Les derniers mois ont surpris et parfois épuisé de nombreux e‑commerçants sur Shopify.
Pic de trafic venu de Chine, sessions fantômes dans les stats, taux de conversion qui s’effondre… pour beaucoup, la question est la même : « Est‑ce que ma boutique est attaquée ? »
La réalité est plus nuancée : ce que vivent les marchands, ce n’est pas forcément un « piratage » classique, mais une vague massive de bots, principalement en provenance de Chine (souvent de la région de Lanzhou) et parfois de Singapour, qui saturent les analytics, polluent les pixels publicitaires et complexifient le pilotage des campagnes.
Ce phénomène n’est plus marginal. Il touche désormais des boutiques de toutes tailles, des petits shops de niche aux DNVB bien installées, et il met en lumière une faiblesse structurelle des plateformes SaaS : la protection anti‑bot est encore largement à la charge des marchands.
Un phénomène récent, massif… et déroutant
Une chronologie qui commence à l’automne 2025
À partir de la rentrée 2025, de plus en plus de marchands constatent quelque chose de bizarre dans leurs rapports GA4 et dans le Live View Shopify : du trafic qu’ils n’avaient jamais vu auparavant, venant massivement de Chine, parfois de Singapour, sans aucune corrélation avec leurs actions marketing. Des boutiques qui n’avaient historiquement aucun visiteur chinois se retrouvent avec des centaines, voire des milliers de sessions par jour depuis des IP localisées à Lanzhou. Les courbes explosent, les conversions s’effondrent, et les dashboards deviennent, soyons honnêtes, quasi illisibles.
Puis, en octobre–novembre 2025, le phénomène change d’échelle : ce n’est plus « un peu de bruit », c’est une vraie marée de bots. Certains marchands rapportent jusqu’à 6 000 utilisateurs simultanés sur leur site, tous ou presque venant de la même zone géographique, avec un comportement identique : ouverture d’une page, rebond immédiat.
BFCM 2025 : quand les bots s’invitent à la fête
Comme si ce n’était pas suffisant, la période Black Friday / Cyber Monday 2025 amplifie le problème.
Plusieurs analyses spécialisées montrent que les attaques de bots sur l’e‑commerce ont bondi d’une année sur l’autre, avec une augmentation du trafic automatisé estimée à près de 80 % pendant la saison des fêtes.
Un chiffre en dit long : près d’un quart des checkouts automatisés (bots) sur le Black Friday 2025 ciblaient des boutiques Shopify, contre moins de 10 % l’année précédente. Au final, certains marchands voient leur trafic multiplié par 10 ou 20… mais leur taux de conversion chuter.
Ce n’est pas seulement frustrant. C’est surtout déstabilisant : vu du côté marchand, tout coche les cases d’un site « hacké »… alors qu’en réalité, on est plutôt face à un abus massif de ressources publiques (URLs, formulaires, endpoints de checkout).
Que font vraiment ces bots sur Shopify ?
Du trafic fantôme qui ruine les analytics
Première conséquence visible : les chiffres ne veulent plus dire grand‑chose.
Les bots génèrent des milliers de sessions avec un taux de rebond proche de 100 % et une durée de session quasi nulle. Dans GA4, le trafic « Direct » ou « Unassigned » explose, les pays d’origine changent brutalement, et les e‑commerçants se retrouvent avec des dashboards où la Chine se met à représenter une part significative, parfois dominante, du trafic total.
Dans Shopify, le Live View devient inutile : on voit des centaines de « visiteurs » simultanés, mais aucun ajout au panier légitime, aucune interaction cohérente avec les pages produits. Les décisions marketing (budgets, créations, ciblage) deviennent beaucoup plus difficiles à prendre, car la donnée « santé du site » est contaminée en permanence.
Une pollution massive des pixels publicitaires
Au‑delà des stats, les bots perturbent directement les algorithmes des plateformes publicitaires : Meta Ads, Google Ads, TikTok Ads et consorts se nourrissent de signaux comportementaux (consultations de pages, ajout au panier, checkout initisés, etc.). Quand les bots simulent des comportements sur le site, même de façon minimale, ils envoient de faux signaux aux pixels.
Les audiences de retargeting se remplissent de profils « fantômes », les algos d’optimisation de campagnes se mettent à cibler sur des patterns aberrants, et les coûts d’acquisition peuvent grimper sans qu’on comprenne immédiatement pourquoi.
C’est là que le problème devient vraiment coûteux : ce n’est pas juste une question de « stats jolies ou pas », c’est la performance globale des campagnes qui est en jeu.
Faux comptes, paniers abandonnés et risques sur l’emailing
Autre effet collatéral : certains bots ne se contentent pas d’afficher des pages. Ils créent des comptes clients, remplissent des formulaires, ajoutent des produits au panier, et parfois initient des débuts de checkout.
Dans les faits, ça donne quoi ? On voit apparaître des comptes clients avec des emails jetables ou totalement aléatoires, des paniers abandonnés clonés à l’infini avec le même produit, et des séquences d’email automation qui partent vers des adresses qui n’existent même pas. Et, au bout de la chaîne, les bases Klaviyo ou autres ESP gonflent, les taux de bounce montent, et la délivrabilité générale peut se dégrader.
Pour les outils facturés au contact, l’impact financier est direct : plus de profils, plus de coûts, pour zéro valeur business.
Est‑ce un hack ? Ce que disent Shopify et les experts
Pas une faille de sécurité classique, mais un abus massif
La première réaction de beaucoup de marchands, légitime, c’est :
« Quelqu’un essaie de pirater mon site. »
Pourtant, le message qui revient souvent côté Shopify et spécialistes sécurité est que les boutiques ne sont pas « hackées » au sens d’une intrusion ou d’un vol de données, mais elles subissent un usage abusif et massif de ressources publiques (pages, endpoints, formulaires). Ces bots exploitent des URLs ouvertes par design (formulaire de contact, création de compte, ajout au panier, début de checkout).
Ils n’ont pas besoin de contourner un système de login ou de casser un mot de passe ; ils se contentent de saturer l’espace de mesure et de dégrader la qualité de la donnée, sans forcément toucher à l’intégrité des données clients existantes.
Cela ne rend pas le problème moins sérieux pour le business, mais cela change la nature du risque.
On parle davantage de risque économique et analytique que de compromission directe.
Une réponse de Shopify jugée insuffisante par les marchands
Sur les forums officiels Shopify, plusieurs threads très fournis pointent du doigt le manque de réponse claire de la plateforme. Des marchands francophones demandent explicitement à Shopify « d’agir contre les bots chinois qui détruisent nos données et nos ventes », et de proposer une solution native à l’échelle de la plateforme.
Pour l’instant, la réponse tourne toujours autour des mêmes idées : d’un côté, Shopify rappelle que la sécurité des paiements et des données clients est assurée ; de l’autre, la plateforme renvoie vers des apps tierces anti‑bot / anti‑spam ou vers des solutions externes de type WAF.
Pour beaucoup de marchands, cela ressemble à une forme de déresponsabilisation :
on paie une solution SaaS clé en main, mais on doit rajouter une couche d’outils payants pour filtrer un problème qui touche une partie significative de la base clients Shopify.
Comment protéger sa boutique Shopify : des pistes concrètes
Côté Shopify : ce qu’on peut faire rapidement
Premier niveau de défense : exploiter au maximum ce que Shopify propose déjà, même si ce n’est pas parfait.
Quelques actions simples à envisager :
- Activer systématiquement les captchas (hCaptcha) sur les formulaires de contact et, si possible, sur la création de compte.
- Limiter la création de comptes clients gratuits, par exemple en l’associant davantage au processus de commande.
- Mettre en place des règles dans les apps de formulaire pour filtrer certains patterns (mots‑clés récurrents de spam, emails jetables, etc.).
Cela ne suffira pas à stopper les vagues de bots les plus sophistiqués, mais cela élimine déjà une partie du bruit le plus simple et réduit le volume de spam via les formulaires.
Passer à un vrai bouclier anti‑bot avec un WAF type Cloudflare
Pour les marchands plus avancés, ou ceux dont les volumes justifient un investissement, l’étape suivante consiste à placer un proxy / WAF (par exemple Cloudflare) devant Shopify.
Concrètement, cela permet de :
- Géo‑bloquer certains pays (ou de les passer en « challenge » captcha) tout en gardant le site accessible au reste du monde.
- Mettre en place du rate limiting sur les endpoints sensibles (
/cart,/cart/add.js,/checkout), afin de bloquer les IP qui enchaînent les requêtes anormales. - Filtrer avec précision les user‑agents et patterns connus de certains bots malveillants, sans toucher aux crawlers légitimes (Googlebot, Bingbot, etc.).
Cette approche demande un peu plus de travail :
configuration DNS, règles WAF, éventuellement supervision régulière.
Mais elle donne aux marchands une marge de manœuvre bien plus grande que les seules options natives.
Nettoyer la donnée et limiter les dégâts dans les outils tiers
Protéger en amont, c’est une chose.
Mais quand la base de données est déjà polluée, il faut aussi penser à l’hygiène de fond.
Quelques bonnes pratiques à mettre en place :
- Mettre en place des segments « bots probables » dans GA4 (combinaison pays + temps sur le site + pages consultées) et les exclure des tableaux de bord décisionnels.
- Purger régulièrement les contacts manifestement fake dans Klaviyo / ESP (emails jetables, séries d’adresses générées, contacts sans ouverture ni clic).
- Surveiller les taux de bounce et ajuster les listes d’envoi pour ne pas pénaliser la délivrabilité globale.
L’objectif n’est pas de retrouver une donnée « pure » du jour au lendemain, mais de limiter l’impact sur les décisions marketing et de garder des signaux encore exploitables.
Le piège des technos fermées : quand Shopify vous laisse les mains liées
Mais au-delà de ces bots, il y a une question plus profonde qui se pose. Et si cette vague révélait un vrai problème structurel des plateformes comme Shopify ?
Quand tout va bien, la simplicité est séduisante : on clique, on publie, on vend.
Mais dès qu’un problème technique surgit comme un trafic suspect, pic anormal, dysfonctionnement …, vous vous retrouvez complètement bloqué.
Pourquoi ? Parce que vous êtes prisonnier d’une techno propriétaire et fermée.
- Pas d’accès aux logs serveur
- Pas de contrôle sur les endpoints sensibles
- Pas de WAF natif ou de règles personnalisées
- Configuration limitée aux options que Shopify veut bien vous donner
Quand les bots saturent votre Live View, Shopify vous dira : « installez une app tierce » ou « patientez, on y travaille ».
Mais aucune marge de manœuvre immédiate. Vous attendez.
À l’opposé, avec des CMS open source type prestashop ou woocommerce, la réponse est entre vos mains :
- Vous modifiez le .htaccess en 2 minutes
- Vous implémentez une règle mod_security
- Vous greffez Cloudflare avec vos propres règles WAF
- Vous analysez les vrais logs pour comprendre l’attaque
Le problème est fixé aujourd’hui, pas dans la roadmap d’un SaaS.
C’est la différence entre subir passivement et reprendre la main techniquement.
Cette vague de bots n’est donc pas qu’un incident technique.
C’est le révélateur brutal du coût caché de la « simplicité » : parfait quand tout va bien, mais paralysant dès qu’il faut agir vite.
Et maintenant ? Une question ouverte pour Shopify et les marchands
La vague de bots chinois sur Shopify n’est pas juste une anecdote technique : c’est un révélateur. Un révélateur du décalage croissant entre la sophistication des attaques automatisées et le niveau de protection réellement intégré dans les plateformes e‑commerce grand public.
Les grands retailers disposent de SOC, de WAF avancés, d’équipes sécurité.
Les petites et moyennes boutiques, elles, se retrouvent souvent à découvrir ces sujets en plein pic de saison, avec un Live View qui flambe et des ROAS qui s’effondrent.
La communauté Shopify demande aujourd’hui trois choses assez simples :
- La reconnaissance publique du problème à l’échelle de la plateforme.
- Une meilleure protection native contre les bots (filtrage pays/IP, règles server‑side, outils de diagnostic).
- Une feuille de route claire sur les évolutions à venir.
En attendant, la réalité est pragmatique : les marchands doivent composer avec ces bots, renforcer leur propre stack (WAF, apps anti‑bot, hygiène de données) et adapter leur lecture des KPIs.
Ce n’est sans doute pas la conclusion rêvée.
Mais, d’une certaine façon, c’est peut‑être le début d’une nouvelle maturité : considérer la protection contre les bots non plus comme un « nice to have », mais comme un composant à part entière de la stratégie e‑commerce.
