La protection contre les clics frauduleux : pourquoi les éditeurs de contenus doivent aussi s’en soucier

En tant qu’éditeur de contenus, il ne vous a pas échappé que la fraude au clic était une épée à double tranchant : lorsque des annonces sont cliquées par quelqu’un qui n’a aucune intention d’acheter les produits concernés, rien ne vous empêche de percevoir votre commission. Mais en revanche, si vos annonceurs découvrent une fraude au clic, ils ne le prendront pas à la légère.

Aussi alléchante que puisse être la perspective de passer sous silence ce trafic suspect, la meilleure stratégie sur le long terme consiste à mettre en œuvre un système efficace de protection contre la fraude au clic. Du reste, une telle mesure ne relève pas uniquement d’un choix moral ; comme nous allons le voir, elle peut se justifier tout autant en raison des conséquences sur le plan financier.

L’élimination de la fraude au clic perpétrée par des bots aura pour effet d’améliorer votre réputation auprès des annonceurs actuels et futurs, mais pas seulement. L’assainissement de votre trafic vous permet, en outre, de limiter votre exposition aux coûteuses attaques DoS de la couche 7, d’alléger la facture de votre réseau CDN et de réduire les risques de sanctions légales, et vous faire économiser de l’argent de multiples autres façons.

Dans cet article, nous allons voir dans quelle mesure la fraude au clic peut causer des ravages, étudier la nature d’une telle attaque, analyser les différents moyens de vous prémunir, ainsi que les méthodes mises en œuvre par DataDome pour garantir une protection non seulement contre ce type de fraude, mais aussi contre 100 % des menaces automatisées recensées par l’OWASP.

Sommaire :

1. Description de la fraude au clic (OAT-003)
2. Qui commet la fraude au clic et dans quel but ?
3. Anatomie d’une attaque par fraude au clic
4. Stratégies communes de protection contre la fraude au clic
5. Comment DataDome vous protège, vous et vos annonceurs, contre la fraude au clic

Description de la fraude au clic (OAT-003)

La fraude au clic constitue un sous-ensemble de la fraude publicitaire, par le biais duquel des individus ou des logiciels (des robots) cliquent sur des annonces PPC (Pay-Per-Click), sans aucune intention d’acheter le produit ni d’effectuer une inscription. Il en résulte un épuisement plus rapide du budget des annonceurs et une hausse de leur coût par prospect, ainsi qu’un gonflement artificiel du revenu de l’éditeur du site sur lequel les annonces sont affichées.

En 2017, le spécialiste des études sur la fraude Pixalate a découvert qu’environ un clic sur cinq effectué sur des publicités depuis un ordinateur était frauduleux. Sachant que les dépenses mondiales liées à la publicité numérique ont allègrement franchi le seuil des 250 milliards de dollars en 2019, le coût de la fraude au clic se chiffre lui aussi chaque année à plusieurs milliards pour les entreprises.

La mise en place d’une protection efficace contre la fraude au clic est donc vitale, notamment dans des secteurs d’activité tels que les logiciels juridiques, médicaux et commerciaux où les mots-clés ont une valeur élevée.

Pour comprendre l’ampleur des dommages causés par la fraude au clic, prenons quelques exemples concrets. En 2015, une société de cybersécurité a découvert que des pirates informatiques avaient créé une infrastructure comprenant plusieurs centaines de milliers d’adresses URL illicites, dont le but était d’appâter les annonceurs publicitaires. Ils avaient également construit un vaste réseau de bots informatiques composé d’un demi-million d’adresses IP spécialement programmées pour cliquer sur les publicités associées à ces URL. Le schéma, baptisé Methbot, dépossédait ainsi illicitement les annonceurs au rythme de quelque 3 à 5 millions de dollars par jour !

Les hackers ont été arrêtés entre-temps, mais certains rapports font état d’une poursuite de cette fraude par le biais d’ordinateurs tiers encore infectés aujourd’hui par des programmes malveillants. Dès lors, la protection contre la fraude au clic apparaît indispensable pour éviter d’abandonner des revenus publicitaires au profit de ces types de programmes particulièrement complexes.

Qui commet la fraude au clic et dans quel but ?

Dans l’exemple de Methbot, les impétrants avaient mis en place un plan élaboré visant à dérober l’argent des annonceurs et engranger des bénéfices. Pour autant, la fraude au clic n’est pas obligatoirement l’œuvre de pirates : très souvent, ce sont les concurrents d’une entreprise qui en sont à l’origine. Ainsi, il n’est pas rare qu’une société encourage ses salariés à cliquer sur les publicités de ses concurrents, voire qu’elle aille jusqu’à recruter un travailleur à bas coût investi de cette seule mission.

Là où la fraude au clic est également dangereuse pour les éditeurs, c’est quand elle nuit à la relation qui les unit à leurs annonceurs. À titre d’exemple, supposons que le concurrent d’un éditeur donné commence à cliquer sur les publicités diffusées par son site Web. Bien que ses revenus soient dans un premier temps appelés à augmenter, il peut sembler au bout du compte qu’une fraude au clic a été commise par cet éditeur, dans la mesure où l’annonceur le rétribue sans obtenir de nouveaux utilisateurs.

Outre le grave préjudice qui en résulte pour la relation entre l’éditeur et l’annonceur, la réputation des deux entreprises peut s’en trouver entachée, comme ce fut le cas entre Uber et l’agence de publicité Fetch : Uber avait tout d’abord reproché à Fetch de lui avoir facturé de faux clics sur ses publicités. Fetch a récusé cette plainte, à laquelle Uber a volontairement choisi de ne pas donner suite, mais en cessant illico de rétribuer Fetch. C’est donc désormais Fetch qui traîne Uber en justice pour récupérer son dû. C’est la pagaille, et la perspective d’imbroglios similaires est une raison supplémentaire de vous protéger contre la fraude au clic.

Anatomie d’une attaque par fraude au clic

La fraude au clic s’exerce par deux moyens distincts. Dans un premier cas de figure, il s’agit d’un individu qui se contente de cliquer manuellement sur une publicité. Aussi longue et inefficace que puisse sembler cette méthode, imaginez que dix employés cliquent huit fois par jour sur une annonce PPC d’une valeur de 5 euros. Pour l’annonceur, cela représenterait un budget de 400 euros par jour, soit 12 000 euros par mois. Assurément un montant suffisant pour grever sérieusement bon nombre de budgets publicitaires.

Un second cas plus fréquent est celui d’un bot isolé, ou d’un réseau de bots, conçu pour cliquer automatiquement sur les annonces de sites Web ciblés. Le caractère à la fois automatisé et rapide de ce type d’attaque est l’une des raisons pour lesquelles le réseau Methbot a été capable de générer quotidiennement des montants aussi élevés. Au fur et à mesure que le temps passe, ces bots acquièrent un degré de sophistication de plus en plus élevé, au point de devenir beaucoup plus difficiles à suivre et à stopper.

Figure 1: OAT-003 Ad Fraud

Stratégies communes de protection contre la fraude au clic

Pour se prémunir contre la fraude au clic, les annonceurs peuvent mettre en place une série de règles de bonne pratique. En premier lieu, ils peuvent choisir de ne travailler qu’avec des éditeurs ou des réseaux publicitaires réputés (tels que vous). Deuxièmement, ils peuvent limiter l’exposition de leurs annonces en les diffusant exclusivement dans des pays où la fraude au clic est moins susceptible d’avoir lieu. Troisièmement, ils maintiennent une surveillance constante de leurs campagnes publicitaires afin de déceler la survenue d’éventuelles anomalies en termes de coûts.

Pour vous, en tant qu’éditeur, l’identification et la protection contre la fraude au clic sont une affaire un peu plus complexe. Vous devez, pour déterminer si vous êtes victime de fraude, effectuer un suivi des variables suivantes :

• Adresse IP. Forte densité de clics provenant d’adresses IP identiques ou similaires.
• Horodatage des clics. Nombre élevé de clics dans un laps de temps très court.
• Horodatage des actions. Court laps de temps entre une connexion à votre site Web et le clic sur la publicité.

Malheureusement, comme nous l’avons mentionné plus haut, les bots deviennent de plus en plus sophistiqués et peuvent berner même les webmasters bien intentionnés qui observent sans relâche ces trois variables. Pour preuve, l’attaque Methbot a employé plus de 500 000 adresses IP dédiées afin de s’assurer que tout filtrage IP resterait inefficace.

Comment DataDome vous protège, vous et vos annonceurs, contre la fraude au clic

DataDome est une solution de protection anti-bots de type SaaS qui protège vos ressources numériques contre les robots malveillants, y compris contre la fraude au clic. DataDome analyse 100 % des requêtes adressées à votre site Web en temps réel, en déterminant en moins de 2 millisecondes si le visiteur est un humain ou un robot. Les bots malveillants sont bloqués par défaut, mais vous pouvez affiner facilement la réponse en définissant vos propres règles personnalisées.

La société de médias Diwanee, propriétaire de plusieurs sites Web populaires de commerce électronique et de gestion de contenus, a fait appel à DataDome pour se protéger contre le scraping illicite pratiqué par ses concurrents et mettre un terme à tous les clics illégitimes visant ses annonces publicitaires. Ceci a assaini le trafic, réduit la charge supportée par ses serveurs et préservé la satisfaction de ses annonceurs.

Commencez votre processus de protection contre la fraude au clic dès aujourd’hui en cliquant sur l’un des boutons ci-dessous pour commencer votre essai gratuit DataDome ou demander une démonstration.