Avec UCP, Google facilite les achats en ligne par les agents IA

Google a publié la première ébauche du protocole Universal Commerce Protocol (UCP), une norme ouverte destinée à aider les agents IA à commander et à payer des produits et des services en ligne.

La prochaine bataille des agents IA pourrait bien se dérouler dans le secteur du commerce en ligne. En réponse à une initiative d’OpenAI, Google a annoncé lors du Retail’s Big Show à New York (du 10 au 12 janvier) le développement de l’Universal Commerce Protocol (UCP) qui vise à simplifier les tâches des agents IA pour la recherche, la commande et le paiement de produits ou services en ligne. Il est conçu en collaboration avec des spécialistes du e-commerce comme Shopify, Etsy, Wayfair, Target, Walmart, Best Buy, Flipkart, Macy's, The Home Depot et Zalando. Par ailleurs, il bénéficie du soutien des acteurs du paiement comme Adyen, American Express, Mastercard, Stripe et Visa.

Selon Miya Knights, consultante en technologie pour la distribution, l’initiative de Google était très attendue par le secteur du retail. « Les entreprises sont impatientes de se lancer dans le commerce agentique, en vendant directement via des plateformes IA comme ChatGPT, Gemini et Perplexity. Elles vont l'adopter et l'expérimenter. Elles veulent savoir comment apparaître et transformer cela dans les recherches des consommateurs », explique-t-elle. Tout en soulignant qu’en octobre dernier, OpenAI aidé de Stripe a présenté l’Agentic Commerce Protocol qui doit aider les agents IA à effectuer des transactions en ligne. La consultante souligne néanmoins que Google a pris une petite longueur d’avance en s’entourant de plusieurs partenaires pour développer UCP. Pour les services IT des commerçants en ligne, cela va probablement se traduire par un surcroît de travail pour mettre en œuvre ses protocoles et garantir que leurs sites soient visibles tant pour les consommateurs que pour les robots.

Des défis supplémentaires pour la sécurité

« Inutile de dire que cela posera des défis aux responsables IT, en particulier en matière de sécurité », a averti Mme Knights. La mise en œuvre de l'UCP par Google signifie que les détaillants exposeront des points de terminaison REST pour créer, mettre à jour ou terminer des sessions de paiement. « L’UCP ajoute une surface d'attaque supplémentaire au paiement Web ou dans l'application. Les passerelles API, l'atténuation WAF/bot et les limites de débit font désormais partie intégrante de la sécurité du paiement, et ne sont plus seulement un « plus ». Cela signifie que les équipes IT devront mettre en œuvre des architectures de référence et des contrôles d'exécution, des protocoles de confidentialité, de consentement et de contrats, ainsi qu'une autre intégration des composants de la pile anti-fraude » ajoute la consultante. Un avis partagé par Julie Geller, directrice principale de la recherche chez Info-Tech Research Group. « Les équipes IT du secteur de la vente au détail vont devoir adopter des passerelles d'agents, des interfaces contrôlées où l'identité des agents, les autorisations et la portée des transactions sont clairement définies. Le défi de sécurité ne se situe pas au niveau du volume du trafic des bots, mais au niveau des acteurs non humains qui exécutent des actions de grande valeur, comme des paiements et des transactions », assure-t-elle. Tout en insistant sur le fait d’avoir « une approche différente de la sécurité, en déplaçant l'attention de la simple détection des bots vers l'autorisation, l'application des politiques et la visibilité ».

L'introduction de l'UCP entraînera sans aucun doute une intégration plus fluide de l'IA dans les systèmes des commerçants, mais outre les défis de sécurité, d'autres problèmes guettent les équipes IT. Mme Geller estime par exemple que l'un des risques de l'UCP, c’est qu'il « fonctionne trop bien ». Elle entend par là que l'intégration est si fluide qu'elle crée des problèmes de gouvernance. « Lorsque les agents peuvent agir rapidement et en amont des points de contrôle traditionnels, de petits soucis de configuration peuvent se traduire presque immédiatement par des problèmes de revenus, de tarification ou d'expérience client. Cela implique de nouvelles responsabilités pour les services IT. La question n'est plus de savoir si l'intégration est possible, mais comment contenir les écarts et maintenir la responsabilité lorsque l'exécution se fait en dehors des systèmes IT du détaillant. La plupart des architectures informatiques des détaillants n'ont pas été conçues pour ce niveau d'autonomie déléguée. »