← Journal
Shopify 8 min de lecture

Anti-fraude Shopify : 7 réglages qui réduisent les chargebacks de 60 %

Comment configurer Shopify Plus, Stripe et les outils tiers pour bloquer la fraude sans dégrader la conversion. Règles concrètes basées sur des marques DTC entre 1 et 20 M€ de CA.

N
Rémy Héran
Founder · Nareh®

La fraude e-commerce coûte ~1.5 % du CA des marques DTC. Sur 5 M€ de CA, ça fait 75 K€ qui partent en chargebacks, remboursements forcés, frais bancaires. La plupart est évitable avec 7 réglages bien faits dans Shopify + Stripe.

Voici la checklist que j’utilise sur tous les audits.

1. Activer Shopify Fraud Protect (Plus)

Sur Shopify Plus, l’app Shopify Fraud Protect couvre les chargebacks frauduleux jusqu’à 1 000 $ par commande. Tu paies 0.99-2.99 % par commande couverte. Si ta marge le permet, c’est l’assurance la plus efficace que tu peux activer en 5 minutes.

Conditions :

  • Disponible sur Shopify Plus
  • Couverture limitée par catégorie (pas de jewelry, pas de cigarettes électroniques)
  • Sub-second decision

Activation : Admin → Apps → Shopify Fraud Protect → Enable.

2. Configurer correctement Stripe Radar

Stripe Radar est inclus dans Stripe (gratuit en standard, payant en “Radar for Fraud Teams” à 0.05 $/transaction). Les 10 règles minimum à activer :

  1. Block all charges where issuing country differs from billing country (sauf si tu vends à l’international)
  2. Block charges where billing country = high risk (Nigeria, Roumanie, Vietnam selon ton historique)
  3. Block charges where IP country differs from billing country
  4. Review charges where email is from anonymous domain (10minutemail, guerrillamail, etc.)
  5. Review charges where email is from a domain with no MX record
  6. Block charges with > 3 failed attempts in last hour
  7. Block charges where card was used on another store with chargebacks
  8. Block charges with mismatched ZIP/postal code (CVV failed)
  9. Review charges with VPN/proxy detected
  10. Block charges from devices linked to past chargebacks

Tableau de bord : dashboard.stripe.com/radar/rules

Je laisse tourner pendant 30 jours, puis j’ajuste : un faux positif > 1 % du CA, je relâche la règle.

3. CVV obligatoire sur le checkout

Shopify Plus permet de forcer la vérification CVV. Admin → Settings → Checkout → Customer information → Require CVV.

Sur les marques DTC sans CVV → 70-80 % de fraude sur transactions à panier > 200 €. Avec CVV obligatoire → divisé par 5.

4. AVS (Address Verification System)

Stripe expose le statut AVS dans chaque charge. Configure une règle Radar :

Review if avs_check = "fail" or "unavailable"

Si l’adresse de facturation ne correspond pas au code postal ou à la rue → la commande passe en review humain. Tu vérifies à la main, tu shippes ou tu rembourses.

5. Captcha sur le formulaire de connexion (pas sur le checkout)

Pas sur le checkout (réduit la conversion). Oui sur la page login client, où la majorité des credential stuffing arrive.

Apps Shopify recommandées :

  • Shop Protector (avec Cloudflare Turnstile invisible)
  • Reblaze pour les marques à plus gros volume

Le bénéfice : tu bloques les attaques par dictionnaire qui visent à prendre le contrôle de comptes existants pour acheter avec leur carte.

6. Limites de quantité par variante

Pour les drops / sneakers / éditions limitées : forcer max 2-3 unités par variante par commande, et max N commandes par même adresse mail / IP / carte sur 24h.

C’est bloque les bots de revente et les ramasseurs frauduleux qui veulent tester une carte volée.

Implémentation Shopify Plus : Shopify Functions (cart validation) + Shopify Flow.

7. Détection de comportement anormal côté front

Cookie/session tracking → détecter :

  • Taux de remplissage du formulaire trop rapide (< 1 sec sur les champs nom + adresse) → bot
  • Mouvement de souris linéaire ou absence totale de mouvement → bot
  • User-Agent qui ne correspond pas au profil iOS/Android/Desktop déclaré
  • Multiple variations de mêmes données dans la même session

Outils : Sift, Signifyd, Riskified — coûtent 0.1-0.4 % du CA, font baisser la fraude de 50-80 % en plus.

Pour les marques < 5 M€ : Stripe Radar suffit. Pour les marques > 5 M€ : Sift ou Signifyd payent leur intégration.

Ce qu’il ne faut pas faire

  • ❌ Ne JAMAIS rembourser sans avoir contesté un chargeback. Tu y perds le droit de défense.
  • ❌ Ne pas activer la fraude review sans avoir une personne dédiée à traiter le bac de “à vérifier” sous 4h. Sinon les commandes légitimes attendent et la conversion plonge.
  • ❌ Ne pas baisser le seuil de blocage Stripe à “haut” sur tous les segments. Il faut segmenter (clients VIP, repeat customers, premier achat).

Le suivi mensuel

Une fois les 7 règles en place, tu surveilles :

  1. Taux de chargeback : objectif < 0.5 % (Stripe risk threshold). Au-delà, Visa te tape.
  2. Taux de faux positifs : commandes bloquées par erreur. Cible < 0.5 % du volume.
  3. Time to detection : combien de temps une commande frauduleuse passe en analyse avant d’être détectée. Cible < 24h.

Outils :

  • Stripe Dashboard → Disputes
  • Shopify Plus → Reports → Customer fraud
  • Mes scripts n8n custom qui agrègent les 2 sources et alertent par Slack si le taux dépasse 0.7 %

Coût total bien fait

Pour une marque DTC à 5 M€ de CA :

  • Stripe Radar Standard : 0 € (gratuit)
  • Shopify Fraud Protect : ~0.5 % du CA en transactions couvertes = ~25 K€/an
  • Apps captcha + monitoring : 1.2-2.4 K€/an
  • Total : 26-28 K€/an

À comparer avec ~75 K€/an de fraude évitable. ROI net : 47 K€/an.

Audit fraude

Si tu veux que je passe ton site Shopify au crible et te sorte un plan d’action chiffré, l’audit gratuit prend 30 minutes et inclut un test des 7 points ci-dessus + recommandations spécifiques à ton mix produit.

// Vous reconnaissez vos enjeux ?

Bâtissons votre architecture ensemble.

Audit gratuit sous 24 h ouvrées. Devis chiffré sous 72 h. Aucun engagement derrière.

Réserver un audit
30+marques accompagnées
100%migration sans perte
< 24hréponse