L affiliation : nouveau terrain de jeu des cybercriminels ?

L'affiliation semble être devenue le nouveau terrain de jeu de cybercriminels...

Initiée par les pure players à la fin des années 90, l’affiliation est devenue une technique marketing plébiscitée par les marques pour promouvoir leurs produits ou services, en proposant une rémunération à d’autres sites web en échange d’un apport de ventes, d’inscriptions ou de trafic. Précurseur dans le domaine, Amazon a notamment bâti une grande partie de son activité sur son programme d’affiliation.

Mais si l’affiliation a connu un véritable succès avec le boom du e-commerce ces dernières années, cette technique semble également être devenue le nouveau terrain de jeu de cybercriminels ou d’acteurs peu scrupuleux toujours en quête de nouveaux filons pour piéger leurs proies et s’enrichir à leurs dépens…

Spams et affiliation

Déjà, une grande partie des courriers indésirables (spams) dénoncés actuellement sont en réalité des emails qui servent à diriger du trafic vers des sites marketing affiliés. Qu’il s’agisse de sites de réservation ou de rencontre par exemple, ils rémunèrent les affiliés, c’est-à-dire les sites partenaires, quand des visiteurs arrivent sur leur site depuis un lien affilié. Malheureusement, l’impact négatif du modèle d’affiliation ne se limite pas à la quantité impressionnante de spams nécessaires pour transformer les paiements par clic en un revenu digne de ce nom.

La majorité des programmes d’affiliation fonctionne selon un modèle de paiement par clic (rémunération pour un nombre de clics sur un lien sponsorisé) ou de paiement par action (rémunération pour une commande passée, un formulaire rempli ou une application installée). Amazon utilise par exemple un modèle de paiement à plusieurs niveaux pour les achats effectués sur ses sites, via des liens sponsorisés. Les paiements sont relativement généreux (de 1 à 10 % selon l’article vendu), mais générer une vente demande souvent un très grand nombre de clics et d’impressions si les affiliés ne ciblent pas soigneusement leur audience. Ces contraintes incitent bien souvent les affiliés à recourir à de vastes campagnes emailing, sur la base de listes d’adresses email achetées à des tiers, pour créer une quantité de clics suffisante.

Que l’on parle de sociétés aux pratiques plus que douteuses ou de véritables cybercriminels, les techniques d’expéditeurs sans scrupule se perfectionnent pour augmenter les chances que les destinataires cliquent sur les liens contenus dans ces emails (utilisation de marque forte, objet racoleur, etc.). Ces liens peuvent diriger directement vers des pages affiliées proposant l’offre décrite dans l’email ou, ce qui est plus probable, vers un site affilié. Dans d’autres cas, les liens peuvent diriger vers des pages contenant plusieurs liens affiliés, ce qui donne à l’instigateur la possibilité de générer plus de clics, et par là même plus d’argent.

Si la majorité des courriers indésirables est aujourd’hui bloquée par les filtres anti spam ou ignorée par les utilisateurs les plus avertis, ces pratiques de distribution de masse restent un fléau pour l’expérience des usagers et la sécurité de leurs données !

Malwares de fraude publicitaire, fraude au clic et Pay-per-install

Vincent Merlin, Directeur Marketing EMEA, Proofpoint

Vincent Merlin, Directeur Marketing EMEA, Proofpoint

Les filtres anti spam devenant plus efficaces, l’envoi de campagnes massives d’email ne suffit plus pour générer des revenus. Certains fraudeurs utilisent ainsi des logiciels malveillants conçus pour ouvrir des sessions en arrière-plan dans le navigateur web, permettant de cliquer automatiquement sur des liens et des publicités afin d’augmenter significativement le nombre de clics payés aux affiliés. Ces malwares dits de fraude publicitaire ou de fraude au clic peuvent prendre la forme d’une simple application, ou plus fréquemment, connecter l’appareil infecté à un réseau de robots de spams (botnet). Dans les deux cas, le malware simule les actions d’utilisateurs légitimes qui cliqueraient sur la publicité puis visionneraient la page web correspondante. Le logiciel malveillant peut également remplir un formulaire avec de faux renseignements pour s’assurer que le clic est bien comptabilisé comme une « conversion », afin que l’hébergeur de la publicité soit rémunéré en conséquence.

Au-delà du spam, les modèles d’affiliation se sont ainsi frayés un chemin dans la distribution de malwares. Dans le cas des logiciels les plus couramment utilisés, comme Locky ou Kovter, les pirates sont payés en fonction du nombre de PC qu’ils infectent. Ces infections peuvent avoir différentes sources, dont les emails et la pratique du « malvertising » (utilisation de la publicité en ligne pour diffuser des logiciels malveillants). Comme pour le spam d’affiliation, les distributeurs de malwares tirent parti de l’ampleur des attaques qu’ils mènent, mais aussi d’un ciblage intelligent et enfin de l’ingénierie sociale.

L’affiliation semble donc encourager les cybercriminels à fonctionner à très grande échelle. Les paiements par clic sur des liens dans des emails ou sur des bannières publicitaires sont généralement infimes, mais la tendance peut en effet très vite s’inverser quand des techniques peu scrupuleuses sont utilisées pour toucher des centaines de milliers, voire des millions d’utilisateurs. De nouveaux malwares de fraude émergent par ailleurs régulièrement, pour cliquer de manière automatique sur des liens et publicités, générant des revenus supplémentaires pour les protagonistes. Parallèlement, ceux-ci recrutent des affiliés pour distribuer les logiciels malveillants sur le principe du paiement à l’installation, incitant, une fois encore, à lancer des campagnes de spams et de malvertising à grande échelle pour infecter autant de machines que possible.

Bien que la plupart des modèles d’affiliation soient parfaitement légitimes, de nombreux acteurs peu scrupuleux s’appuient sur des écosystèmes et des réseaux frauduleux de grande envergure. Du point de vue des organisations et des utilisateurs finaux, les motivations financières importantes à l’origine de ces pratiques signifient que les emails malveillants et le spam ont malheureusement encore de beaux jours devant eux…

Auteur : Vincent Merlin, Directeur Marketing EMEA, Proofpoint

***

(c) ill. DepositPhotos

avatar
L'invité de Marketing Professionnel tient une Tribune Libre. Profil des invités et Tribunes Libres publiées.


1 commentaire

  1. avatar

    CPA

    30 août 2017 at 17:26

    Réponse du CPA :

    La tribune parue le 21 août dernier sous le titre « l’affiliation: nouveau terrain de jeu des cybercriminels » signé par un certain Monsieur Merlin est loin de nous enchanter.

    Truffée de contre-vérités et d’approximations, cette tribune prêterait à rire si elle ne jetait pas un grave discrédit sur une profession qui emploie des milliers de personnes et qui, depuis des années, contribue au développement du E-Commerce en France et à travers le monde.

    C’est la raison pour laquelle le C.P.A – le Collectif de la Performance et de l’Acquisition qui compte parmi ses membres fondateurs les acteurs les plus importants de l’Affiliation – a souhaité exercer son droit de réponse.

    Revenons d’abord sur ce qui a été écrit

    Sans rentrer dans une dénonciation, ligne par ligne -oui, c’est à ce point! – des erreurs et contre-vérités énoncées, nous pouvons toutefois les classer en deux grandes familles:
    • La méconnaissance des modèles économiques de l’affiliation
    • La confusion entre E Mailing et Affiliation,
    Ces erreurs amènent l’auteur à formuler un paralogisme -tous les chats sont mortels, Socrate est mortel, donc Socrate est un chat -.particulièrement malheureux.

    La méconnaissance des modèles d’affiliation:

    Contrairement à ce qu’affirme l’auteur, l’essentiel des programmes d’affiliation n’est pas rémunéré au clic mais bien à l’action – vente, nouveau client, lead ou téléchargement.
    C’est même ce qui fait l’originalité et l’attrait principal de ce modèle d’acquisition: l’annonceur paie une commission uniquement sur le chiffre d’affaires généré ou l’obtention d’un nouveau prospect.

    Ce distinguo est important puisque l’auteur fonde une partie de sa « démonstration » sur le modèle d’une rémunération au clic des affiliés. Ce qui n’est très majoritairement pas le cas.

    La confusion entre E Mailing et affiliation:

    S’il est vrai qu’un certain nombre d’affiliés a recours à des envois d’E-mails, il est tout à fait faux d’affirmer qu’ils sont à l’origine de tous les spams que nous recevons.
    Nombre d’envois proviennent de sources étrangères au monde de l’affiliation.

    De plus, l’auteur affirme que les affiliés ont systématiquement recours à des pratiques tels que l’achat d’adresses.
    Nous l’invitons à consulter les travaux menés par le CPA – http://www.cpa-france.org/charte-email/-

    La charte E-Mail du CPA définit un certain nombre de règles et de bonnes pratiques à respecter pour l’utilisation de l’e-mailing en affiliation.
    Elle oblige les parties signataires à s’y conformer.

    Parmi ses nombreux signataires on trouve les plateformes d’affiliation membres du CPA – représentant plus de 90% de ce marché – qui s’interdisent donc de travailler avec des bases non signataires.
    Lesquelles bases s’engagent, entre autres, sur la traçabilité de l’obtention des adresses optin partenaires.

    Vous pouvez obtenir la liste des bases signataires ici: http://unbouncepages.com/book-des-signataires/

    On est donc très loin des scénarios Orwelliens décrit par l’auteur.

    Socrate n’est pas un chat

    Les postulats de départ étant erronés, la conclusion l’est donc également: L’affiliation n’est pas le nouveau terrain de jeux des cybercriminels et Socrate n’est pas un chat.

    Il n’est certes pas question de nier l’existence de tentatives de fraude dans le web marketing en général et donc dans l’affiliation.

    Le CPA et ses membres en sont bien conscients. Ils travaillent sans relâche pour lutter contre ce phénomène.
    La charte E Mailing en est un exemple.

    Mieux encore, conscient des enjeux et des risques associés à ces phénomènes, le CPA publie à l’occasion du salon E-commerce le 19 septembre un livre blanc sur la fraude en marketing digital.
    qui recense notamment les différentes sources de fraude en la matière.

    C’est dire que nous, professionnels du marketing digital, ne sommes ni inconscients ni inactifs.
    Pour autant, nous ne pouvons laisser dire sans réagir que « l’affiliation encourage les cybercriminels » à quoique ce soit.
    Au contraire, nous faisons un beau métier que nous sommes fiers de pratiquer et d’améliorer jour après jour.

    Les membres du Collège Affiliation du CPA.

Commentez !

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *