Le détournement de clics est une forme trompeuse de fraude au clic où les clics d’utilisateurs authentiques sont interceptés ou redirigés pour bénéficier au fraudeur (par exemple, commission d’affiliation, attribution de conversion, coût pour l’annonceur).
Les techniques utilisées par le détournement de clics impliquent des iframes cachés et des boutons invisibles, des superpositions, des redirections, du bourrage de cookies et la manipulation des postbacks.
Quelles techniques sont utilisées dans le détournement de clics ?
Des éléments transparents (iframe, boutons) sont superposés sur l’interface visible. Un clic, bien que l’utilisateur pense qu’il est dirigé vers le bon endroit, va vers l’élément caché, pas vers le CTA attendu. Les superpositions et les attaques de superposition mobile fonctionnent de manière similaire. Sur les applications mobiles, des superpositions malveillantes (fausses invites) ou des empilements d’annonces modifient l’emplacement d’attribution du clic.
Cela se produit via un code malveillant sur le site de l’éditeur — l’éditeur ou un annonceur compromis insère directement une superposition/iframe. Les formats publicitaires sur les sites sont également utilisés à cette fin. Les créations publicitaires peuvent injecter des couches ou des redirections lors du chargement, sans que l’utilisateur n’installe quoi que ce soit. Une autre méthode est le cross-site scripting (XSS) — une vulnérabilité sur le site permet d’injecter un script qui crée une superposition.
Les publicités programmatiques et les balises/scripts de partenaires/SSP/DSP peuvent ajouter dynamiquement des éléments à la page. De plus, une webview dans une application peut être manipulée par un SDK ou une bibliothèque malveillante, sans que l’utilisateur n’installe d’extensions.
Ainsi, superposer des éléments (superposition, iframes cachés, boutons invisibles) pour exécuter le détournement de clics ne nécessite pas toujours que l’utilisateur installe, par exemple, un module complémentaire. De nombreuses superpositions de détournement de clics fonctionnent directement dans le navigateur en utilisant du JavaScript régulier chargé à partir de scripts/annonces externes ou d’un serveur infecté — sans aucune extension.
Ces scripts peuvent immédiatement rediriger le trafic vers une URL d’affiliation ou de suivi, prenant le contrôle de l’attribution.
Manipulation de conversion – méthodes utilisées
Le bourrage de cookies et la manipulation des postbacks sont généralement plus sophistiqués, techniquement plus difficiles à exécuter et plus difficiles à détecter que les simples superpositions.
Le bourrage de cookies nécessite une injection précise de cookies d’affiliation dans le bon format et au bon moment (souvent via une chaîne de redirections, de scripts ou de ressources malveillantes) afin qu’une conversion ultérieure soit attribuée au fraudeur, même si l’utilisateur n’a pas fait de clic intentionnel. Le bourrage de cookies peut affecter l’utilisateur sur de nombreuses sessions (le cookie reste), offrant des gains à long terme pour les fraudeurs.
Si la logique d’attribution n’accepte que la première attribution (premier clic) ou utilise une règle de déduplication de conversion (par exemple, une attribution par utilisateur/appareil/session), de nombreux cas de bourrage de cookies, où un faux cookie tente d’attribuer la conversion plusieurs fois, seront neutralisés. Cependant, le bourrage de cookies fonctionne souvent de sorte que le faux cookie est défini avant le vrai clic/source, donc si vous utilisez l’attribution au premier clic, le fraudeur peut obtenir une attribution permanente en tant que « premier ». La déduplication ne retirera pas cette conversion attribuée une seule fois.
D’autre part, les postbacks manipulés impliquent la falsification de messages serveur (postbacks) envoyés aux plateformes d’affiliation — nécessitant souvent la connaissance des API partenaires, HMAC/timestamps, et le contournement des mécanismes de vérification. Les faux postbacks permettent de signaler massivement des conversions sans événements côté client réels, augmentant la fraude sans interaction utilisateur.
La détection nécessite de mettre en corrélation plusieurs signaux
Les deux attaques peuvent apparaître comme des clics/conversions « valides » dans les rapports (attribution correcte, paramètres UTM corrects), donc la détection nécessite de corréler plusieurs signaux : anomalies temporelles, écarts entre les journaux côté client et côté serveur, incohérences d’empreintes digitales, modèles de partenaires non naturels.
Les deux techniques sont plus sophistiquées et efficaces à long terme car elles manipulent les systèmes d’attribution et les canaux de communication serveur — la défense nécessite une validation avancée, une corrélation des journaux et des mesures de sécurité côté serveur.
Signaux de détection
- Augmentation soudaine des clics sans augmentation proportionnelle des conversions.
- Taux de clics élevé avec un temps de session très faible et un taux de rebond élevé.
- Groupes de conversions concentrés sur un seul partenaire/ID d’affiliation.
- Regroupement par empreinte IP/appareil (appareils répétitifs).
- Temps de clic à conversion illogiques (par exemple, installations/achats instantanés).
Les analyses indépendantes peuvent-elles aider ?
Les analyses indépendantes sur site d’un fournisseur d’outils aident considérablement à détecter les anomalies et à corréler les identifiants, à condition que l’intégration soit correctement conçue. Le suivi sur site enregistre les clics, les sessions et les référents directement sur le site/application — fournissant des données primaires qui peuvent être comparées avec les données des partenaires.
Comparer les identifiants côté client (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, empreinte digitale de l’appareil, IP, UA, page de destination, paramètres de campagne/UTM) avec les postbacks côté serveur révèle toutes les incohérences et usurpations.
Utilisez les outils Quarticon pour des analyses de conversion supplémentaires sur site.
