DataDome

Bloquer la fraude publicitaire avec DataDome Device Check

Table des matières
Ad fraud Bot management
Lorenzo Vayno, Technical Product Manager
22 Apr, 2024
|
min

Un leader du marché automobile en ligne, offrant à la fois des services de recherche et d’achat aux utilisateurs finaux ainsi qu’une plateforme de vente pour les concessionnaires, génère une partie de ses revenus grâce à des campagnes publicitaires en ligne. Ces campagnes augmentent la visibilité des offres des vendeurs de voitures. Afin de garantir un taux de conversion satisfaisant, il est primordial d’éviter les clics automatisés et frauduleux. La prévention de la fraude publicitaire protège non seulement les revenus générés par les campagnes publicitaires, mais renforce également la réputation de l’annonceur au sein de l’écosystème des vendeurs de voitures.

Pour ces raisons, l’entreprise a décidé d’étendre la protection contre les bots de DataDome à leurs campagnes publicitaires en ligne. Comme l’offre spécialisée de DataDome pour la prévention de la fraude publicitaire, Ad Protect, n’était pas encore disponible, elle a utilisé notre outil de challenge invisible : Device Check.

Le trafic nouvellement protégé consistait en une simple redirection du clic sur la publicité en ligne vers le domaine du concessionnaire automobile, le serveur du marché agissant comme un intermédiaire.

Un graphique montrant comment la protection DataDome agit comme un filtre pour le serveur du marché automobile

La fraude publicitaire est un contexte de détection difficile

Dans le contexte de la fraude publicitaire, il est particulièrement difficile d’appliquer les techniques classiques de détection de bots, car DataDome n’a accès qu’à des requêtes HTTP individuelles, indépendantes les unes des autres. Nous ne pouvons pas observer le comportement des utilisateurs finaux tout au long de leurs sessions, ni collecter d’informations sur le contexte d’origine du clic sur l’annonce. Les agrégations basées sur l’IP et les signaux de réputation sont disponibles, mais l’empreinte HTTP et la catégorisation IP à elles seules ne suffisent pas à détecter les bots sophistiqués menant des opérations de fraude publicitaire à grande échelle. En général, l’indisponibilité des données de session des utilisateurs finaux est l’un des principaux défis de la protection contre la fraude publicitaire.

Comment DataDome a-t-il détecté la fraude publicitaire avec Device Check ?

Le client a ajouté le trafic des clics publicitaires à la surveillance de DataDome sans activer la protection. Cela signifiait que DataDome surveillait et classifiait le trafic, mais ne bloquait ni ne mettait au défi aucune requête.

Pendant la première semaine, DataDome a détecté des activités de bots illégitimes dans environ 50 % du trafic surveillé.

Un graphique en camembert montrant que les menaces de bots représentaient 50% du trafic surveillé.

Le pourcentage quotidien de menaces de bots était stable, alors que le trafic suivait un schéma quotidien.

Un graphique montrant que le pourcentage quotidien de trafic de bots restait stable autour de 50%.

Un graphique montrant plusieurs pics et vallées de trafic de bots au fil du temps.

Caractéristiques du trafic lié à la fraude publicitaire

Pour mieux comprendre le trafic issu de la fraude publicitaire via les clics sur les annonces, examinons certaines de ses caractéristiques. Tout d’abord, on voit que la plupart du trafic provient de data centers. Le graphique ci-dessous montre les différentes sources de trafic – les IP résidentielles (rouges) génèrent beaucoup moins de requêtes malveillantes que les data centers (verts).

Un graphique montrant que la majorité du trafic de fraude publicitaire provient des IP de data centers.

Séparer le trafic par système autonome (AS) révèle une autre tendance intéressante : un data center spécifique génère la majorité des requêtes. Le graphique ci-dessous représente le trafic des 5 principaux systèmes autonomes, chaque couleur correspondant à un AS différent.

Un graphique montrant comment le trafic était réparti entre les systèmes autonomes.

La plupart du trafic généré par le principal data center (ligne bleue ci-dessus) a été signalé comme malveillant par DataDome. Mais y avait-il une réelle différence dans la qualité de ce trafic par rapport au trafic provenant des autres AS ?

En examinant le principal data center, plusieurs cas ont été observés :

  1. Bots envoyant plusieurs requêtes à partir d’une seule IP : non seulement ces IP étaient reconnues par DataDome dans d’autres contextes comme étant utilisées par des bots, mais les empreintes des requêtes contenaient des preuves telles que des user-agents obsolètes ou des en-têtes manquants.
  2. Bots envoyant une requête par IP : même sans motifs comportementaux, les empreintes de ces requêtes indiquaient clairement une activité de bot, avec des user-agents obsolètes ou des incohérences dans les en-têtes HTTP.

D’un autre côté, d’autres AS montraient une proportion beaucoup plus grande de trafic légitime, avec des user-agents récents et des en-têtes HTTP cohérents.

Gardez à l’esprit que, dans ce contexte initial, aucun signal côté client lié au comportement de l’utilisateur ou à l’empreinte du navigateur n’était disponible. Malgré ces limitations, DataDome a réussi à détecter correctement l’activité malveillante des bots en utilisant à la fois une analyse comportementale et basée sur des signatures. Une grande partie de ce trafic de bots provenait d’un centre de données spécifique. Étant donné la proportion de la menace — la moitié du trafic global du site web — le client a décidé d’activer la protection DataDome.

Device Check a révélé du trafic frauduleux caché dans les publicités

Une fois la protection activée, DataDome a commencé à exploiter son CAPTCHA et à bloquer le trafic malveillant. De plus, le client était un précurseur de Device Check, une nouvelle solution sans friction proposée par DataDome pour détecter les bots sophistiqués sans nécessiter d’interaction humaine. Cette nouvelle fonctionnalité s’est révélée très utile pour collecter davantage de signaux et effectuer des vérifications supplémentaires chaque fois qu’une requête présentait des traits suspects, sans preuves suffisantes pour être bloquée.

En d’autres termes, en ajoutant Device Check parmi les options de réponse de DataDome, les requêtes détectées comme malveillantes étaient bloquées, et le trafic suspect était confronté à Device Check avant de prendre la décision finale.

En une semaine, les réponses suivantes ont été appliquées :

Un graphique en camembert montrant qu'environ 65% des requêtes ont été soumises à Device Check

Device Check a été utilisé pour collecter des signaux supplémentaires côté client et détecter avec plus de précision les bots produisant des clics publicitaires frauduleux. Puisqu’il n’introduit pas de friction pour les utilisateurs finaux sous la forme d’un challenge CAPTCHA, Device Check a été utilisé à chaque fois que des soupçons d’activité de bot ont été trouvées ou que des informations manquaient dans l’empreinte HTTP. Il s’est avéré que 99,94 % du temps, Device Check détectait et bloquait un bot, tandis que seulement 0,06 % des challenges Device Check étaient proposés à (et réussis par) des utilisateurs légitimes.

Depuis que Device Check a été appliqué dans les cas où DataDome n’avait pas suffisamment de preuves pour classer une requête comme une menace, nous avons pu dévoiler une vaste proportion de fraude publicitaire qui était restée cachée pendant la phase initiale de surveillance.

Cet aspect devient évident en regardant comment la classification du trafic a varié après l’activation de la protection :

Un tableau affichant les variations dans la classification du trafic avant et après l'activation de la protection Device Check.

Une semaine après avoir activé la protection DataDome et utilisé Device Check, le trafic a été classé comme suit :

Un graphique en camembert montrant les classifications du trafic une semaine après l'activation de Device Check, notant que 78% du trafic était classifié comme malveillant

Ce n’est qu’après avoir activé la protection et interagi avec les requêtes suspectes grâce à Device Check que DataDome a disposé des conditions nécessaires pour stopper tout le trafic de fraude publicitaire.

Protégez vos publicités avec Ad Protect

Device Check a bien fonctionné pour le client dans cet exemple, mais désormais, nous disposons d’un outil encore meilleur pour détecter la fraude publicitaire : Ad Protect. Ad Protect analyse le trafic pour identifier les clics frauduleux et d’autres types de fraude publicitaire, afin que vous puissiez améliorer le ROI de vos campagnes marketing et éliminer les dépenses publicitaires inutiles. Voyez-le en action en démarrant un essai gratuit ou en réservant une démo dès aujourd’hui.

DataDome
Lorenzo Vayno
Technical Product Manager
Lorenzo Vayno est Technical Product Manager chez DataDome. Il travaille avec les équipes de recherche et d'analyse des menaces afin de développer nos capacités de protection contre les bots et nos analyses de données clés pour aider les clients à comprendre comment DataDome protège leurs propriétés. Il a 12 ans d'expérience dans le secteur informatique et plus de six ans dans la cybersécurité et la détection de la fraude, où il a occupé les postes d'analyste, d'ingénieur de données et de chef de produit. Il se passionne pour la mise en adéquation des besoins des entreprises avec un traitement performant des données et des algorithmes puissants afin de libérer Internet de la fraude.

Articles liés