Qu’est ce qu’une fraude au clic ? | Comment fonctionnent les bots au clic

La fraude au clic désigne les faux clics qui ciblent des annonces rémunérées au clic, boostent les classements de recherche d’une page internet ou gonflent artificiellement la popularité d’un billet sur les réseaux sociaux. Les bots au clic sont généralement à l’origine des fraudes au clic.

Share facebook icon linkedin icon twitter icon email icon

Fraude au clic

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce qu’est la fraude au clic et pourquoi elle survient
  • Découvrir comment fonctionne un bot au clic
  • Découvrir les effets négatifs de la fraude au clic

Qu’est ce que la fraude au clic ?

Il y a fraude au clic lorsqu’une personne ou un bot prétend être un visiteur légitime d’une page Web et clique sur une annonce, un bouton ou tout autre type d’hyperlien. L’objectif d’une fraude au clic est de faire croire à une plate-forme ou un service que des personnes réelles interagissent avec une page Web, une annonce ou une application.

La fraude au clic survient généralement à grande échelle, chaque lien étant cliqué de nombreuses fois, pas une seule, et généralement plusieurs liens sont visés. Pour automatiser le processus, les fraudeurs au clic utilisent généralement des bots qui « cliquent » sans cesse. L’ensemble du trafic Internet est composé d’environ 50 % de bots.* Jusqu’à 20 % des sites qui diffusent des annonces ne sont consultés que par des bots au clic frauduleux.**

Les fraudes au clic peuvent avoir diverses motivations. La plupart du temps, spécialement en cas de fraude à l’annonce, les fraudeurs recherchent un gain financier. Parfois, des entreprises utilisent des fraudes au clic pour gréver le budget publicitaire de leurs concurrents en ciblant leurs annonces rémunérées au clic avec des clics frauduleux. Les fraudes au clic peuvent également avoir des motivations idéologiques, comme des votes ou des « j’aime » artificiels sur un billet pour que certaines opinions semblent plus populaires qu’elles ne le sont en réalité. Les cybercriminels peuvent également utiliser la fraude au clic pour qu’une page malveillante apparaisse plus haut dans les résultats de recherche afin de paraitre légitime.

Types courants de fraude au clic

Un exemple de fraude au clic est la fraude à l’annonce : lorsque l’opérateur d’un site Web dirige des clics frauduleux sur les annonces rémunérées au clic sur son propre site Web. Les auteurs des fraudes au clic peuvent créer des pages qui affichent des annonces rémunérées au clic, puis utiliser des bots au clic pour « cliquer » sur ces annonces. À chaque clic, le réseau d’annonce doit payer une somme à l’opérateur du site (l’escroc). Plus il y a de clics frauduleux, plus le réseau d’annonce doit payer le site Web si la fraude n’est pas détectée.

La fraude à l’annonce peut également être une attaque financière à l’encontre de l’entreprise payant les annonces. Dans un tel scénario, les escrocs ciblent des annonces rémunérées au clic sur une propriété Web dont ils ne sont pas propriétaire. L’escroc en cherche pas à gagner de l’argent à partir des clics, mais l’entreprise visée doit payer le réseau d’annonce pour chaque clic, ce qui leur coûte de l’argent.

Un autre cas de fraude au clic consiste à essayer d’améliorer le classement dans les moteurs de recherche en boostant artificiellement le taux de clic. Le « taux de clic» désigne le nombre d’utilisateurs parmi toutes les personnes consultant une page qui cliquent sur un lien donné. Le taux de clic est un facteur de classement que les moteurs de recherche commet Google prennent en compte, bien que la valeur de pondération de ce facteur soit inconnue. L’objectif d’une fraude au clic dans ce scénario est d’augmenter le taux de clic d’une page afin d’améliorer son classement dans les moteurs de recherche et ainsi la rendre plus visibles pour les utilisateurs réels.

Qu’est ce qu’un bot au clic ?

Un bot au clic est un bot qui est programmé pour mener des fraudes au clic. Les bots au clic les plus simples accèdent simplement à une page Web et cliquent sur le lien en question. Les bots au clic bien conçus seront programmés pour agir comme un utilisateur réel (mouvements de la souris, pauses aléatoires avant de passer à l’action, différents délais entre chaque clic, etc.). De cette façon, l’escroc qui a écrit le bot espère faire passer les clics de bot pour des utilisateurs légitimes.

Comme des centaines ou des milliers de clics générés depuis un seul appareil sembleraient immédiatement suspects, une campagne de fraude au clic utilise généralement des bots installés sur de nombreux appareils. Chacun de ces appareils a une adresse IP différente, chaque clic semble donc venir d’un utilisateur différent. Un tel réseau d’appareil, où chaque appareil exécute une copie d’un bot, est appelé un botnet.

Les botnets sont composés de milliers voire même de millions d’appareils sur lesquels sont installés les bots. La plupart du temps, ces botnets de bots au clic sont exécuté sur des appareils sans que leur utilisateur n’en ait connaissance, suite à une infection par un logiciel malveillant. Plusieurs grands botnets bien connus ont été utilisés pour des fraudes au clic, par exemple « Clickbot.A » était un botnet de fraudes au clic qui a infecté plus de 100 000 machines.

Il n’est pas nécessaire de recourir à n botnet pour réaliser une fraude au clic ; un seul bot peut également propager des clics illégitimes. Cependant, le trafic bot issu d’une seule machine est plus facile à détecter et à bloquer. Le serveur Web peut simplement arrêter de répondre à cette adresse IP.

Les fraudes au clic viennent-elles toujours de bots ?

Bien que des bots soient généralement utilisés pour réaliser des fraudes au clic, celles-ci peuvent également être réalisée par des travailleurs humains peu rémunérés. Un tel groupe de travailleurs est appelé une « ferme à clic » et son exploitation se fait généralement de régions où les salaires sont relativement bas, comme dans les pays en voie de développement.

Les travailleurs des fermes à clic doivent accéder à certaines pages Web et cliquer sur les liens en question pour augmenter artificiellement les taux de clic ou le trafic total sur ces pages. Ils peuvent également être actifs sur les réseaux sociaux où ils « aiment » certains billets ou certaines pages pour booster leur visibilité.

L’avantage d’une ferme à clic, du point de vue de l’escroc, est que le comportement des travailleurs humains est plus susceptible d’imiter un utilisateur légitime de façon convaincante. L’inconvénient est que l’utilisation d’une ferme à clic est beaucoup moins efficace pour les escrocs, et demande beaucoup plus de ressources.

La plupart des auteurs de fraudes au clic n’ont pas accès à des douzaines ou des milliers de travailleurs et il est beaucoup plus facile pour eux d’écrire quelques lignes de code et de créer des bots au clic. C’est pourquoi la gestion des bots est si importante pour les entreprises qui souhaitent empêcher la fraude au clic.

Combien coûtent les fraudes au clic aux entreprises ?

Les fraudes au clic coûtent aux réseaux d’annonce des milliards : il est estimé que les publicitaires ont perdu 19 milliards de dollars à cause de la fraude en 2018. Si les escrocs possèdent un botnet, ou ont piraté des adresses IP, ils peuvent perpétrer des fraudes au clic à grande échelle : dans une escroquerie à long terme, découverte fin 2018, une seule organisation criminelle a empoché plus de 29 millions de dollars par le biais de la fraude.

De la même façon, les entreprises qui diffusent des annonces rémunérées au clic peuvent également avoir à payer des clics frauduleux venant des bots. D’après une source, en 2016, les professionnels du marketing aurait perdu 7,2 milliards de dollars à cause de la fraude aux annonces.

Comment la fraude au clic affecte-t-elle les analyses d’un site Web ?

La fraude au clic peut faire des ravages sur les analyses d’un site Web. Si les bots interagissent avec une propriété Web, alors leurs activités sont incluses dans les données. Par conséquent, les opérateurs d’un site Web ne peuvent pas mesurer l’efficacité de l’affichage d’une annonce ou juger le comportement réel des utilisateurs légitimes. Cela pose un problème aux entreprises qui souhaitent mesurer la qualité de la participation d’un public à leurs contenus ou qui souhaitent des informations précises au sujet du trafic et du comportement des utilisateurs sur leur site.

Une stratégie de gestion de l’activité bot est extrêmement importante pour tous les sites Web, applications ou API disponibles sur Internet. Sans possibilité d’atténuer le trafic bot malveillant comme les fraudes au clic, les bots peuvent avoir un impact négatif sur l’expérience client et couter de l’argent aux entreprises.

Comment fonctionne la prévention de la fraude au clic ?

Certains annonceurs disposent de programmes de détection automatique pour bloquer les clics suspectés d’être effectués par des bots. Google, par exemple, utilise le machine learning pour bloquer l’activité des bots relative aux annonces, ainsi qu’un processus de revue manuelle. La gestion des robots malveillants par Cloudflare utilise également le machine learning pour détecter et atténuer la fraude au clic. Dans de tels programmes de machine learning, si l’activité d’un utilisateur diffère trop de l’activité d’un utilisateur type, par exemple, si la seule action d’un utilisateur est de cliquer sur les annonces, alors l’utilisateur est marqué comme étant un bot.

*https://www.theatlantic.com/technology/archive/2017/01/bots-bots-bots/515043/

** https://www.theverge.com/2017/5/24/15681080/ad-fraud-websites-traffic-bots-white-ops-report