Pourquoi perdre son temps à faire un beau site de contenu, payer des journalistes pour le faire vivre quand on peut tout simplement parasiter l’écosystème de la publicité en ligne. Il existe trois types d’acteurs qui vivent aux dépens des éditeurs selon un livre blanc publié par Telemetry, un spécialiste de la vérification publicitaires. Les escrocs utilisent des plugins qui bien souvent sont sur votre navigateur à votre insu. De telle pratiques affectent les internautes, les annonceurs et les éditeurs. Gros plan sur le phénomène de l’Ad Injection et conseils pour s’en prémunir
Comment cela fonctionne-t-il ?
A l’origine, il y a des plugins gratuits que l’on installe sur son navigateur pour une bonne ou mauvaise raison, sans toujours le savoir. On trouve par exemple des plugins pour du cashback, des comparateurs de prix, des marque pages, de la prise de note, le téléchargement de vidéos diffusées en streaming afin de les rendre visible off line, des économiseurs d’écrans ou encore des VPN pour ne citer que les plus populaires. Ces logiciels sont « offerts » gratuitement aux internautes et tirent leurs revenus de l’ajout ou du remplacement des publicités normalement affichées sur des sites « premium » comme bbc.co.uk, cnn.com, facebook.com, gmail.com, pinterest.com, twitter.com ou encore youtube.com
Ensuite, à l’intérieur se trouve un programme malicieux. Parmi les éditeurs les plus connus figurent trois gros poissons AnchorFree, Yontoo Layers (connus sous les DSP sou le nom de Sambreel ou BuzzDock) et CrossRider/215 Apps. Dans tous les cas de figure le modèle est le même. On détourne les publicités des sites visités par l’internaute dont on monétise l’audience via des ad-exchanges. Cela ressemble aux pratiques de l’ancêtre du genre à savoir Gator qui s’est mué ensuite en Claria Corporation.
Premier pointé du doigt, AnchorFree offre un service de VPN qui permet de simuler la présence d’un internaute aux USA alors qu’il n’y est pas. Cela permet par exemple à un internaute de pouvoir accéder à des vidéos uniquement disponibles aux Etats Unis. C’est le cas des séries TV. L’entreprise se rémunère en revendant l’audience des utilisateurs de son proxy comme des gens habitant la Californie. Autre astuce, la gestion d’opérateurs WiFi gratuit qui utilisent leur logiciel. Là encore l’internaute voit ses publicités modifiées par AnchorFree. Les publicités tournent ainsi en boucle, sans le son et sous des i-frames. Pour le détecter, Telemetry nous explique que l’AnchorFree passe par un referer HTTP qui peut être décodé en utilisant la requête suivante :
$url_parts = parse_url($trackingurl);
$query_string = $url_parts[‘query’] . « # » . $url_parts[‘fragment’];
parse_str($query_string, $anchorget);
$decoded = hex2bin($anchorget[‘i’]);
parse_str($decoded, $afree);
Avec un peu de chance vous retrouvez anchorfree.com comme hostname et dans ce cas là c’est le bingo
Chez Yontoo Layers se cache une multitude de marques comme Sambreel, DropDownDeals, Brealtime, ContentD
NS, Buzzdock, PageRage, Jeetyet media. Là encore, les publicités diffusées par des sites comme Youtube ou Facebook se trouvent altérées. Plusieurs SSP revendent cette énorme audience puisque l’on parle de plusieurs milliards d’impressions quotidiennes. Là encore, la bannière publicitaire émise par l’ad server de l’éditeur ne parvient pas aux yeux de l’internaute.
Pour détecter, il faut ouvrir le contrôle ActiveX nommé YontooIEClient.Api ou bien localement sur [‘y2LocXML’+location.pathanme]. Si vous trouvez ceci c’est que Yontoo est présent dans votre ordinateur :
var found=!1;
try{if(new ActiveXObject(« YontooIEClient.Api »))found=!0;}catch(e){};
if(!found)try{found=!!localStorage[‘y2LocXML’+location.pathname];}catch(e){};
if(!found)try{if(window.content && typeof window.content.y2LocXML != ‘undefined’)found=true;}catch(e){};
Enfin, 215 Apps/Crossrider est une extension cross-browser. La solution hébergée s’appuie sur un développement sophistiqué donc la plus part est distribué par 215Apps. Là encore une couche du programme modifie le contenu des sites visités comme gmail ou facebook.com
Là encore, le meilleur moyen pour le détecter :
var a = ‘http://coupondrop-a.akamaihd.net/items/e6a00/storage.swf’;
var b = ‘logfn=w1&onload=w2&onerror=w3&LSOName=gpl’;
document.write(‘<object FlashVars= »‘+b+’ classid= »clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″
type= »application/x-shockwave-flash » id= »bz » data= »‘ + a + ‘ » width= »1″ height= »1″><param name= »menu »
value= »false »><param name= »scale » value= »noScale »><param name= »allowFullscreen » value= »false »><param
name= »allowScriptAccess » value= »always »><param name= »FlashVars » value= »‘ + b+ ‘ »><param name= »bgcolor »
value= »#ffff »><embed src= »‘+a+' » width= »1″ height= »1″ allowscriptaccess= »always » allowfullscreen= »false » id= »bz »
name= »bz » FlashVars= »‘ + b + ‘ »><noembed>’);
function w1(x) { }
function w2(x) {
c=document.getElementById(‘bz’);
if(c.get(« __flashBugFix »)) {
// detected
} else {
// not detected
}
}
function w3(x) {
// not detected
}
Quelle conséquence ?
La publicité est affichée de façon agressive et non sollicitée. Ce n’est bon ni pour l’annonceur, ni pour l’éditeur du site qui dans les deux cas voient leur image de marque se détériorer. C’est pour s’y retrouver dans cette jungle que Telemetry offre ses services d’audit des campagnes vidéo.
Merci à Anthony Rushton, CEO de Telemetry, qui nous a permis de vous mettre à disposition l’analyse complète : Ad Injection – an exploration of three sub optimal activities in the online video sector.
Follow @berendes
En cadeau, une liste d’une centaine de domaines, propices aux ad injections :
360.yahoo.com
3dnews.ru
4chan.org
accuweather.com
afisha.yandex.ru
ag.ru
ahtim.com
amazon.com
anandtech.com
anonymouse.org
answers.com
answers.yahoo.com
aol.com
arstechnica.com
auto.ru
auto.yandex.ru
autonews.ru
bbc.co.uk
besame.fm
betanews.com
bild.de
bit-‐tech.net
br.msn.com
broadcastnewsroom.com
bt.dk
business.dk
captain.co.il
cashbasehq.com
championat.ru
chess.com
cleacuisine.fr
cnews.ru
cnn.com
codecademy.com
computerworld.dk
crunchgear.com
dailymail.co.uk
demonoid.com
designerstalk.com
designyoutrust.com
di.fm
dict.leo.org
diendan.hocmai.vn
digg.com
digitalspy.co.uk
docs.google.com
download.com
drive.google.com
drive.ru
ebay.fr
ekstrabladet.dk
ekstrabladet.tv
elitistjerks.com
epn.dk
f1news.ru
facebook.com
ferra.ru
fibromyalgie.xooit.com
fishki.net
flyertalk.com
focus.de
forum.satmag.fr
forums.worldofwarcraft.com
games.yandex.ru
gametech.ru
gazeta.pl
gazeta.ru
girlgeniusonline.com
gismeteo.ru
gizmodo.*
global-‐sms.de
godaddy.com
gog.com
google.com
guloggratis.dk
haaretz.co.il
habrahabr.ru
heise.de
hh.ru
hothardware.com
humblebundle.com
idnes.cz
ifolder.ru
imdb.com
index.hu
itrate.ru
iwiw.hu
ixbt.com
kijiji.ca
km.ru
latimes.com
lego.com
lenta.ru
lifehacker.com
lingvo.yandex.ru
linux-‐mag.com
linuxreaders.com
live.com
liveinternet.ru
livejournal.com
loveplanet.ru
mail.live.com
mail.yahoo.com/dc
mail.yahoo.com/mc
maisfutebol.iol.pt
majorgeeks.com
maps.mail.ru
marktplaats.nl
mashable.com
maximumpc.com
meebo.com
mobbit.info
mobile-‐review.com
moneycontrol.com
mouse.co.il
msn.*
mydrivers.com
mykawartha.com
myspace.com
myvideo.de
nana.co.il
nana10.co.il
nationet.com
nationwide.co.uk
neopets.com
neowin.net
news.cnet.com
newsru.com
newstimes.com
newz.dk
nnm.ru
novoteka.ru
nrg.co.il
nytimes.com
ojogo.pt
oper.ru
orange.co.uk
osnews.com
overclockers.ru
paypal.com
pcmag.com
CONFIDENTIAL /
pcwelt.de
photobucket.com
physorg.com
play.yandex.ru
plus.google.com
pornolab.net
programme-‐tv.net
prohardver.hu
ptitchef.com
rabota.ru
raiffeisen.ru
rambler.ru
rbc.ru
rbcdaily.ru
readwriteweb.com
record.pt
rian.ru
runescape.com
rusactors.ru
salon.com
satkurier.pl
serversfree.com
sexnarod.ru
sherdog.net
sitepoint.com
skyrock.com
slashdot.org
slovari.yandex.ru
smart60.ru
softexia.com
spectator.org
sport-‐express.ru
sport1.de
sports.ru
sportsillustrated.cnn.com
sueddeutsche.de
t-‐online.de
tapochek.net
techcrunch.com
techradar.com
techrepublic.com
telegraph.co.uk
tfile.ru
tgdaily.com
themarker.com
thenextweb.com
thepiratebay.org
tomshardware.com
torrentfreak.com
torrents.ru
totalcar.hu
tracker.freeexchange.ru
tumblr.com
tutu.ru
tv.yandex.ru
tv2.dk
twitter.com
uol.com.br
utro.ru
vbeta.pl
vedomosti.ru
veggieboards.com
vsa-‐nova.com
walla.co.il
washingtonpost.com
webhostingtalk.com
wetter.com
windowssecrets.com
wired.com
wordpress.com
yahoo.com
yandex.ru
ynet.co.il
youtube.com
youversion.com
zaycev.net
zoneofgames.ru