Le d\u00e9tournement de clics est une forme trompeuse de fraude au clic o\u00f9 les clics d’utilisateurs authentiques sont intercept\u00e9s ou redirig\u00e9s pour b\u00e9n\u00e9ficier au fraudeur (par exemple, commission d’affiliation, attribution de conversion, co\u00fbt pour l’annonceur).<\/p>\n
Les techniques utilis\u00e9es par le d\u00e9tournement de clics impliquent des iframes cach\u00e9s et des boutons invisibles, des superpositions, des redirections, du bourrage de cookies et la manipulation des postbacks.<\/p>\n
Des \u00e9l\u00e9ments transparents (iframe, boutons) sont superpos\u00e9s sur l’interface visible. Un clic, bien que l’utilisateur pense qu’il est dirig\u00e9 vers le bon endroit, va vers l’\u00e9l\u00e9ment cach\u00e9, pas vers le CTA attendu. Les superpositions et les attaques de superposition mobile fonctionnent de mani\u00e8re similaire. Sur les applications mobiles, des superpositions malveillantes (fausses invites) ou des empilements d’annonces modifient l’emplacement d’attribution du clic.<\/p>\n
Cela se produit via un code malveillant sur le site de l’\u00e9diteur — l’\u00e9diteur ou un annonceur compromis ins\u00e8re directement une superposition\/iframe. Les formats publicitaires sur les sites sont \u00e9galement utilis\u00e9s \u00e0 cette fin. Les cr\u00e9ations publicitaires peuvent injecter des couches ou des redirections lors du chargement, sans que l’utilisateur n’installe quoi que ce soit. Une autre m\u00e9thode est le cross-site scripting (XSS) — une vuln\u00e9rabilit\u00e9 sur le site permet d’injecter un script qui cr\u00e9e une superposition. <\/p>\n
Les publicit\u00e9s programmatiques et les balises\/scripts de partenaires\/SSP\/DSP peuvent ajouter dynamiquement des \u00e9l\u00e9ments \u00e0 la page. De plus, une webview dans une application peut \u00eatre manipul\u00e9e par un SDK ou une biblioth\u00e8que malveillante, sans que l’utilisateur n’installe d’extensions.<\/p>\n
Ainsi, superposer des \u00e9l\u00e9ments (superposition, iframes cach\u00e9s, boutons invisibles) pour ex\u00e9cuter le d\u00e9tournement de clics ne n\u00e9cessite pas toujours que l’utilisateur installe, par exemple, un module compl\u00e9mentaire. De nombreuses superpositions de d\u00e9tournement de clics fonctionnent directement dans le navigateur en utilisant du JavaScript r\u00e9gulier charg\u00e9 \u00e0 partir de scripts\/annonces externes ou d’un serveur infect\u00e9 — sans aucune extension.<\/p>\n
Ces scripts peuvent imm\u00e9diatement rediriger le trafic vers une URL d’affiliation ou de suivi, prenant le contr\u00f4le de l’attribution.<\/p>\n
Le bourrage de cookies et la manipulation des postbacks sont g\u00e9n\u00e9ralement plus sophistiqu\u00e9s, techniquement plus difficiles \u00e0 ex\u00e9cuter et plus difficiles \u00e0 d\u00e9tecter que les simples superpositions.<\/p>\n
Le bourrage de cookies n\u00e9cessite une injection pr\u00e9cise de cookies d’affiliation dans le bon format et au bon moment (souvent via une cha\u00eene de redirections, de scripts ou de ressources malveillantes) afin qu’une conversion ult\u00e9rieure soit attribu\u00e9e au fraudeur, m\u00eame si l’utilisateur n’a pas fait de clic intentionnel. Le bourrage de cookies peut affecter l’utilisateur sur de nombreuses sessions (le cookie reste), offrant des gains \u00e0 long terme pour les fraudeurs.<\/p>\n
Si la logique d’attribution n’accepte que la premi\u00e8re attribution (premier clic) ou utilise une r\u00e8gle de d\u00e9duplication de conversion (par exemple, une attribution par utilisateur\/appareil\/session), de nombreux cas de bourrage de cookies, o\u00f9 un faux cookie tente d’attribuer la conversion plusieurs fois, seront neutralis\u00e9s. Cependant, le bourrage de cookies fonctionne souvent de sorte que le faux cookie est d\u00e9fini avant le vrai clic\/source, donc si vous utilisez l’attribution au premier clic, le fraudeur peut obtenir une attribution permanente en tant que \u00ab\u00a0premier\u00a0\u00bb. La d\u00e9duplication ne retirera pas cette conversion attribu\u00e9e une seule fois.<\/p>\n
D’autre part, les postbacks manipul\u00e9s impliquent la falsification de messages serveur (postbacks) envoy\u00e9s aux plateformes d’affiliation — n\u00e9cessitant souvent la connaissance des API partenaires, HMAC\/timestamps, et le contournement des m\u00e9canismes de v\u00e9rification. Les faux postbacks permettent de signaler massivement des conversions sans \u00e9v\u00e9nements c\u00f4t\u00e9 client r\u00e9els, augmentant la fraude sans interaction utilisateur.<\/p>\n
Les deux attaques peuvent appara\u00eetre comme des clics\/conversions \u00ab\u00a0valides\u00a0\u00bb dans les rapports (attribution correcte, param\u00e8tres UTM corrects), donc la d\u00e9tection n\u00e9cessite de corr\u00e9ler plusieurs signaux : anomalies temporelles, \u00e9carts entre les journaux c\u00f4t\u00e9 client et c\u00f4t\u00e9 serveur, incoh\u00e9rences d’empreintes digitales, mod\u00e8les de partenaires non naturels.<\/p>\n
Les deux techniques sont plus sophistiqu\u00e9es et efficaces \u00e0 long terme car elles manipulent les syst\u00e8mes d’attribution et les canaux de communication serveur — la d\u00e9fense n\u00e9cessite une validation avanc\u00e9e, une corr\u00e9lation des journaux et des mesures de s\u00e9curit\u00e9 c\u00f4t\u00e9 serveur.<\/p>\n
Les analyses ind\u00e9pendantes sur site d’un fournisseur d’outils aident consid\u00e9rablement \u00e0 d\u00e9tecter les anomalies et \u00e0 corr\u00e9ler les identifiants, \u00e0 condition que l’int\u00e9gration soit correctement con\u00e7ue. Le suivi sur site enregistre les clics, les sessions et les r\u00e9f\u00e9rents directement sur le site\/application — fournissant des donn\u00e9es primaires qui peuvent \u00eatre compar\u00e9es avec les donn\u00e9es des partenaires.<\/p>\n
Comparer les identifiants c\u00f4t\u00e9 client (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, empreinte digitale de l’appareil, IP, UA, page de destination, param\u00e8tres de campagne\/UTM) avec les postbacks c\u00f4t\u00e9 serveur r\u00e9v\u00e8le toutes les incoh\u00e9rences et usurpations.<\/p>\n