Discussion :

[Michael Guilloux]

Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?
Que savez-vous de ces pratiques ?

L’industrie de la publicité en ligne génère un gros chiffre d’affaires qui devrait atteindre 163 milliards de dollars en 2016, d’après la DGCCRF - administration française relevant du ministère de l’économie. Il s’agit donc d'une énorme opportunité pour les sociétés telles que Google, Facebook et Yahoo! qui en retirent d’ailleurs une partie importante de leurs revenus.

D’une manière ou d’une autre, en plus des plateformes publicitaires, différents acteurs économiques essaient de tirer parti de ce marché en pleine croissance, pour augmenter leurs revenus. Les entreprises veulent une meilleure visibilité de leurs produits afin d’augmenter leurs ventes, mais les acteurs malveillants du Web ont également réfléchi à la manière de perpétrer leurs attaques via ce nouveau canal.

Comme le montre la dernière campagne de publicités malveillantes contre Yahoo!, les cyber-attaquants s'orientent de plus en plus vers les plateformes publicitaires en injectant leurs logiciels malveillants dans les annonces. Mais il existe encore une autre forme de menace qui cible l’industrie de la pub, dans laquelle les acteurs essaient de prendre directement leur part du gâteau des revenus publicitaires : les attaques de fraude au clic.

La fraude au clic semble plus répandue, et elle intervient dans le cas des paiements au clic. Google définit les fraudes au clic comme des clics issus des pratiques frauduleuses ou malveillantes. Certains sites annonceurs peuvent y avoir recours pour essayer d’attaquer leurs concurrents en augmentant leurs frais ou en épuisant leur budget quotidien dès le début de la journée. D’autres sites par contre, plus précisément des éditeurs, peuvent également cliquer sur les annonces qui apparaissent sur leurs propres sites Web afin d’accroître leurs revenus.

Plusieurs méthodes sont utilisées pour mener ces attaques. Il s’agit notamment de :

• les clics manuels ;
• la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
• les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
• l’utilisation de logiciels de clics automatiques ;
• la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.

En ce qui concerne Google en particulier, une récente étude réalisée par le professeur Manuel Blázquez de l’université Complutense de Madrid montre par ailleurs qu’il existe une vulnérabilité dans son système AdSense qui pourrait permettre d’extraire automatiquement les liens vers les annonces, afin de générer du trafic frauduleux automatisé. Un attaquant pourrait exploiter cette vulnérabilité en obtenant le code JavaScript de Google intégré dans le code HTML de la page Web qui héberge les annonces. Ce code permet en effet de protéger les annonceurs contre les attaques de fraude au clic.

Toutes ces méthodes de fraude au clic rendent malsain le trafic publicitaire dans la mesure où les annonceurs victimes recevront du trafic ne venant pas de prospects. En l’absence de techniques de détection avancée, ces annonceurs devront donc payer pour du trafic fictif. La publicité risque alors d’augmenter leurs charges sans retour sur investissement pour les couvrir. Si ces pratiques dominent les clics légitimes, cela pourrait donc réduire le budget des annonceurs et par conséquent les revenus générés sur le marché de la publicité en ligne.

Source : Centre d’informations de Google sur la qualité du trafic

Plus de détails sur l'étude « Une vulnérabilité dans Google AdSense: extraction automatique des liens vers les annonces »

Et vous ?

Que savez-vous de ces pratiques de clics frauduleux ? Qu’en pensez-vous ? Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?

Forum Sécurité

[glad33bx]

Que savez-vous de ces pratiques ?

Je pense que si des personnes savent des choses, ils ne le diront pas

[melka one]

ils ont oublié de prendre en compte les clic non désiré quand on clic dans une page afin d'avoir le focus et que sa lance un lien.

[1franck]

Que savez-vous de ces pratiques de clics frauduleux ? Qu’en pensez-vous ? Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?

Ça serait une bonne nouvelle pour l'humanité non ?

[Sodium]

Ça serait une bonne nouvelle pour l'humanité non ?

Pour l'humanité oui, pour le système capitaliste non. Hélas, on a plutôt tendance à penser à l'un avant l'autre, tout comme l'on pense à la croissance avant la survie de notre écosystème à moyen-terme.

[lpa]

Il suffit de mettre un captcha au clique sur les pubs !

[Artemus24]

Salut à tous.

Que savez-vous de ces pratiques de clics frauduleux ?

Rien et cela ne m'intéresse pas.

Qu’en pensez-vous ?

De quoi ? De la publicité ? Je pense qu'elle est juste là pour polluer les sites.
J'ai installé 'adblock plus' sur tous mes navigateurs pour l'empêcher de s'afficher, et c'est mon droit de ne pas avoir de pub.

Ou bien de la fraude ? Il ne faut pas s'étonner de ce genre de pratique.
Là où il y a de l'argent à ce faire, il y a automatiquement des fraudes.
Tout a été fait pour que la fraude se développe. Il faut trouver un autre moyen que de comptabiliser les clics, pour gagner de l'argent.

Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?

C'est du domaine du possible, mais cela ne serait pas un mal si la publicité venait à disparaitre du WEB.

Aujourd'hui, c'est la seule ressource financière de certains sites. Est-ce justifié ? Je ne le pense pas.
La question concerne-t-elle le financement des sites où bien la promotion par la publicité d'un produit ?

Mais qui viendrait afficher de la publicité sur son site, si aucun financement ne serait fait en retour pour ce service ?
Alors il ne faut pas s'étonner du trafic qui peut en découler.

@+

[_skip]

Que savez-vous de ces pratiques de clics frauduleux ? Qu’en pensez-vous ? Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ?

Curieusement quand j ai commencé sur internet, c'était plutôt les webmasters eux-mêmes qui étaient accusés de tricher pour toucher plus de commissions. Faut dire que ça payait généralement un peu plus.

Quant au fait de tricher sur un modèle par clic, c'est pas la fin de la publicité en ligne pour autant car non seulement les fraudes massives sont souvent assez détectables (genre on a d'un jour à l'autre 10x plus que la moyenne journalière provenant d'un série d'IP chinoises ou russes), mais en plus il existe un autre modèle de vente d'emplacement au forfait (style on paie pour un emplacement pendant une durée, comme les panneaux dans la rue) qui se négocie en fonction du trafic du site et qui n'est pas du tout influencé par les tricheries au clic.

Ca va aussi plus loin, par exemple souvent les pubs style "acheter sur amazon" qu'on voit sur les sites de tests de produits, ça génère une commission directe sur la vente et c'est pas facilement trucable.
Donc non c'est pas la fin de la publicité sur le net, pas plus que le gribouillage ou arrachage d'affiches en ville n'est la fin de la publicité standard. C'est un système de rémunération qui serait touché mais il en reste d'autres.

Aujourd'hui, c'est la seule ressource financière de certains sites. Est-ce justifié ? Je ne le pense pas.
La question concerne-t-elle le financement des sites où bien la promotion par la publicité d'un produit ?

Le problème de fond c'est qu'on parle de gens qui font un scandale dès qu on leur demande de payer 2 euros pour du contenu ou une application. On veut tout tout de suite et gratuit, donc la rémunération directe est difficile, et si c'est pour mettre en place un système de répartition complètement crétin à la SACEM, sérieusement?
Perso je suis assez complaisant envers les sites qui refusent l'accès au contenu aux utilisateurs de bloqueurs de pubs si l'affichage est raisonnable. Je ne suis pas trop pour que des logiciels populaires comme celui que tu cites (adblock plus) s'auto-érigent en autorité, décident de ce qui est juste ou pas et extorquent au passage de l'argent à ceux désireux de figurer sur leur white list. C'est tout aussi dangereux et arbitraire que tout le reste.

[BufferBob]

https://fr.wikipedia.org/wiki/Détournement_de_clic

[Stéphane le calme]

La fraude au clic est plus qu'un problème marketing,
des experts estiment qu'elle représente un risque de sécurité pour des entreprises

La fraude au clic, de quoi s’agit-il exactement ? Cette expression met sur scène des « clics issus de pratiques frauduleuses ou malveillantes », comme l’explique Google. Plusieurs méthodes peuvent être employées :

• les clics manuels ;
• la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
• les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
• l’utilisation de logiciels de clics automatiques ;
• la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.

Dans le cas des réseaux de zombies, un ordinateur est infecté par un bot. Ce dernier va générer des clics à répétition sur des publicités, faisant ainsi grimper les chiffres des taux de clics. Pourtant, ces statistiques servent entre autres à déterminer les prix d’achat d’espace publicitaire qui deviennent alors des acquisitions vaines dans la mesure où ils n’atteignent pas réellement le consommateur cible.

Pour concevoir des réseaux de zombies et mener à bien des campagnes de fraudes au clic, les pirates doivent compromettre un flux régulier de nouvelles machines pour remplacer celles qui ne sont plus efficaces. Pour ce faire, ils se tournent vers le malvertising : ils placent des publicités contenant des logiciels malveillants qui infectent les visiteurs sur des sites populaires (comme The Pirate Bay), des sites web de bonne réputation (comme Yahoo!), selon Kelley Mak, analyste chez Forrester Research.

« Le malvertising va soit infecter par un ransomware, soit compromettre une machine et la recruter dans un botnet », a-t-il expliqué. « Le malvertising est boosté par la fraude au clic, car une annonce malveillante peut permettre de recruter les nouveaux bots dont les pirates ont besoin ».

Mak pense que les pirates seront plus susceptibles d'utiliser des campagnes de malvertising pour recruter des bots pour la fraude au clic plutôt que pour répandre des ransomwares sur une machine. L'une des raisons le dirigeant vers cette conclusion est qu'il est plus facile de générer de l'argent de la fraude au clic, mais, plus important encore, il y a aussi beaucoup moins de risques pour les pirates. « Les gens victimes de la fraude de clic ne vont probablement pas essayer de demander de l'aide d'une agence gouvernementale - ils sont plus susceptibles d’essayer simplement de bloquer les bots, donc le risque est beaucoup plus faible », continue-t-il.

« Si vous êtes un directeur des systèmes d’information, vous devez vous demander la raison pour laquelle les gens veulent pénétrer votre réseau. Il arrive que la réponse est “pour obtenir vos données”. Cependant, les pirates veulent de plus en plus commettre des fraudes relatives aux annonces. La motivation principale pour un pirate est de commettre une fraude au clic dans la mesure où cela fournit un moyen de rentabiliser la machine compromise. Une fois qu’ils ont fait ce qu’ils voulaient, alors ils peuvent chercher quoi faire d’autre avec la machine compromise » a estimé Dan Kaminsky, le chercheur en sécurité qui a découvert une faille fondamentale dans le protocole DNS en 2008.

« Il y a tout un écosystème », a expliqué Kaminsky, « quelqu’un trouve des vulnérabilités, une autre personne déploie des exploits, et puis il y a des personnes qui achètent (les machines compromises) par la suite pour faire toutes sortes de choses avec elles ». Kaminsky évoque entre autres le vol de données d’entreprise et un éventail d’autres méfaits.

Mais qui en sont les victimes ? Kaminsky affirme que « lorsque vous volez une banque, les gens sont fâchés. Mais lorsque vous volez un annonceur, ses statistiques étant élevé il sera heureux ». Pour lui, « dans la publicité, vous pouvez réaliser des millions de dollars de fraude et personne ne s’en apercevra. En fait, les gens sont heureux parce que le nombre de clics a augmenté ». Mais en dehors des annonceurs, Kaminsky pense que d’autres victimes sont les directeurs des systèmes d’information (DSI) de grandes entreprises : « ils sont les victimes parce qu’en général ce sont les personnes dont les ordinateurs ont été attaqués ». Et de préciser que « si vous êtes un DSI et que votre travail est de protéger le réseau, alors la fraude au clic est la cause d'une grande catégorie de menaces auxquelles vous aurez à faire face ».

S’il y a peu de chances que la fraude au clic dispose d’une place de choix à l’ordre du jour des priorités des DSI et de leurs équipes de sécurité, Kaminsky pense que ce type d’activité nuit aux entreprises d’une manière plus fondamentale dans la mesure où elle remet en cause internet comme outil générateur d’activité économique : « l'écosystème tout entier est menacé par la fraude au clic », a-t-il avancé, « Pourquoi ? Parce que cela coûte de l’argent pour concevoir le web et si l’argent est siphonné par des personnes qui ne participent pas à sa conception, alors les business légitimes vont devoir travailler plus et plus pour produire de moins en moins ».

D’après une estimation de la société américaine White Ops, spécialisée dans la sécurité des publicités en ligne, en association avec l’Association of National Advertisers, la fraude au clic pourrait coûter 7,2 milliards de dollars à l’industrie de la publicité dans le monde entier durant l’année 2016. La DGCCRF, l’administration française relevant du ministère de l’Économie, chiffre à 163 milliards de dollars son estimation du volume de l’industrie de la publicité en ligne courant 2016.

Source : CIO

Et vous ?

Qu'en pensez-vous ?

L'industrie de la publicité en ligne devrait-elle considérer cette menace au même titre que les bloqueurs de publicité ?

Voir aussi :

Le site The Pirate Bay a été la cible d'une campagne de malvertising, les utilisateurs ont été infectés par le ransomware Cerber

Yahoo! victime d'une vaste campagne de publicités malveillantes, les attaquants ont encore exploité une vulnérabilité dans Flash

[Sodium]

la fraude au clic pourrait coûter 7,2 milliards de dollars à l’industrie de la publicité dans le monde entier durant l’année 2016.

Ohhhh nooooooooooooonn

[remotesolo]

Le premier fraudeur mondial au clic est google lui même ... mais comme personne ne peut le prouver (hormis si un jour on a un googleleaks d'un employé haut placé qui a les vrais chiffres) ...
Il est très facile avec leurs outils automatisés de statistiques de savoir jusqu'à quel % du revenus générés chaque catégorie d'entreprise est prête à payer pour vendre chaque type de produit ... donc au final leurs robots génèrent autant de faux clics qu'il faut pour rester juste en dessous de ce seuil de tolérance (au delà duquel ils savent que les annonces sont massivement retirées par leurs clients) ...

Et en plus ça peut être un processus dynamique qui s'adapte aux changements du seuil de tolérance du pool de client en temps réel.

On passe de "big brother is watching you" à "big brother is robbing you".

En situation de quasi monopôle tout devient possible ...

[Andarus]

Le premier fraudeur mondial au clic est google lui même...

Ils ont la possibilité de le faire mais comment pouvez-vous affirmer qu'ils le font.

[Sodium]

Ils ont la possibilité de le faire mais je doute qu'ils le fassent. Je pense que leur position de quasi-monopole génère très largement assez de revenus pour que les risques et les conséquences de se faire prendre la main dans le sac outrepassent très largement les bénéfices de l'arnaque.

[MikeRowSoft]

C'est comme confondre Caisse d'Allocation Familiale (C.A.F.) et Confédération Africaine de Football (C.A.F.). Pourtant le terrain de football n'est pas loin, mais il est proposé que sa alors que j'ai besoin d'autres choses...

[sinople]

la fraude au clic pourrait coûter 7,2 milliards de dollars à l’industrie de la publicité dans le monde entier durant l’année 2016.

Je peine à comprendre ce chiffre. Il représente l'argent investi dans des annonces "inutiles" ou le manque à gagner des agences à cause des clients qui réduirait le budget à cause d'un "manque d'efficacité au niveau du retour" ?

[benjani13]

Quid de la fraude au clic organisé par les sites eux même? Le nombre de fois ou je charge une page, je veux cliquer sur un menu et à ce moment là une pub se charge à la place du menu, le menu se décalant vers le bas, et paf clique involontaire sur la pub....

[remotesolo]

Ils ont la possibilité de le faire mais comment pouvez-vous affirmer qu'ils le font.

C'est ça qui est beau avec les outils entièrement automatisés, très peu de personnes en interne savent réellement ce qui se passe donc il est quasi impossible qu'un jour l'information soit rendue publique.
Donc on ne peut rien affirmer , juste se dire que c'est tellement facile pour eux et tellement difficile à démontrer pour les autres .... après chacun en tire ses propres conclusions.

Mais pour avoir utilisé adwords avec une annonce très ciblée (donc peu de chances que des gens cliquent dessus "par hasard") , je me retrouvais quand même avec un taux de conversion inférieur à 1% (donc plus de 100 clics pour un contact réel) ... donc 99% des "gens" cliquent "par erreur" ou "juste par curiosité" sur une annonce texte ciblée ? J'ai vraiment du mal à le croire !

[Andarus]

C'est ça qui est beau avec les outils entièrement automatisés, très peu de personnes en interne savent réellement ce qui se passe donc il est quasi impossible qu'un jour l'information soit rendue publique.
Donc on ne peut rien affirmer , juste se dire que c'est tellement facile pour eux et tellement difficile à démontrer pour les autres .... après chacun en tire ses propres conclusions.

Mais pour avoir utilisé adwords avec une annonce très ciblée (donc peu de chances que des gens cliquent dessus "par hasard") , je me retrouvais quand même avec un taux de conversion inférieur à 1% (donc plus de 100 clics pour un contact réel) ... donc 99% des "gens" cliquent "par erreur" ou "juste par curiosité" sur une annonce texte ciblée ? J'ai vraiment du mal à le croire !

Si tu parle d'un taux de conversion(click -> vente) 2% représente déjà un bon chiffre.

[remotesolo]

Non là ce n'est pas de la vente de produit physique, mais de la prestation de service dans une niche (donc c'est très ciblé).
Quand tu vends un produit tout nouveau, tout beau avec une photo ça peut attirer des curieux et des tas de clics pour rien.
Quand tu vends de la presta sur des vieilles technos moche .... les clics de curieux ça doit être très rare (hormis un concurrent qui veux connaitre ton tarif, plus de détails) ... alors 99% de curieux ou d'erreurs sur ce genre d'annonces désolé mais c'est pas réaliste ...

Après ça peut être un concurrent qui m'en voulais et qui allait tous les jours sans jamais rater une journée cliquer sur mon annonce pour me faire payer + cher, m'enfin bon c'est pas très crédible