Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?
Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?
Que savez-vous de ces pratiques ?
L’industrie de la publicité en ligne génère un gros chiffre d’affaires qui devrait atteindre 163 milliards de dollars en 2016, d’après la DGCCRF - administration française relevant du ministère de l’économie. Il s’agit donc d'une énorme opportunité pour les sociétés telles que Google, Facebook et Yahoo! qui en retirent d’ailleurs une partie importante de leurs revenus.
D’une manière ou d’une autre, en plus des plateformes publicitaires, différents acteurs économiques essaient de tirer parti de ce marché en pleine croissance, pour augmenter leurs revenus. Les entreprises veulent une meilleure visibilité de leurs produits afin d’augmenter leurs ventes, mais les acteurs malveillants du Web ont également réfléchi à la manière de perpétrer leurs attaques via ce nouveau canal.
Comme le montre la dernière campagne de publicités malveillantes contre Yahoo!, les cyber-attaquants s'orientent de plus en plus vers les plateformes publicitaires en injectant leurs logiciels malveillants dans les annonces. Mais il existe encore une autre forme de menace qui cible l’industrie de la pub, dans laquelle les acteurs essaient de prendre directement leur part du gâteau des revenus publicitaires : les attaques de fraude au clic.
La fraude au clic semble plus répandue, et elle intervient dans le cas des paiements au clic. Google définit les fraudes au clic comme des clics issus des pratiques frauduleuses ou malveillantes. Certains sites annonceurs peuvent y avoir recours pour essayer d’attaquer leurs concurrents en augmentant leurs frais ou en épuisant leur budget quotidien dès le début de la journée. D’autres sites par contre, plus précisément des éditeurs, peuvent également cliquer sur les annonces qui apparaissent sur leurs propres sites Web afin d’accroître leurs revenus.
Plusieurs méthodes sont utilisées pour mener ces attaques. Il s’agit notamment de :
- les clics manuels ;
- la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
- les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
- l’utilisation de logiciels de clics automatiques ;
- la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.
En ce qui concerne Google en particulier, une récente étude réalisée par le professeur Manuel Blázquez de l’université Complutense de Madrid montre par ailleurs qu’il existe une vulnérabilité dans son système AdSense qui pourrait permettre d’extraire automatiquement les liens vers les annonces, afin de générer du trafic frauduleux automatisé. Un attaquant pourrait exploiter cette vulnérabilité en obtenant le code JavaScript de Google intégré dans le code HTML de la page Web qui héberge les annonces. Ce code permet en effet de protéger les annonceurs contre les attaques de fraude au clic.
Toutes ces méthodes de fraude au clic rendent malsain le trafic publicitaire dans la mesure où les annonceurs victimes recevront du trafic ne venant pas de prospects. En l’absence de techniques de détection avancée, ces annonceurs devront donc payer pour du trafic fictif. La publicité risque alors d’augmenter leurs charges sans retour sur investissement pour les couvrir. Si ces pratiques dominent les clics légitimes, cela pourrait donc réduire le budget des annonceurs et par conséquent les revenus générés sur le marché de la publicité en ligne.
Source : Centre d’informations de Google sur la qualité du trafic
:fleche: Plus de détails sur l'étude « Une vulnérabilité dans Google AdSense: extraction automatique des liens vers les annonces »
Et vous ?
:fleche: Que savez-vous de ces pratiques de clics frauduleux ? Qu’en pensez-vous ? Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?
:fleche: Forum Sécurité
Et si les bloqueurs de publicité n'étaient pas la seule plus grande menace de l'industrie en ligne ?
La fraude au clic est plus qu'un problème marketing,
des experts estiment qu'elle représente un risque de sécurité pour des entreprises
La fraude au clic, de quoi s’agit-il exactement ? Cette expression met sur scène des « clics issus de pratiques frauduleuses ou malveillantes », comme l’explique Google. Plusieurs méthodes peuvent être employées :
- les clics manuels ;
- la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
- les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
- l’utilisation de logiciels de clics automatiques ;
- la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.
Dans le cas des réseaux de zombies, un ordinateur est infecté par un bot. Ce dernier va générer des clics à répétition sur des publicités, faisant ainsi grimper les chiffres des taux de clics. Pourtant, ces statistiques servent entre autres à déterminer les prix d’achat d’espace publicitaire qui deviennent alors des acquisitions vaines dans la mesure où ils n’atteignent pas réellement le consommateur cible.
Pour concevoir des réseaux de zombies et mener à bien des campagnes de fraudes au clic, les pirates doivent compromettre un flux régulier de nouvelles machines pour remplacer celles qui ne sont plus efficaces. Pour ce faire, ils se tournent vers le malvertising : ils placent des publicités contenant des logiciels malveillants qui infectent les visiteurs sur des sites populaires (comme The Pirate Bay), des sites web de bonne réputation (comme Yahoo!), selon Kelley Mak, analyste chez Forrester Research.
« Le malvertising va soit infecter par un ransomware, soit compromettre une machine et la recruter dans un botnet », a-t-il expliqué. « Le malvertising est boosté par la fraude au clic, car une annonce malveillante peut permettre de recruter les nouveaux bots dont les pirates ont besoin ».
Mak pense que les pirates seront plus susceptibles d'utiliser des campagnes de malvertising pour recruter des bots pour la fraude au clic plutôt que pour répandre des ransomwares sur une machine. L'une des raisons le dirigeant vers cette conclusion est qu'il est plus facile de générer de l'argent de la fraude au clic, mais, plus important encore, il y a aussi beaucoup moins de risques pour les pirates. « Les gens victimes de la fraude de clic ne vont probablement pas essayer de demander de l'aide d'une agence gouvernementale - ils sont plus susceptibles d’essayer simplement de bloquer les bots, donc le risque est beaucoup plus faible », continue-t-il.
« Si vous êtes un directeur des systèmes d’information, vous devez vous demander la raison pour laquelle les gens veulent pénétrer votre réseau. Il arrive que la réponse est “pour obtenir vos données”. Cependant, les pirates veulent de plus en plus commettre des fraudes relatives aux annonces. La motivation principale pour un pirate est de commettre une fraude au clic dans la mesure où cela fournit un moyen de rentabiliser la machine compromise. Une fois qu’ils ont fait ce qu’ils voulaient, alors ils peuvent chercher quoi faire d’autre avec la machine compromise » a estimé Dan Kaminsky, le chercheur en sécurité qui a découvert une faille fondamentale dans le protocole DNS en 2008.
« Il y a tout un écosystème », a expliqué Kaminsky, « quelqu’un trouve des vulnérabilités, une autre personne déploie des exploits, et puis il y a des personnes qui achètent (les machines compromises) par la suite pour faire toutes sortes de choses avec elles ». Kaminsky évoque entre autres le vol de données d’entreprise et un éventail d’autres méfaits.
Mais qui en sont les victimes ? Kaminsky affirme que « lorsque vous volez une banque, les gens sont fâchés. Mais lorsque vous volez un annonceur, ses statistiques étant élevé il sera heureux ». Pour lui, « dans la publicité, vous pouvez réaliser des millions de dollars de fraude et personne ne s’en apercevra. En fait, les gens sont heureux parce que le nombre de clics a augmenté ». Mais en dehors des annonceurs, Kaminsky pense que d’autres victimes sont les directeurs des systèmes d’information (DSI) de grandes entreprises : « ils sont les victimes parce qu’en général ce sont les personnes dont les ordinateurs ont été attaqués ». Et de préciser que « si vous êtes un DSI et que votre travail est de protéger le réseau, alors la fraude au clic est la cause d'une grande catégorie de menaces auxquelles vous aurez à faire face ».
S’il y a peu de chances que la fraude au clic dispose d’une place de choix à l’ordre du jour des priorités des DSI et de leurs équipes de sécurité, Kaminsky pense que ce type d’activité nuit aux entreprises d’une manière plus fondamentale dans la mesure où elle remet en cause internet comme outil générateur d’activité économique : « l'écosystème tout entier est menacé par la fraude au clic », a-t-il avancé, « Pourquoi ? Parce que cela coûte de l’argent pour concevoir le web et si l’argent est siphonné par des personnes qui ne participent pas à sa conception, alors les business légitimes vont devoir travailler plus et plus pour produire de moins en moins ».
D’après une estimation de la société américaine White Ops, spécialisée dans la sécurité des publicités en ligne, en association avec l’Association of National Advertisers, la fraude au clic pourrait coûter 7,2 milliards de dollars à l’industrie de la publicité dans le monde entier durant l’année 2016. La DGCCRF, l’administration française relevant du ministère de l’Économie, chiffre à 163 milliards de dollars son estimation du volume de l’industrie de la publicité en ligne courant 2016.
Source : CIO
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: L'industrie de la publicité en ligne devrait-elle considérer cette menace au même titre que les bloqueurs de publicité ?
Voir aussi :
:fleche: Le site The Pirate Bay a été la cible d'une campagne de malvertising, les utilisateurs ont été infectés par le ransomware Cerber
:fleche: Yahoo! victime d'une vaste campagne de publicités malveillantes, les attaquants ont encore exploité une vulnérabilité dans Flash