La fraude publicitaire, le cauchemar des annonceurs

Par Sylvain Rolland  |   |  1686  mots
En surfant automatiquement sur le web et les réseaux sociaux, en cliquant sur des publicités, en lançant des vidéos et même en réalisant des recherches sur les moteurs de recherche, les bots augmentent artificiellement le trafic et génèrent donc énormément d'argent pour les fraudeurs. La fraude publicitaire mondiale devrait coûter 7,2 milliards de dollars aux annonceurs en 2016 dans le monde. (Crédits : REUTERS/Jim Urquhart)
La fraude publicitaire, qui consiste à empêcher une publicité de diffuser le bon message, à la bonne personne et au bon endroit, ne cesse de croître et devrait coûter 7,2 milliards de dollars aux annonceurs dans le monde en 2016. Qui sont les fraudeurs et comment fonctionnent-ils ? Un premier livre blanc donne quelques réponses.

Détourner l'argent des éditeurs, fausser la performance des campagnes en gonflant artificiellement le nombre de vues d'une publicité en ligne... La fraude publicitaire, dont on parle peu et qui n'est même pas reconnue ni pénalisée dans de nombreux pays du monde (principalement en Asie et en Europe de l'Est), est pourtant devenue, en à peine un an, la crainte principale des annonceurs.

On part de loin. Jusqu'à peu, cette pratique passait totalement sous le radar. On l'appelait "trafic invalide" (IVT) ou "trafic non-humain" (NHT). Mais les premières études sérieuses sur le sujet ont alerté les acteurs de l'industrie. Ainsi, selon l'Association of National Advertisers, la fraude publicitaire mondiale devrait coûter 7,2 milliards de dollars aux annonceurs en 2016. Ces experts américains estiment qu'entre 10% et 30% des publicités en ligne sont sujettes à des pratiques frauduleuses. Un taux très important, qui peut exploser dans certains cas, notamment auprès des acteurs qui n'utilisent aucun outil de détection ou de prévention.

C'est donc un enjeu crucial pour les membres de l'industrie publicitaire digitale -annonceurs, agences, tradind-desks, plateformes, régies et éditeurs de sites- surtout depuis que le chiffre d'affaires de la publicité en ligne a dépassé celui de la télévision dans tous les marchés matures.

Plus rentable que le crime organisé

Pour alerter les agences et les annonceurs, l'institut Integral Ad Science (IAS) s'est penché sur l'ampleur du phénomène. Ces derniers mois, ses experts ont conduit de nombreux interrogatoires avec les membres de l'industrie publicitaire digitale aux États-Unis. Il en ressort un livre blanc, le premier état des lieux complet du business de la fraude publicitaire, qui sera disponible sur le site d'IAS lundi 5 décembre.

Le constat est sans appel. "La majorité des acteurs du secteur sait que la fraude existe, mais peu de personnes comprennent son fonctionnement", affirme l'étude. Branche obscure du cybercrime, la fraude publicitaire est pourtant, d'après IAS, celle qui rapporte le plus d'argent, comme le note Yann Le Roux, le directeur général d'IAS France:

"C'est un business colossal pour trois raisons. D'abord parce que c'est plutôt facile à réaliser techniquement, pas besoin d'être un surdoué de l'informatique. Ensuite, parce que c'est peu risqué : la plupart des pays n'ont pas de législation pour lutter contre la fraude publicitaire. Ensuite, car c'est très rentable. Cela rapporte davantage que le crime organisé, le vol d'adresses IP et l'extorsion de fonds, qui sont les trois autres secteurs les plus lucratifs dans la cybercriminalité"

Conséquence : de véritables mafias de la fraude publicitaire se sont montées. "Le secteur est très organisé, avec des armées de développeurs, de data scientists et de hackers, qui opèrent surtout depuis l'Asie et l'Europe de l'Est", ajoute Yann Le Roux.

72% des fraudes ont lieu sur PC, 28% sur mobile

Concrètement, la fraude publicitaire concerne "toute activité empêchant délibérément la bonne exposition des publicités auprès de la bonne personne, au bon moment, au bon endroit", précise l'étude. Elle possède au moins trois des critères suivants, ajoute Marketing Lab : son trafic est généré par des machines (dont des bots), la visibilité de la publicuté est nulle, ou elle est volontairement dénaturée.

Même les éditeurs Premium, qui réalisent des campagnes auprès d'un public nombreux et qualifié, peuvent faire l'objet d'attaques éclairs. 72% des fraudes ont lieu sur PC et 28% sur mobile, mais le ratio est destiné à s'équilibrer au fur et à mesure que la publicité mobile prend du galon. Ainsi, selon le cabinet eMarketer, le marché de la publicité mobile pèsera 100 milliards de dollars dans le monde en 2016, soit 51% du marché de la publicité en ligne, et devrait doubler d'ici à 2025. "Mécaniquement, la part des fraudes sur mobile va augmenter", confirme Yann Le Roux.

Côté support, le marché de la programmatique, c'est-à-dire l'achat et la vente de publicités de manière automatisée, grâce à des algorithmes, est davantage susceptible de contenir de la fraude, jusqu'à quatre fois plus par rapport aux achats directs. Tout simplement car l'achat/vente en direct est plus transparent. Les publicités vidéos sont également davantage ciblées que les autres formats digitaux, car les fraudeurs privilégient les formats les plus chers et les plus demandés.

Quelles sont les méthodes des fraudeurs ?

  • Les bots

Les bots sont l'arme numéro un des hackers. Ils peuvent surfer automatiquement sur le web et les réseaux sociaux, cliquer sur des publicités, lancer des vidéos et même réaliser des recherches, pour augmenter artificiellement le trafic et donc générer énormément d'argent pour les fraudeurs.

Ces bots sont des virus. Le plus souvent, les particuliers ne savent même pas que leur ordinateur est infecté, car les bots publicitaires utilisent ses ressources avec prudence (ils ralentissent très peu l'affichage des pages) et ne réalisent pas d'autres actions malveillantes.

La fraude via des bots est massive. Des réseaux entiers sont mis en place par les hackers. "La plupart des logiciels malveillants -les malwares- sont conçus avec la capacité de se joindre à un botnet, un réseau de machines. Ces malwares se propagent avec l'ouverture de pièces jointes, de liens dangereux, en navigant sur des sites mal protégés", détaille Yann Le Roux.

Après l'infection, l'ordinateur se transforme en zombie. Le bot communique avec un serveur central qui lui donne les instructions à suivre. Parfois, les fraudeurs louent des ordinateurs auprès de data centers, qui disposent de milliers d'ordinateurs utilisables à l'heure, au jour ou plus longtemps.

Quelquefois, la fraude aux bots est volontaire. Lorsqu'un internaute veut obtenir un plus grand nombre de visites sur son site ou son blog, il peut alors connecter son ordinateur à un réseau de "volunteer bots" (botnets volontaire), afin de contribuer à la fraude et de recevoir en échange du trafic sur son propre contenu.

  • L'empilement de publicités (ad stacking)

Il s'agit d'empiler plusieurs publicités les unes sur les autres au sein d'un même emplacement publicitaire. Seule la publicité du dessus est visible... L'annonceur paie donc pour des impressions que l'utilisateur final ne voit pas.

  • Le "pixel stuffing"

Cette technique consiste à diffuser une ou plusieurs publicités, voire un site entier, dans un cadre publicitaire minuscule, d'une taille de 1x1 pixel ! Ce qui rend les publicités invisibles à l'œil nu.

  • La fraude à la géolocalisation

Avec les progrès du ciblage publicitaire, la géolocalisation devient un critère clé pour les annonceurs, qui peuvent améliorer la pertinence et le taux de conversion de leurs publicités en se servant de l'endroit où se trouve leur cible.

Concrètement, la fraude consiste à vendre à un annonceur un CPM Premium (c'est-à-dire des publicités qui rapportent de l'argent à l'impression, lorsqu'elles s'affichent sur la page) pour un inventaire diffusé dans un pays ou une région définie, mais en réalité, le trafic a lieu à un autre endroit. Un internaute situé à Marseille verrait ainsi une publicité pour le Mont-Saint-Michel... Évidemment, le taux de conversion sera très faible.

  • Le détournement de cookie (cookie stuffing)

Pour cette fraude, les hackers se servent des cookies, qui permettent de tracer le comportement de l'internaute. Utile pour déterminer quel levier publicitaire a généré une conversion, quelle qu'elle soit (clic, achat...). "Les fraudeurs tentent de tromper les modèles d'attribution des cookies en ajoutant à un utilisateur un cookie d'un site internet complètement différent de celui qu'il a visité à l'origine", explique l'étude. Si l'utilisateur "convertit" ultérieurement, le site internet associé au cookie frauduleux obtient le crédit et le profit lié à cette action...

  • L'usurpation de domaine (domain spoofing)

Il s'agit de détourner l'URL pour faire croire à l'agence que ses publicités seront diffusées sur un site Premium et approprié à la marque, alors qu'en réalité elles apparaîtront sur un site de faible qualité ou risqué. Les impressions et les utilisateurs sont donc réels, mais l'inventaire est faux, donc acheté trop cher.

Cette pratique est souvent utilisée pour cacher le site qu'on veut monétiser, notamment les sites de piratage de vidéos, illégaux, sur lesquels les annonceurs ne veulent pas miser, mais sur lesquels le trafic est important... Cela permet donc à ses sites de gagner de l'argent sur le dos des acheteurs et des vendeurs.

Qui sont les fraudeurs ?

Les fraudeurs sont très difficiles à identifier, mais ils se divisent en trois profils distincts. Le pirate informatique, tout d'abord. Généralement, c'est un homme entre 18 et 35 ans, qui dispose de bonnes connaissances en informatique. Ce hacker écrit le code pour pénétrer dans un ordinateur et en prendre le contrôle. Il se réfère à un opérateur de botnet, généralement un homme de plus de 34 ans, qui coordonne ses actions avec les revendeurs de trafic et envoie des instructions que les bots doivent suivre. De son côté, le revendeur de trafic fait office d'intermédiaire. Il connecte les sites cherchant à augmenter leur trafic aux opérateurs de botnet.

Les fraudeurs opèrent souvent là où il est difficile d'appliquer les lois relatives à la fraude publicitaire, par exemple en Europe de l'Est, en Russie ou en Asie.

"La motivation des hackers peut être l'argent, la curiosité, la notoriété, tandis que l'opérateur de botnet est uniquement motivé par l'argent. Ces opérateurs orchestrent la fraude publicitaire en utilisant les hackers à leur avantage", écrit l'étude.

Mais si la fraude est si répandue, c'est aussi car elle est parfois... pilotée de l'intérieur:

"La triste réalité est qu'il existe un grand nombre de personnes en lien avec l'industrie de l'ad tech qui sont familiers de la fraude. Ils savent comment l'utiliser pour se faire de l'argent, depuis la mise en place de faux réseaux de contenus à la divulgation d'informations secrètes aux pirates informatiques, en utilisant une entreprise légale pour dissimuler la vente de trafic".