Les solutions de lutte contre la fraude publicitaire

Lutter contre des fraudeurs aux méthodes de plus en plus sophistiquées est devenu le coeur de métier de sociétés comme Adloox, Integral Ad Science ou encore WhiteOps.

C'est une pratique vieille comme le monde de la publicité en ligne mais le sujet a rarement été aussi discuté qu'au cours des derniers mois : la fraude publicitaire, bien que difficile à quantifier, a un impact certain sur un écosystème déjà victime de l'économie morose et de l'omniprésences des adblockers.

Le spécialiste américain de la mesure de la qualité média digitale, Integral Ad Science (IAS), estime à 6,1% le nombre d'impressions frauduleuses diffusées lors du premier semestre 2016, en France. Aux Etats-Unis, l'association des annonceurs (ANA) chiffre le préjudice à près de 7,2 milliards de dollars, soit 5% des dépenses du marché. Mais comme on ne peut mesurer ce que l'on ne détecte pas, l'ampleur du phénomène pourrait être beaucoup plus importante. Pour la World Federation of Advetisers (WFA), le coût de la fraude au clic sera de près de 50 milliards de dollars d'ici 2025. Le mobile n'est pas épargné. Le spécialiste du programmatique mobile, S4M, estimait qu'étaient frauduleux 23% des clics qu'il a étudiés entre janvier et juin 2016 sur 87 campagnes dans le monde.

50 milliards de perte dans le monde d'ici 2025

"La fraude aux impressions est la deuxième activité cybercriminelle dans le monde derrière le trafic de drogue", assure le patron  d'Integral Ad Science (IAS) en France Yann Le Roux. Il décrit "une véritable mafia et des acteurs d'autant plus zélés que le risque pénal est limité, une sanction allant rarement au-delà de la saisie des  ordinateurs".

De quoi parle-t-on au juste ? D'organisations qui vont vendre des impressions publicitaires invisibles ou lancer une armée de robots pour les faire cliquer à tout va sur leur propre inventaire. La première pratique, baptisée ad-stacking, voit l'éditeur empiler les bannières publicitaires les unes sur les autres. "C'est un peu comme si on avait une page dans la page. A ceci-près que cette page incrustée embarque entre 200 à 250 impressions qui sont appelées par l'ad-server mais bien évidemment pas vues", illustre Yann Le Roux. Autre variante, la pose d'un pixel sur la page qui va être assimilé à un emplacement publicitaire. "Un pixel tellement petit que l'internaute ne le voit pas." Le phénomène est plutôt courant sur mobile où "il faut garder à l'esprit que certaines applications savent qu'elles ont une durée de vie limitée et vont tenter de maximiser leur revenus dans un temps très court", explique le patron de S4M, Christophe Collet.

Sur le Web fixe, c'est cependant la seconde pratique, la fraude aux robots, qui s'arroge la part du lion, avec plus de 80% du marché de la fraude.  Des acteurs peu scrupuleux décident de monter un site, d'aspirer du contenu sur le Web et de mettre des publicités au milieu et autour de ce contenu pour maximiser la visibilité des impressions. Il leur suffit alors d'utiliser un logiciel qui va leur permettre de générer des visites sur site artificielles pour créer de l'inventaire pub. Cet inventaire va être proposé sur des ad-exchanges où on trouve aussi des médias premiums, en masquant tant qu'à faire l'URL d'origine pour en cacher la provenance. Les annonceurs, qui sont souvent prompts à ne cibler que les impressions ayant un taux de visibilité élevé, tombent alors dans le panneau.

Les éditeurs premiums aussi touchés

"Certains vont même plus loin et font de l'URL spoofing en déclarant au SSP une fausse URL, qui fait croire qu'on achète sur un site comme Le Monde ou Le Figaro", note Yann Le Roux. Autre astuce : faire naviguer ces robots sur des sites très premiums pour qu'ils se fassent cookifiés par les spécialistes de la data tierce... et les faire rentrer dans les plans des annonceurs qui ne veulent que du CSP+. "Un éditeur qui veut faire de l'extension d'audience et proposer à ses annonceurs de toucher ses visiteurs dans d'autres environnements se fera aussi souvent avoir par ces robots", note le co-fondateur d'Adloox, Romain Bellion. Les éditeurs premiums sont bel et bien touchés.

Adloox, Integral Ad Science, WhiteOps, Comscore, Adledge… Nombreuses sont aujourd'hui les technologies qui aident les annonceurs, agences et trading desks à se prémunir contre de telles pratiques. Beaucoup ont vu leur méthodologie et technologie accréditées par l'organisme de référence, le Média Rate Council (MRC). Un label d'excellence plutôt onéreux, près de 200 000 dollars tout de même, qu'il leur faut regagner chaque année. Les deux plus gros SSP du marché, Google et Appnexus, proposent eux aussi des technologies propriétaires. Google faisant toutefois bande à part, puisqu'il refuse de passer la certification MRC.

Les principales solutions de détection de la fraude publicitaire
 Société Bureau à Paris Accréditation MRC pour General Invalid Traffic  Accréditation MRC pour Sophisticated Invalid Traffic Taux de fraude détectée
Adloox Oui Oui En cours d'audit NC
Comscore Oui Oui Oui Display: 1,9% (min: 0,3% - max: 13,8%) Video: 0,6% (min: 0,1% - max: 0,5%)
IAS Oui Oui Oui 6,1% au 1er semestre 2016
Google Oui Non Non NC
DoubleVerify Oui Oui Non NC
Appnexus Oui Oui Non NC
WhiteOps Non Oui Oui NC

En France, les solutions les plus populaires sont celles d'Adloox et d'IAS. Le premier travaille avec la majorité des trading desks français : Tradelab, 1000 Mercis, ZeBest Of, Amnet, AOD…. Le second remplace progressivement Comscore côté agences médias. Dépourvu de bureau français, le pourtant très pointu WhiteOps se fait plus rare. Il travaille toutefois avec le DSP vidéo Videology.

Les méthodes de détection des impressions frauduleuses varient peut-être dans le détail mais l'esprit reste le même. Pour identifier le trafic non-humain, tous vont embarquer un script dans l'adserver de l'acheteur et récupérer le maximum d'informations quant aux paramètres du navigateur de "l'internaute" (IAS en scanne jusqu'à 500) et vont les faire matcher avec leur base de référence (qui contient, elle, le détail des différentes versions de chaque navigateur). "Si on y trouve plusieurs paramètres anormaux ou obsolètes alors on conclut que la visite en question, et donc l'impression, sont très probablement frauduleuses", explique Yann Le Roux. Appelé en temps réel par le DSP ou le SSP, l'outil peut alors accepter et refuser ladite impression et vérifier a posteriori s'il a eu raison.

Même raisonnement du côté d'Adloox qui pose un pixel de tracking, un javascript qui récupère nombre d'informations dont l'URL de diffusion, le contexte de diffusion, l'adresse IP, la version du navigateur etc. pour ressortir des configurations de diffusion valides et invalides. "Nous avons la technologie la plus granulaire du marché, clame Romain Bellion, capable de dire, 'internaute' par 'internaute', qui est humain ou pas."

"Adloox nous communique chaque jour l'ensemble des IP frauduleuses qui s'ajoutent à notre blacklist", explique Frédéric Lefebvre, patron du trading desk ZeBest Of, avant de soulever un problème  chez Adloox comme chez IAS, la technologie est juge et partie. C'est elle qui dira, après la requête, si elle a eu raison de la refuser avant. Un conflit d'intérêt que l'acheteur peut éviter en souscrivant à deux technologies. Et donc en payant double.

Avec l'un et l'autre il paiera au CPM dans les versions les plus simples. Mais devra passer par un modèle SaaS pour les plus complexes. Et obtiendra, moyennant le versement d'un abonnement mensuel, le droit d'analyser en pré-bid X millions d'impressions et de recevoir des rapports détaillés.

L'enjeu de l'accréditation pour la fraude sophistiquée

L'enjeu pour ces spécialistes de la détection de fraude est désormais d'embarquer une technologie labellisée SIVT (Sophisticated invalid trafic). Un seconde certification lancée fin 2015 par le MRC pour distinguer les pratiques les plus avancées. Si Adloox espère obtenir très prochainement le tampon, pour l'instant seuls les deux Américains IAS et WhiteOps l'ont reçu. Comment ? "Notre technologie d'analyse big data nous permet d'identifier les comportements de navigation erratiques, en analysant les données brutes collectées a posteriori. Un utilisateur qui visite 400 000 pages en l'espace de trois secondes ou un même site toutes les deux secondes sera vite repéré comme anormal", répond Yann Le Roux, d'IAS. Suffisant pour assainir une bonne fois pour toute le marché ?

 

Toujours sur le JDN

 

Programmatique / Adtech