What is click fraud? | How click bots work

La fraude au clic désigne les faux clics qui ciblent des annonces rémunérées au clic, boostent les classements de recherche d’une page internet ou gonflent artificiellement la popularité d’un post sur les réseaux sociaux. Les bots cliqueurs sont généralement à l’origine des fraudes au clic.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce qu’est la fraude au clic et pourquoi elle se produit
  • Découvrir comment fonctionne un bot cliqueur
  • Découvrir les effets négatifs de la fraude au clic

Copier le lien de l'article

Qu'est-ce que la fraude au clic ?

Il y a fraude au clic lorsqu’une personne ou un bot se fait passer être un visiteur légitime d’une page web et clique sur une annonce, un bouton ou tout autre type d’hyperlien. L’objectif d’une fraude au clic est de faire croire à une plate-forme ou un service que des personnes réelles interagissent avec une page Web, une annonce ou une application.

Click bot committing click fraud

Click fraud usually occurs on a large scale – each link is clicked many times, not just once, and usually multiple links are targeted. To automate this process, click fraudsters often use bots that "click" over and over. Bots comprise roughly 50% of all Internet traffic.* As much as 20% of websites that serve ads are visited exclusively by fraudulent click bots.**

Click fraud can have a variety of motivations. Most often, especially with ad fraud, the fraudsters are after financial gain. Sometimes, companies use click fraud to hurt their competitors' ad budgets by targeting their PPC (or "pay per click") ads with fraudulent clicks. Click fraud could have ideological motivations as well – artificial likes or upvotes to a post to make certain sentiments seem more popular than they really are, for instance. Cyber criminals can also use click fraud to make a malicious webpage show up higher in search rankings so that it appears legitimate.

Types de fraude au clic courants

Un exemple de fraude au clic est la fraude publicitaire : lorsqu'un opérateur de site web génère des clics frauduleux sur des annonces PPC sur son propre site web. Les auteurs de fraudes au clic peuvent créer des pages web qui affichent des annonces PPC, puis utiliser des bots cliqueurs pour « cliquer » sur ces annonces. A chaque clic, les annonceurs doivent payer l'opérateur du site (l'escroc). Plus il y a de clics frauduleux, plus l'annonceur doit payer le site web si la fraude n'est pas détectée.

La fraude publicitaire peut également être une attaque financière contre l'entreprise qui paie les publicités. Dans un tel cas, les fraudeurs ciblent les annonces PPC sur une propriété web qui ne leur appartient pas. L'escroc ne cherche pas à gagner de l'argent à partir des clics, mais l'entreprise ciblée doit payer le réseau d'annonces pour chaque clic, ce qui lui coûte de l'argent.

Un autre cas de fraude au clic se produit lorsque quelqu'un essaie d'influencer les classements des moteurs de recherche en augmentant artificiellement le taux de clics. Le « taux de clics » (CTR, Click Through Rate) fait référence au nombre d'utilisateurs sur l'ensemble des visiteurs d'une page qui cliquent sur un certain lien. Le CTR est un facteur de classement que les moteurs de recherche comme Google prennent en compte, bien que l'on ne connaisse pas l'importance qui lui est accordée. L'objectif de la fraude au clic dans ce cas est d'augmenter le taux de clics d'une page web, qui augmente ainsi le classement des moteurs de recherche et incite davantage d'utilisateurs réels à visiter la page.

Qu'est-ce qu'un bot cliqueur ?

Un bot cliqueur est un bot qui est programmé pour effectuer des clics frauduleux. Les bots cliqueurs les plus simples accèdent directement à une page web et cliquent sur le lien souhaité. Des bots cliqueurs bien conçus seront également programmés pour effectuer des actions qu'un utilisateur réel pourrait également effectuer : mouvements de la souris, pauses aléatoires avant d'effectuer une action, temps différent entre chaque clic, etc. De cette façon, l'escroc qui a créé le bot espère déguiser les clics du bot comme s'ils provenaient d'utilisateurs humains.

Étant donné que des centaines ou des milliers de clics générés depuis un seul appareil sembleraient immédiatement suspects, une campagne de fraude au clic utilise généralement des bots installés sur de nombreux appareils. Chacun de ces appareils a une adresse IP différente, chaque clic semble donc venir d’un utilisateur différent. Ce type de réseau d'appareils exécutant chacun une copie d'un bot est appelé botnet.

Les botnets impliquent des milliers voire des millions d'appareils d'utilisateur sur lesquelles des bots sont installés. La grande majorité du temps, ces bots cliqueurs de botnet sont exécutés sur les appareils à l'insu des utilisateurs suite à une infection par un logiciel malveillant. Plusieurs grands botnets bien connus ont été utilisés pour la fraude au clic. Par exemple, « Clickbot.A » était un botnet de fraude au clic qui a infecté plus de 100 000 machines utilisateur.

Il n’est pas nécessaire de recourir à un botnet pour réaliser une fraude au clic ; un seul bot peut également propager des clics illégitimes. Toutefois, le trafic de bots provenant d'une seule machine est plus facile à détecter et à bloquer. Le serveur web pourrait simplement arrêter de répondre à cette adresse IP.

Les fraudes au clic viennent-elles toujours de bots ?

Bien que les bots soient couramment utilisés pour effectuer des clics frauduleux, ces derniers peuvent également être exécutés par des travailleurs humains à bas salaire. Un groupe de tels travailleurs s'appelle une « ferme à clics ». Les fermes à clics existent souvent dans les régions où les salaires sont relativement bas, comme dans les pays en voie de développement.

Les travailleurs des fermes à clics sont affectés à certaines pages web pour cliquer sur des liens désignés afin de gonfler artificiellement les taux de clics ou le trafic total pour ces pages. Ils peuvent également être actifs sur les réseaux sociaux et ajouter des « j'aime » à certains articles ou à certaines pages pour augmenter leur visibilité.

L'avantage d'une ferme à clics, du point de vue des escrocs, est que le comportement des employés de la ferme à clics est plus susceptible d'imiter de manière convaincante un utilisateur légitime que le comportement d'un bot. L'inconvénient est que l'utilisation d'une ferme à clics est beaucoup moins efficace pour les fraudeurs et nécessite un grand nombre de ressources.

La plupart des auteurs de fraude au clic n’ont pas accès à des dizaines ou des centaines de travailleurs et il est beaucoup plus facile pour eux d’écrire quelques lignes de code et de créer des bots cliqueurs. C'est pour cette raison que la gestion des bots est si importante pour les entreprises qui cherchent à empêcher la fraude au clic.

Combien coûte la fraude au clic aux entreprises ?

La fraude au clic coûte des milliards aux réseaux de publicité. Les pertes des annonceurs s'élevaient à 19 milliards de dollars en raison de la fraude en 2018. Si les escrocs possèdent un botnet, ou ont piraté des adresses IP, ils peuvent perpétrer des fraudes au clic à grande échelle : dans une escroquerie de longue durée, découverte fin 2018, une seule organisation criminelle a empoché plus de 29 millions de dollars par le biais de la fraude aux annonces.

De la même façon, les entreprises qui effectuent des campagnes publicitaires rémunérées aux clics (PPC) peuvent également avoir à payer des clics frauduleux venant de bots. Une source a signalé qu'en 2016, les annonceurs avaient perdu 7,2 milliards de dollars à cause de la fraude publicitaire.

Comment la fraude au clics affecte-t-elle l'analytique des sites web ?

La fraude au clic peut mettre à mal l'analytique des sites web. Si les bots interagissent avec une propriété web, leurs activités sont incluses dans les données. Par conséquent, les personnes qui dirigent le site web ne peuvent pas mesurer l'efficacité réelle d'une annonce publicitaire ni juger du comportement réel d'utilisateurs légitimes. C'est un problème pour les entreprises qui souhaitent mesurer l'efficacité de leur contenu auprès d'un public ou qui souhaitent des informations précises sur le trafic et le comportement des utilisateurs sur leur site.

Une politique de gestion de l'activité des bots est extrêmement importante pour tout site web, application ou API disponible sur Internet. Sans la capacité d'atténuer le trafic de bots malveillants comme la fraude au clic, les bots peuvent avoir un impact négatif sur l'expérience client et coûter de l'argent aux entreprises.

Comment fonctionne la prévention de la fraude au clic ?

Certains annonceurs disposent de programmes de détection automatique pour bloquer les clics suspectés d’être effectués par des bots. Google, par exemple, utilise l'apprentissage automatique pour bloquer l’activité des bots relative aux annonces, ainsi qu’un processus de revue manuel. Cloudflare Bot Management fait également appel à l'apprentissage automatique pour détecter et atténuer la fraude au clic. Dans de tels programmes d'apprentissage automatique, si l’activité d’un utilisateur diffère trop de l’activité d’un utilisateur type, par exemple, si la seule action d’un utilisateur consiste à cliquer sur les annonces, alors l’utilisateur est marqué comme étant un bot.

Enterprise organizations are not the only ones who need to defend against click fraud. Smaller sites can use Super Bot Fight Mode, now available on Cloudflare Pro and Business plans, to analyze their bot traffic and defend against bot-driven attacks.

*https://www.theatlantic.com/technology/archive/2017/01/bots-bots-bots/515043/

**https://www.theverge.com/2017/5/24/15681080/ad-fraud-websites-traffic-bots-white-ops-report