collectons aucune donnée personnelle dont nous n’avons pas besoin, ne stockons aucune IP brute par défaut, et gardons les données dans l’UE. Nous signons un accord de traitement des données, prenons en charge la suppression définitive sur demande, et publions notre liste de sous-traitants. Vos équipes confidentialité et juridique obtiennent des réponses droites, pas des esquives.
Plus encore dans la documentation — taille du bundle, l’API, les iframes, le réglage des seuils, et toute la Q&R technique.→ Lire la documentation : FAQ technique complète