La fraude au clic, de quoi s’agit-il exactement ? Cette expression met sur scène des « clics issus de pratiques frauduleuses ou malveillantes », comme l’explique Google. Plusieurs méthodes peuvent être employées :
les clics manuels ;
la création de réseaux de cliqueurs, dans lesquels des internautes sont recrutés pour cliquer manuellement sur les annonces ;
les sites de clics rémunérés, qui se présentent souvent comme des systèmes pyramidaux créés par les éditeurs ;
l’utilisation de logiciels de clics automatiques ;
la création de réseaux de zombies, où des ordinateurs piratés sont utilisés par des logiciels de clics automatiques.
Dans le cas des réseaux de zombies, un ordinateur est infecté par un bot. Ce dernier va générer des clics à répétition sur des publicités, faisant ainsi grimper les chiffres des taux de clics. Pourtant, ces statistiques servent entre autres à déterminer les prix d’achat d’espace publicitaire qui deviennent alors des acquisitions vaines dans la mesure où ils n’atteignent pas réellement le consommateur cible.
Pour concevoir des réseaux de zombies et mener à bien des campagnes de fraudes au clic, les pirates doivent compromettre un flux régulier de nouvelles machines pour remplacer celles qui ne sont plus efficaces. Pour ce faire, ils se tournent vers le malvertising : ils placent des publicités contenant des logiciels malveillants qui infectent les visiteurs sur des sites populaires (comme The Pirate Bay), des sites web de bonne réputation (comme Yahoo!), selon Kelley Mak, analyste chez Forrester Research.
« Le malvertising va soit infecter par un ransomware, soit compromettre une machine et la recruter dans un botnet », a-t-il expliqué. « Le malvertising est boosté par la fraude au clic, car une annonce malveillante peut permettre de recruter les nouveaux bots dont les pirates ont besoin ».
Mak pense que les pirates seront plus susceptibles d’utiliser des campagnes de malvertising pour recruter des bots pour la fraude au clic plutôt que pour répandre des ransomwares sur une machine. L’une des raisons le dirigeant vers cette conclusion est qu’il est plus facile de générer de l’argent de la fraude au clic, mais, plus important encore, il y a aussi beaucoup moins de risques pour les pirates. « Les gens victimes de la fraude de clic ne vont probablement pas essayer de demander de l’aide d’une agence gouvernementale – ils sont plus susceptibles d’essayer simplement de bloquer les bots, donc le risque est beaucoup plus faible », continue-t-il.
« Si vous êtes un directeur des systèmes d’information, vous devez vous demander la raison pour laquelle les gens veulent pénétrer votre réseau. Il arrive que la réponse est “pour obtenir vos données”. Cependant, les pirates veulent de plus en plus commettre des fraudes relatives aux annonces. La motivation principale pour un pirate est de commettre une fraude au clic dans la mesure où cela fournit un moyen de rentabiliser la machine compromise. Une fois qu’ils ont fait ce qu’ils voulaient, alors ils peuvent chercher quoi faire d’autre avec la machine compromise » a estimé Dan Kaminsky, le chercheur en sécurité qui a découvert une faille fondamentale dans le protocole DNS en 2008.
« Il y a tout un écosystème », a expliqué Kaminsky, « quelqu’un trouve des vulnérabilités, une autre personne déploie des exploits, et puis il y a des personnes qui achètent (les machines compromises) par la suite pour faire toutes sortes de choses avec elles ». Kaminsky évoque entre autres le vol de données d’entreprise et un éventail d’autres méfaits.
Mais qui en sont les victimes ? Kaminsky affirme que « lorsque vous volez une banque, les gens sont fâchés. Mais lorsque vous volez un annonceur, ses statistiques étant élevé il sera heureux ». Pour lui, « dans la publicité, vous pouvez réaliser des millions de dollars de fraude et personne ne s’en apercevra. En fait, les gens sont heureux parce que le nombre de clics a augmenté ». Mais en dehors des annonceurs, Kaminsky pense que d’autres victimes sont les directeurs des systèmes d’information (DSI) de grandes entreprises : « ils sont les victimes parce qu’en général ce sont les personnes dont les ordinateurs ont été attaqués ». Et de préciser que « si vous êtes un DSI et que votre travail est de protéger le réseau, alors la fraude au clic est la cause d’une grande catégorie de menaces auxquelles vous aurez à faire face ».
S’il y a peu de chances que la fraude au clic dispose d’une place de choix à l’ordre du jour des priorités des DSI et de leurs équipes de sécurité, Kaminsky pense que ce type d’activité nuit aux entreprises d’une manière plus fondamentale dans la mesure où elle remet en cause internet comme outil générateur d’activité économique : « l’écosystème tout entier est menacé par la fraude au clic », a-t-il avancé, « Pourquoi ? Parce que cela coûte de l’argent pour concevoir le web et si l’argent est siphonné par des personnes qui ne participent pas à sa conception, alors les business légitimes vont devoir travailler plus et plus pour produire de moins en moins ».
D’après une estimation de la société américaine White Ops, spécialisée dans la sécurité des publicités en ligne, en association avec l’Association of National Advertisers, la fraude au clic pourrait coûter 7,2 milliards de dollars à l’industrie de la publicité dans le monde entier durant l’année 2016. La DGCCRF, l’administration française relevant du ministère de l’Économie, chiffre à 163 milliards de dollars son estimation du volume de l’industrie de la publicité en ligne courant 2016.