Interview avec Telemetry : la fraude s’étend au-delà de simples robots

octobre 17, 2014

EspionEt si l’on s’intéressait plus à la fraude, ce fléau qui dérange le marché de la publicité programmatique ? Le trafic non-humain et de fermes qui génèrent des clics par millions représente un manque à gagner de $ 14 Mds à l’industrie de la publicité en ligne.

Le sujet est plus que jamais d’actualité, avec de grands groupes investissant dans l’acquisition de start-ups spécialisées dans le domaine, comme Google, qui a acheté Spider.io, Yahoo !, qui a récemment acquis ClarityRay et ComScore, qui a mis la main sur MdotLabs. Le nombre d’acteurs – pure players ou pas – proposant des solutions de lutte contre la fraude ne cesse d’augmenter. Le niveau de complexité et d’ingéniosité des ruses des fraudeurs lui aussi est chaque fois plus élevé.

Pour tenter d’y voir un peu plus clair sur les solutions qui sont proposées et en quoi peuvent-elles être efficaces, ad-exchange.fr est parti interroger une douzaine d’acteurs en Europe et aux Etats-Unis.

 

 

Geo Carncross-HighRezAujourd’hui nous interrogeons Geo Carncross, vice-président exécutif de Telemetry.

 

Vous avez fait le buzz en indiquant des failles dans le système de protection contre la fraude de la plateforme DSP vidéo Rocket Fuel (lire ici notre article). Vous assurez la sécurité spécifiquement pour les impressions vidéo. Quel est l’ampleur du phénomène de la fraude sur les publicités vidéo ?

La campagne que Telemetry a observée sur Rocket Fuel était une campagne d’affichage, pas de vidéo. Telemetry est spécialisée dans la vidéo, ce qui est plus complexe, mais nous offrons un service profondeur (“deep-dive”) pour les clients qui veulent aligner leurs campagnes vidéo avec l’affichage.

Pour répondre à votre question : la fraude est répandue dans toutes les publicités en ligne parce que les gens du marketing et les éditeurs ne passent pas suffisamment de temps à examiner leur trafic. Par ailleurs, Integral Ad Science prétend que seulement 6% de Rocket Fuel constitue de la fraude automatisée, Forensiq prétend qu’au moins 6 % de Rocket Fuel constitue de la fraude automatisée, et même Rocket Fuel indique qu’ils ont 2% de fraude automatisée ! Telemetry croit que la fraude s’étend au-delà des simples robots: Telemetry est témoin d’arbitrages sophistiqués combinés à une ingérence technologique dans les détecteurs anti-fraude célèbres (tels que Integral Ad Science, Tremor/ScanScout, Vindico, Yume, Adap.TV), et nous continuons à découvrir quelle est l’étendue de la fraude.

Vous êtes en train de dire que les fraudeurs arrivent à intervenir au sein des détecteurs anti-fraude de ces entreprises de façon à frauder davantage sans qu’elles ne s’en rendent compte ?

Oui, une des attaques habituelles sur de la vidéo consiste à prendre un tag vidéo (depuis un accord direct ou depuis une place de marché) et à acheter du trafic provenant de clics ou d’échange d’affichages/bannières. Le fraudeur modifie alors le code qui audite le tag vidéo afin de renvoyer un excellent KPI.

FraudMais qui alors est responsable de cette situation ? 

Ce n’est pas juste une entité. Cette industrie a tellement besoin de plus de mesures et d’indicateurs que je pourrais presque dire que c’est l’industrie qui est responsable : les choses qui nous mènent (en qualité d’industrie) au programmatique sont les mêmes que celles qui encouragent la fraude. Si nous arrêtons d’encourager les sites qui n’ont pas de contenu significatif, nous arrêterons d’encourager les auteurs de la fraude.

Vous décortiquez et dénoncez le système des publicités injectées. Pouvez-vous nous expliquer comment cette fraude est opérée ? Et pourquoi les SSP n’arrivent-elles pas à les éviter ?

Les publicités injectées constituent un type de fraude intéressant, car il dévalue le site dans lequel les publicités sont injectées. Ça a habituellement un impact négatif sur l’annonceur lorsque le ressenti de la marque n’est pas bien contrôlé, mais les plateformes d’injection de publicité deviennent suffisamment sophistiquées pour que certains gestionnaires de marques ne voient pas ça comme un problème, et l’acceptent comme une manière valable de placer leurs publicités dans des endroits qui ont autrement un coût élevé (ex : sur Facebook et Youtube) et ce pour une fraction du prix initial.

Comment faites-vous pour combattre ce phénomène ?

Telemetry crée des technologies qui aident nos analystes à décoder de manière interactive l’environnement technologique dans lequel existent les publicités, afin de déterminer à qui profite la fraude. Ce qui permet à l’annonceur de demander un remède auprès de ses fournisseurs de façon à leur permettre d’empêcher que l’argent parvienne aux fraudeurs, et souvent à le récupérer.

TelemetryQuelles sont les autres escroqueries les plus courantes ? Concernent-elles uniquement les places de marché programmatiques ?

Non. Tout d’abord, les propriétaires et les exploitants de la technologie de CCM [Client Connections Media, l’entreprise à l’origine de la escroquerie affectant Rocket Fuel et ses clients, lire ici] que Telemetry a suivi et qui ont affecté 57% d’une campagne de Rocket Fuel, étaient apparemment partie prenante dans plusieurs accords directs avec plusieurs réseaux pour de gros achats média (plus de 1 million de dollars US). Ça n’aurait jamais été vu comme “programmatique” auprès d’une agence.

Mais même si l’annonceur évite les réseaux, il peut tout de même être affecté. Par exemple, la même technologie a également visité des diffuseurs d’épisodes de séries et de contenu de télévision aux États-Unis. Ces robots ont également parcouru Amazon et ont cherché des vols de compagnies aériennes. Pourquoi ? Afin de collecter des cookies que les enchérisseurs programmatiques pourraient vouloir. Bien qu’ils puissent n’avoir représenté que moins de 1 % du trafic sur ces sites, ça peut tout de même surprendre les annonceurs qui se croient à l’abri attendant que les achats programmatiques et réseau se “mettent en ordre tout seuls”.

Avez-vous des solutions à toutes ces formes de fraude sur les impressions vidéo ?

De l’effort. C’est de l’effort et de la main d’œuvre. Il est possible d’utiliser de la technologie pour améliorer et rendre plus efficaces nos analystes, mais nous avons toujours besoin de gens pour observer les campagnes, et idéalement nous devrions en examiner plus.

Je pense également que les marques doivent étudier d’avantage ce sujet et jouer un rôle actif étant partie prenante dans leur campagne publicitaire et forcer leurs prestataires à justifier chaque impression.

bigstock_Fraud_Que peut-on faire pour limiter la fraude non pas a posteriori mais a priori ?

C’est une question qui concerne le programmatique : la visibilité est très limitée dans l’environnement pré-achat, et bien que l’IAB ait recommandé d’utiliser les impressions de publicités comme base de facturation, beaucoup de places de marché programmatiques opèrent toujours avec des conditions pay-on-win (le meilleur enchérisseur paye et emporte l’enchère), ce qui rend difficile l’implémentation de contremesures sophistiquées.

Comment se passe la fraude du côté des éditeurs ?

La réponse des éditeurs varie : certains éditeurs enquêtent de manière agressive sur leurs propres biens à la recherche de trafic non humain, mais la plupart ne le font pas et je n’ai pas connaissance d’un seul qui contrôle les arbitrages (pour mette à jour toute falsification). Il y a cette idée selon laquelle il est possible de fabriquer un outil anti-fraude comme un anti-virus, mais c’est naïf : leur code de “ protection ” tourne sous le contrôle de quelqu’un d’autre, par conséquent il sera toujours possible pour quelqu’un qui attaque le système de le contourner.

Comment est-il possible qu’un site “pirate” arrive à se faire passer par un éditeur légitime en utilisant son nom de domaine ?

Des logiciels sophistiqués : la plupart des fournisseurs de solutions anti-fraude se basent sur leurs logiciels pour leur dire ce qui se passe, mais Telemetry remarque des attaques faites en modifiant les logiciels en temps réel pour tromper les fournisseurs de solutions anti-fraude. Ces techniques rendent le référant (refferer) ou les rapports de noms de domaine totalement inutiles.

fraud_key_on_apple_keyboar_450Trouvez-vous vraiment que la solution des listes noires d’URL est efficace ?

Non, absolument pas.

Quelles sont les différences enregistrées entre les différents navigateurs ?

À l’exception de l’injection de publicités, la fraude publicitaire n’implique pas en général de se faire passer pour un navigateur particulier.

Y-a-t-il des secteurs d’activités qui subissent plus la fraude que d’autres ?

Je ne sais pas si je peux répondre à ça : Telemetry ne peut pas estimer la quantité de fraude qu’il y a dans la place de marché, et je ne crois pas que quiconque le puisse. Peu de personnes regardent ça de manière active parce qu’analyser de la publicité en ligne prend beaucoup de temps et coûte très cher, et pardonnez-moi de me montrer cynique : ça ne peut qu’apporter de mauvaises nouvelles.

Si une agence, ou un éditeur, ne s’audite pas complètement, elle est libre d’estimer le pourcentage de fraude qu’elle veut, mais en creusent un peu elle pourrait bien ne pas aimer ce qu’elle va découvrir.

Screen Shot 2014-09-04 at 21.45.38Quel conseil donneriez-vous à un annonceur pour lutter contre la fraude ?

Prenez une part active dans votre campagne. Ne la laissez pas entre les mains d’un bureau d’achat/vente qui va tenter de vous fournir des achats de médias avec le moins de transactions possible. Justifiez chaque impression. Étudiez les technologies utilisées dans la diffusion publicitaire et la façon dont la fraude est commise.

Comment améliorer la qualité de l’inventaire disponible sur les ad-exchanges ?

De nouveau : bien que je crois que c’est le travail des plateformes d’échange de s’assurer que leur réseaux soient nets, je pense que c’est aux marques d’insister pour faire valoir leur droit d’audit. Un audit régulier peut calibrer la campagne média mieux que quoi que ce soit d’autre.

 Vous êtes une entreprise indépendante basée aux Etats-Unis et au Royaume-Uni. Comment évaluez-vous le marché des solutions de lutte contre la fraude en Europe ?

Telemetry est une entreprise d’investigation technologique et d’audit, et nous ne sommes pas spécialement un fournisseur de services anti-fraude. Nous ne pensons pas que l’anti-fraude soit quelque chose que vous pouvez mettre dans une liste d’options et la vendre comme un plus. L’audit est une tâche holistique et continue, et je vais être honnête : je ne connais aucune autre entreprise aux États-Unis ou au Royaume-Uni (sans parler du reste de l’Europe) ayant cette approche.

Propos recueillis par Luciana Uchôa-Lefebvre (LUL) et Pierre Berendes