White Ops tire la sonnette d'alarme. La firme de cyber-sécurité américaine spécialisée dans la fraude publicitaire a dévoilé, mardi 20 décembre, l'existence d'un vaste système d'escroquerie monté par des hackers russes. En créant de faux sites, alimentés par un faux trafic, le réseau Methbot génèrerait jusqu’à cinq millions de dollars par jour.

"Nous n'avons jamais vu ça", affirme Michael Tiffany, le cofondateur et PDG de White Ops. "Methbot élève la fraude publicitaire à un tout nouveau niveau de sophistication et d'échelle."

Une opération minutieuse

Comme l'explique le New York Times, l'opération Methbot – nommée ainsi en référence à la drogue meth dans son code – a utilisé des centaines de serveurs disséminés aux États-Unis et aux Pays-Bas pour générer un trafic fictif. Elle a ainsi pris le contrôle de plus de 500 000 millions d'adresses IP auxquelles les opérateurs ont attribué différents fournisseurs Internet pour brouiller les pistes.

À chacune de ces adresses IP, les hackers ont également attribué des bots, des programmes conçus pour imiter les habitudes de navigation d'un humain, qui avaient pour directive de charger des pages Web et des vidéos rémunérées par des publicités payées au prix fort par des annonceurs. “Les bots vont lancer et arrêter une vidéo, comme le ferait n'importe quelle personne, ils vont aussi bouger la souris et cliquer", explique Michael Tifffany dans le journal américain.

Le Wall Street Journal rapporte que, pour gagner de l'argent grâce à cette armée de faux internautes, les opérateurs russes ont piégé des annonceurs en se faisant passer pour 6 000 sites de premier plan : des médias tels que CNN et Fox News, des réseaux sociaux comme Facebook ou encore des sites de marques comme Pokémon.

"Il faut comprendre que le marché de la pub sur Internet est en phase d'automatisation. Aujourd'hui, on est dans de la publicité programmatique, la plupart des opérations sont dématérialisées, déshumanisées", explique à France 24 Yann Le Roux, le directeur général d'Integral Ads Science France, un institut qui quantifie et protège de la fraude les acteurs du marché publicitaire. "Plus ce marché s'automatise, plus il se complexifie et peu d'opérateurs en possèdent une compréhension de bout en bout. Paradoxalement, cela laisse de la place à des malins pour se glisser dans des interstices du système."

"Ces malins vont se déclarer – faussement d'ailleurs – comme éditeurs en affirmant vouloir vendre de la pub. On fait cette déclaration sur les plateformes programmatiques mais dans la plupart des cas, il n'existe aucune vérification des déclarations. On peut se décrire comme France 24 et déclarer une toute autre URL. Dans le jargon, on appelle ça ‘l'URL spoofing’."

En se donnant la peine d'imiter des sites qualitatifs, les hackers russes ont bénéficié de tarifs plus élevés du secteur de la publicité : 13 dollars pour 1 000 vues sur une vidéo. Au total, White Ops a estimé le jackpot perçu par les opérateurs à 180 millions de dollars (172 millions d'euros), depuis que l'entreprise a repéré l'opération en septembre 2015.

Cette fraude représente un énorme manque à gagner pour les publicitaires. L'argent investi en publicité n'a aucune retombée car ce ne sont pas des humains qui y sont exposés. Les robots n'ont en effet que peu de chances d'être pris de fièvre acheteuse à la vue d'une réclame. Enfin, pour parfaire la manœuvre et ne pas éveiller les soupçons, les escrocs renvoyaient aux annonceurs des chiffres vraisemblables.

White Ops explique avoir repéré cette arnaque dès septembre 2015 et l'a depuis surveillée de près. Les montants détournés par Methbot ayant commencé à prendre des proportions énormes depuis octobre, l'entreprise américaine a pris la décision de rendre mardi ses travaux publics pour combattre efficacement l'opération. Elle a ainsi décidé de publier une liste complète des fausses adresses et des domaines concernés pour que les réseaux publicitaires et d’autres entreprises de détection de fraudes puissent agir en conséquence.

Un risque majeur pour l'industrie

Selon un rapport de l'Association of National Advertisers, la fraude publicitaire mondiale aura coûté 7,2 milliards de dollars aux annonceurs en 2016. Ces experts américains estiment qu'entre 10 % et 30 % des publicités en ligne sont sujettes à des pratiques frauduleuses.

Cette situation a conduit l'IAS à produire un livre blanc sur le sujet à destination de toutes les parties prenantes de l'industrie. En France, elle estime que 6,1 % des impressions qu'elle mesure, c’est-à-dire une page chargée, proviendraient de fraudes.

Ce secteur bien particulier de la cybercriminalité profite de l'explosion des revenus de la publicité en ligne. En effet, depuis cette année, les chiffres d'affaires de celle-ci dépassent ceux de la télévision sur les marchés matures, si on en croit le seizième rapport de l'Observatoire de l’e-pub SRI

Même si les entreprises de sécurité ne communiquent pas systématiquement leurs trouvailles pour éviter de donner une longueur d'avance aux fraudeurs, ce genre de fraudes publicitaires est régulièrement détecté. En mai 2016, l'IAS avait communiqué sur Poweliks, un bot qui avait infecté environ 200 000 machines et aurait été capable de générer 300 000 dollars par jours. En octobre dernier, elle livrait ses conclusions sur Avereen, un bot similaire.

Méconnue, la fraude publicitaire n'en reste pas moins lucrative et est en plein boom. Pour Yann Le Roux, "c'est un business colossal pour plusieurs raisons : la taille très importante du gâteau du marché publicitaire sur Internet qui est en pleine croissance. Les fraudeurs suivent l'argent. La deuxième motivation, c'est le ratio bénéfices/risques qui est favorable puisque le risque est nul. […] Et même quand il y a une loi, il y a jamais eu de procès."