L’industrie de la publicité en ligne génère un gros chiffre d’affaires qui devrait atteindre 163 milliards de dollars en 2016, d’après la DGCCRF - administration française relevant du ministère de l’économie. Il s’agit donc d'une énorme opportunité pour les sociétés telles que Google, Facebook et Yahoo! qui en retirent d’ailleurs une partie importante de leurs revenus. D’une manière ou d’une autre, en plus des plateformes publicitaires, différents acteurs économiques essaient de tirer parti de ce marché en pleine croissance, pour augmenter leurs revenus. Les entreprises veulent une meilleure visibilité de leurs produits afin d’augmenter leurs ventes, mais les acteurs malveillants du Web ont également réfléchi à la manière de perpétrer leurs attaques via ce nouveau canal.
Comme le montre la dernière campagne de publicités malveillantes contre Yahoo!, les cyber-attaquants s'orientent de plus en plus vers les plateformes publicitaires en injectant leurs logiciels malveillants dans les annonces. Mais il existe encore une autre forme de menace qui cible l’industrie de la pub, dans laquelle les acteurs essaient de prendre directement leur part du gâteau des revenus publicitaires : les attaques de fraude au clic.
La fraude au clic semble plus répandue, et elle intervient dans le cas des paiements au clic. Google définit les fraudes au clic comme des clics issus des pratiques frauduleuses ou malveillantes. Certains sites annonceurs peuvent y avoir recours pour essayer d’attaquer leurs concurrents en augmentant leurs frais ou en épuisant leur budget quotidien dès le début de la journée. D’autres sites par contre, plus précisément des éditeurs, peuvent également cliquer sur les annonces qui apparaissent sur leurs propres sites Web afin d’accroître leurs revenus.
Plusieurs méthodes sont utilisées pour mener ces attaques. Il s’agit notamment de :
- les clics manuels ;
- la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
- les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
- l’utilisation de logiciels de clics automatiques ;
- la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.
En ce qui concerne Google en particulier, une récente étude réalisée par le professeur Manuel Blázquez de l’université Complutense de Madrid montre par ailleurs qu’il existe une vulnérabilité dans son système AdSense qui pourrait permettre d’extraire automatiquement les liens vers les annonces, afin de générer du trafic frauduleux automatisé. Un attaquant pourrait exploiter cette vulnérabilité en obtenant le code JavaScript de Google intégré dans le code HTML de la page Web qui héberge les annonces. Ce code permet en effet de protéger les annonceurs contre les attaques de fraude au clic.
Toutes ces méthodes de fraude au clic rendent malsain le trafic publicitaire dans la mesure où les annonceurs victimes recevront du trafic ne venant pas de prospects. En l’absence de techniques de détection avancée, ces annonceurs devront donc payer pour du trafic fictif. La publicité risque alors d’augmenter leurs charges sans retour sur investissement pour les couvrir. Si ces pratiques dominent les clics légitimes, cela pourrait donc réduire le budget des annonceurs et par conséquent les revenus générés sur le marché de la publicité en ligne.
Source : Centre d’informations de Google sur la qualité du trafic
Plus de détails sur l'étude « Une vulnérabilité dans Google AdSense: extraction automatique des liens vers les annonces »Et vous ?
Que savez-vous de ces pratiques de clics frauduleux ? Qu’en pensez-vous ? Les attaques de fraude au clic pourraient-elles faire sombrer l’industrie de la publicité en ligne ? Forum Sécurité 
Envoyé par Michael Guilloux
