AccueilScripts ➟ Et si on parlait Cookie Stuffing

Et si on parlait Cookie Stuffing



cookie-stuffingL’affaire des deux plus gros affiliés d’eBay qui se font choper pour fraude, pour utilisation de Cookie Stuffing, m’incite à parler d’un sujet qui est très peu abordé dans la sphère francophone.

Pourtant, cette technique est redoutable. Je ne sais pas à quand remonte son invention, mais je l’ai croisé quasiment dès mes débuts en affiliation au début des années 2000.

Le paradis du cookie

Les montants générés par Shawn Hogan (28 million de $ au total) et Brian Dunning (7 million de $ au total) représentent une énorme portion des paiements d’eBay à leurs affiliés (70 million de $/an à 26 000 membres).
La moyenne des gains par un affilié d’eBay est 2 700$ par an, alors qu’Hogan gagnait 1,5 million de $.
Leur technique consistait à planter un cookie, grâce à un widget de géolocalisation des visiteurs que les webmasters installaient sur leurs sites.

Ceux qui fréquentent les forums Black Hat SEO n’ont pas manqué de tomber sur des scripts, proposant de faciliter l’utilisation du Cookie Stuffing ou CS pour les intimes. Certains parlent aussi de Cookie Dropping.

Même sans utiliser le script d’un vendeur de pèles, le CS est d’une simplicité effarante.

Le principe consiste à forcer l’installation d’un cookie de tracking d’affiliation sur le plus grand nombre d’ordinateurs possible. Ensuite, si l’utilisateur achète sur la boutique, trackée par le cookie, la commission va dans la poche de l’affilié truqueur.

Les moyens

  • Popup JavaScript;
  • iFrame;
  • Redirection par image ou Flash;
  • Redirection PHP.

Popup

Cette technique est en désuétude à cause de la montée en puissance des anti-popup intégrés aux navigateurs et elle présente de grosses limitations par son aspect évident à déceler et sa propagation restreinte.

iFrame

Tout aussi simple à mettre en place que la popup, les mêmes limitations sont valables.

Image

Sans doute la méthode la plus connue, sa propagation possède plus d’amplitude via hotlink. Google Images est un pourvoyeur de trafic, avec un énorme potentiel pour planter du cookie.

Redirection PHP

Même problème que pour la popup ou l’iframe, puisque le code doit être installé sur le site à trafic.

La technique

Les ingrédients consistent à utiliser un site tampon et un money site.
Bien sûr, vous devez disposer d’un compte d’affilié sur les régies que vous souhaitez arnaquer.

Sur le site tampon, un code de redirection sera installé.

<? 
$url = ‘http:// www.moneysite.com/code.php';
header(« Location: « .$url);
exit;
?>

Le money site contiendra une redirection vers l’affiliation.

Prenons l’exemple le plus efficace qui utilise l’image. J’ai tenté de retrouver la source de mes notes, mais ça fait trop longtemps et impossible de remettre la souris dessus.
Le trafic provient de sources diverses et variées où cette image sera chargée. Cette image est appelée sur le site tampon, qui contient un .htaccess et un script PHP. Sauf que l’image n’est pas hébergée sur le site tampon. À la place, le .htaccess charge le script en https, qui redirige vers le money site. Sur le money site, le script vérifie si le referer est vide pour balancer le lien d’affiliation, qui va planter un cookie. Si le referer est vérifié, alors l’image est chargée.
L’astuce consiste à utiliser https pour cibler l’appel avec referer vide. Comme ça ne marche pas avec tous les navigateurs, le chargement réel d’image sert d’alternative.

Le .htaccess contient un code tout bête du genre :

RewriteRule ^image.ext$ https://sitetampon.com/code.php [R,L]

Le script hébergé sur le site tampon contient une redirection vers le money site, comme dans l’exemple cité précédemment.

En fait, le code suggéré plus haut est trop simpliste car un tour de magie doit se dérouler sur le money site. Le script doit se préoccuper de planter le cookie, avec certaines conditions. Par exemple, le cookie ne sera pas installé s’il est déjà présent, la géolocalisation sera vérifiée pour faire correspondre aux bonnes régies et voir aussi si le referer n’est pas vide. Un bon random est aussi conseillé car rien de pire qu’un CTR à 100% pour se faire flagger.

Ce type de code n’est pas très compliqué à trouver, si vous êtes une brèle en PHP comme moi.
Maintenant, j’ai hésité à le publier prêt à utiliser, mais je vais m’abstenir.
Par contre, si ça vous intéresse vraiment, n’achetez pas auprès d’un vendeur de pèles, qui fait payer un système disponible gratuitement. Le cookie stuffer est fainéant et radin !

Pour être plus malin, il faut déployer sur d’autres sites. Le Cookie Stuffer est un fainéant et ça ne colle pas car jusque là il est nécessaire de posséder un site assez intéressant, afin de propager le cookie sur un nombre suffisant d’ordinateurs.

Ainsi, le truc consiste à trouver des moyens de déployer son petit bout de code chez les autres. C’est la méthode utilisée par Hogan et Dunning, grâce à un widget pour webmasters.

Du coup, les possibilités sont infinies, mais on pense tout à suite à la création d’un plugin ou thème WordPress, qui contiendra une image invisible de 1px.

On peut aussi imaginer de blaster les forums, en créant des profils qui seront vérifiés par les modérateurs. Ces derniers vont forcément cliquer sur le lien dans le profil et vont profiter ainsi de nouveaux cookies sur leurs machines.

Les cookie stuffers sont fainéants, mais ils sont très créatifs. J’ai vu passer des techniques pour profiter d’à peu près tout ce qui présente une opportunité pour faire cliquer sur un lien ou charger une page. Même la vérification de compte par SMS (PVA) peut être manipulée facilement.

Inutile de souligner qu’il est indispensable de cloaquer (private joke @512banque) les liens dans tous les cas cités précédemment.

Disclaimer

Le cookie stuffing est très tentant, mais sa légalité et sa moralité sont à prendre en compte.

Du côté légal, la plupart des régies ne vont pas vous poursuivre car c’est une mauvaise publicité qu’elles souhaitent éviter. Votre compte sera fermé et l’affaire s’arrête là. Notez les montants engrangés par Hogan et Dunning avant qu’eBay réagisse. J’ai aussi vu passer la news à propos d’un vendeur de pèles, qui à pris 6 mois de prison aux Etats-Unis pour son script de CS à 450$. Ces deux cas sont les seuls que je connais où la répression entraîna de passer devant un juge.
Si le pays n’a pas de loi spécifique pour le cookie, l’accusation pourra toujours sortir des lois sur la fraude liée à Internet.

Pour la morale, je vous laisse seul juge.

Le plus souvent, le tricheur sera repéré car il devient trop gourmand. Celui qui reste raisonnable à peu de chance de se faire choper.
Dans certaines thématiques (porn, gambling), les régies s’en foutent totalement et peuvent même encourager. Certaines régies vont carrément pratiquer le CS pour leur propre compte.

À noter que les cookies tiers sont dans le viseur des navigateurs. Safari a déjà procédé au blocage et Firefox devrait exclure les cookies tiers en juin.
Le cookie stuffer va devoir s’adapter.

Lien complémentaire

Le seul lien en français sur le Cookie Stuffing que j’ai trouvé sur le sujet (pas cherché 3 plombes non plus) par l’ami Matthieu.

Crédits photo intro

Vous avez aimé cette lecture ?
Abonnez-vous à ma newsletter pour être le premier au courant de mes dernières trouvailles SEO, distillées uniquement par ce canal.



38 réponses dans “Et si on parlait Cookie Stuffing”

  • 512banque dit:

    Cloaquer ^^

    Merci pour ce billet technique :)
    Black Melvyn avait parlé de cette méthode en détail pendant le barcamp Black Hat 2011.
    Perso, je ne le ferai pas pour des raisons éthiques (sérieusement). Mais techniquement parlant, je trouve ça génial :)

  • Toucouleur dit:

    À noter que les cookies tiers sont dans le viseur des navigateurs. Safari a déjà procédé au blocage et Firefox devrait exclure les cookies tiers en juin.
    Ou péricliter pour de bon !

    Super article Laurent pour la vulgarisation de l’utilisation de cette vielle technique qui m’a toujours laissé rêveur quand on sait l’usage qu’en fond certaines régies.

    J’espère d’un point de vue du matraquage publicitaire que ces nouvelles dispositions des navigateurs mettra un terme à certaines techniques de retargeting.

  • Laurent dit:

    @512 : zut je voulais lier son billet et j’ai zappé. C’est réparé. Merci de m’avoir rappelé qu’il est LE spécialiste francophone du stuffing en tout genre :D

    @Toucouleur : d’un point de vue user, je trouve aussi que c’est abusé le tracking. Tant mieux si les régies vont moins l’avoir facile.

  • Laurent P. dit:

    Oui, le plus gonflant dans l’histoire, c’est bien la négligence de certaines plates-formes qui refusent de lever les yeux au-dessus de leurs tableaux de bord.

    Après, dans les secteurs chauds de l’affiliation, ce sont carrément les affilieurs en direct qui s’amusent à ça, car ils savent par avance qu’ils ne feront que rééquilibrer la balance avec leurs affiliés, en récupérant des commissions indues… bonjour l’ambiance !

  • Xavfun dit:

    J’aime bien quand tu causes cuisine pour mon 4H

  • Laurent dit:

    @Laurent : dans l’article cité en intro, les deux parlent d’incitation à en faire encore plus par eBay et d’autres magouilles, mais ils n’ont pas de preuve.
    Pourtant, quand on sait tout ce qui se trame dans ce business, je ne serais pas étonnée.

    @Xavfun : l’aspect stuffing doit aussi te plaire…

  • XavFun dit:

    Oui mais moi tout me plait…

    A propos du Cookie Stuffing, j’avais bien aimé la présentation au Barkamp Black Hat de Toulouse, j’avais déjà vue cette méthode avant et effectivement dans le porn c’est un classique de se faire « enfiler » un cookies à l’insu de son plein gré ! (ce sont des termes techNIQUE)

  • Laurent dit:

    Malheureusement je n’étais pas présent au Barcamp, mais je compte bien en être cette année.

  • XavFun dit:

    viens à la Nuit Du Hack le 22 juin chez Mickey, en plus y a mon pote Boxe qui fête ses 10 ans :
    http://www.nuitduhack.com/ y a pleins de conf. qui te plairont (et y aura peut être ma soeur)

  • Christophe Maggi dit:

    Hello,
    Louis J Montulli a inventé le cookie [magic cookie] en 1994 quand il travaillait chez Netscape; depuis les cookies sont utilisés par tous les navigateurs. Comme dès le départ les cookies ont été développés pour les sites marchands, on peut penser que les premières fraudes aux cookies sont apparues entre 1994 et 2000. En 2000 on parlait déjà de récupérer des cookies DoubleClick : http://www.interhack.net/pubs/dc-proto-fail/
    .Par ailleurs sur Pastebin vous trouverez pas mal de scripts complet de cookies stuffing mais comme le dit Laurent la pratique semble illégale dans certains pays. Perso, je ne m’y risquerais pas du tout.

  • lolo dit:

    Super, je comprends maintenant comment les sites qui génèrent le plus de trafic en France de manière illégale gagnent vraiment de l’argent (le streaming hein) – en plus des simples chevaux de troie.
    Merci de cette explication, ce fût tellement intéressant que je ne mets pas de lien dans mon pseudo ^^

  • Laurent dit:

    @XavFun : impossible le 22. Je vais à Barcelone pour les European Search Awards.
    Enfin faut voir si je ne suis pas trop dead.

    @Christophe : je ne me souviens plus exactement, mais j’ai commencé en 2003 et ça bidouillait déjà sec sur le cookie.

    @lolo : tiens tu as peut-être assisté à un certain clash à propos du dofollow sur un certain forum ? :P

  • XavFun dit:

    Saches que « Punk is not dead » comme nous l’a rappelé notre copine !!! (private joke)

  • Aurélien dit:

    J’en avais fait (ah non c’est vrai faut pas en parler) sur un très gros site quand j’étais jeune et insouciant et il faut dire que ça marche super bien, j’avais chopper de belles commissions. C’est justement en les voyant que j’avais arrêté, c’est trop tendu légalement.

    Après niveau éthique, vu ce que les régies m’ont déjà « oublié » de {payer|tracker}, j’aurais pas de soucis à me faire mais pas en France.

    J’utilise une technique similaire pour mes MFAs, faut juste faire attention, certaines régies bannissent si vous avez un taux de conversion pourrit.

  • Renaud Joly dit:

    $28 millions sur $70 et personne n’était au courant chez eBay ? hum, hum qui gérait ce partenaire ? On ne parle pas tant que ça du CS mais pour les annonceurs, la question se pose de faire auditer les programmes d’affiliation et de retargeting.

  • Laurent dit:

    @XavFun : Punk SEO is the future !

    @Aurélien : même en France ce n’est pas très risqué car les régies ferment leurs gueules.
    Sauf si tu commences à générer des millions par an comme les deux compères, alors ça devrait couiner.

    @Renaud : 28M$ c’est le montant total, depuis qu’il a commencé l’affiliation eBay en 1999. Avant d’être arrêté, il gagnait 1,5M$ par an (c’est déjà pas mal ^^), rien qu’avec eBay. Il clame que son affil manager était au courant.

  • Renaud Joly dit:

    Oui je viens de lire plusieurs articles. Ca va être sa défense. Ebay mettait la pression sur le trafic sans trop se poser de questions sur son origine. Ni sur ce qu’il était possible de générer comme volume de clics qualitatifs.

  • Yann dit:

    Publications tous azimuts en ce moment :-)
    Comme 512 (d’ailleurs le cookie me rappelle son atelier Teknseo) je trouve ça très ingénieux, même si jamais fait … car jamais fait d’affil’ (avant InfiniCMS tout récemment)

    Merci pour la technique détaillée, même si le cookie est dans le collimateur en ce moment : Safari, FF bientôt, sans compter qu’en mode un tantinet parano. le paramétrage permet d’être alerté dès lors qu’un cookie tiers (ou pas) tente de s’incruster…

  • yoyo dit:

    bonjour,
    article assez technique je dois avoué que j’ai pas tout compris , je le relirai à tête reposé .
    Merci de nous faire partager vos connaissances seo

  • Rodrigue dit:

    Si j’ai bien compris l’article (j’ai eu un week end assez chaud)…

    …Pour l’affiliation (charme), j’utilisai un code pour stocker le cookie sur le navigateur et de le rendre prioritaire même si le visiteur en choppait un sur un autre site. Ce qui accroit le taux de conversion.

    Une astuce sur WordPress, le plugin wp explosion permet cela je crois.

  • Laurent dit:

    @Renaud : c’est assez rigolo la façon de s’être fait choper, puisque le frère de l’un a dénoncé l’autre.

    @Yann : je suis curieux de voir comme les régies vont se sortir du pétrin car la fête semble bien finie.

    @yoyo : bon repos :D

    @Rodrigue : non ce n’est pas du tout la même chose. D’ailleurs, tu veux baisser ton CTR avec un random avec cette technique.

  • Jerome PASQUELIN dit:

    Comme il n’y a pas 50 manières de transmettre de l’information d’un site à un autre et que les cookies ne consomment rien en ressources serveur, c’est quasiment certain que les navigateurs ne vont pas fermer le robinet complètement à ce niveau.

  • Laurent dit:

    Il s’agit uniquement des sites tiers. Les sites de « confiance » n’ont rien à craindre.
    D’ailleurs, je ne suis pas contre du tout car c’est abused le retargeting.

  • a.bouininque dit:

    C’est incroyable ce truc, j’en avais jamais entendu parlé. Et comment savoir si on s’est fait pirater sois même?

  • celine dit:

    Un article très technique que j’ai du lire plusieurs fois pour tout capter (je ne suis pas très technique à la base) mais que j’ai trouvé très intéressant. J’avoue ne jamais m’être penchée sur ces fameux cookies et leur utilisation donc merci, je vais essayer d’approfondir tout cela.

  • Daniel dit:

    Cela fait partie des notions qu’on croise de temps en temps sans rien y comprendre.
    Merci pour cette explication limpide car j’étais intrigué depuis longtemps par la méthode.

  • Option dit:

    Pour ma part j’avais déjà entendu parler du cookie stuffing mais je n’avais pas vraiment creusé du fait du côté « illégal ». Finalement en restant peu gourmand cela peut être utile sur quelques thématiques

  • Charlie WebFrance dit:

    Bonjour à tou(te)s

    Très bon article Laurent ;)

    A noter que ce sont parfois certaines régies qui pratiquent ces techniques en utilisant leurs réseaux d’affiliés (et ceux de leurs partenaires)

    Tu oublies dans ta liste une méthode massive effroyablement efficace : les toolbars

    cf cet article publié sur WebFrance en 2008 :

    http://www.webfrance.com/236-petition-contre-le-detournement-des-clics-dans-laffiliation.html

  • vtcreative dit:

    Merci pour ce petit résumé. Personnellement je ne suis pas plus intéressé que ça par ce genre de pratiques, et concernant l’aspect éthique comme dit Laurent, chacun voit midi à sa porte. Par conte j’ai mis un coup de Google sur Shawn Hogan.. hehehe.

  • Jguiss dit:

    Tiens je suis tombé sur cette histoire hier ! Ca me fait plaisir que tu en parles en nous donnant plus de détails… Hallucinant les montants récoltés par ces super affiliés Ebay ! Pour ma part je ne l’utiliserai pas sur mes comptes qui tournent bien mais j’aimerai bien faire un test pour des gros sites ecommerces :)

  • Vince dit:

    Jolie démonstration d’une super technique qui, malheureusement, aura fait long feu… je n’étais pas à Toulouse en 2011, j’étais en revanche à Aix en 2012 et je serai peut-être à Paname pour 2013… car comme tu le dis si bien, « Punk SEO is the future » :D

  • Arnaud dit:

    La bonne affaire ! Ils ont pris un risque, ils ont perdu… Je trouve ça quand même assez impressionnant qu’on ne les ai pas choppé avant, c’est fou !

  • Solal dit:

    Pour moi c’est évident que l’affiliate manager de chez eBay est « complice ». Finalement le cookie stuffing écrase les cookies d’autres canaux d’acquisition et vampirise les ventes du SEM, du SEO et du display (enfin avec le modèle actuel le plus répandu du « last cookie wins » mais ça peut changer avec l’émergence des mes modèles de rémunération multi-attributif). Les résultats de l’affiliate manager s’en retrouvent gonflés et à lui les primes, les augmentations et les promotions. Champagne !

    Un responsable affiliation un peu consciencieux aurait été alerté par le volume et aurait demandé à l’affilié d’ou vient le trafic (liste de ses sites). Un petit coup de Sistrix ou autre et on voit tout de suite que le trafic ne correspond pas au volume de clics générés. C’est plus chaud pour les réseaux en blind mais là encore il y a moyen de demander des exemples d’intégration.

    Charlie parle des toolbars et je suis 100% d’accord avec lui, je les vois comme des parasites de mes affiliés légitimes. Un peu dans le même esprit, j’ai arrêté d’accepter les sites de coupons dans mon programme car ils volent souvent la vente au dernier moment. Le visiteur X a son cookie de l’affilié A puis veut vérifier si y’a pas une réduc’ de dispo dans Google, tombe sur un site qui ranke sur « coupon sitemarchand » dans Google et clique sur le bouton « voir le code de réduc » même si, derrière, il n’y a pas de code promo valable. L’affilié A peut dire adieu à sa com’.

    Voilà, c’était mon coup de gueule contre les affiliés fraudeurs qui me facilitent pas le travail. Ah, je ne suis que courroux ! :)

    PS: pardon pour les abréviations en anglais

  • agricole dit:

    Quoi qu’il arrive les petits filous trouveront toujours des moyens de se faire de l’argent facile sur le dos des autres même si ils se font gauler souvent ;) Donc c’est clair qu’ils s’adapteront quand les cookies tiers seront biscuit non gratta de partout ;)

  • Xav dit:

    L’ingéniosité des codeurs de ce genre me laisse toujours sans voix. Même si leur morale est parfois à remettre en cause, je trouve limite qu’ils méritent cet argent tant ils mettent en place des systèmes auquel personne n’aurait osé se lancer.

  • tina.lamere dit:

    Bonjour,
    Quelle harmonie entre l’image et le sujet évoqué :)
    C’est un peu amusant.

  • Shelko dit:

    Merci Laurent pour cet article technique (même si j’arrive 15 ans après la guerre).
    C’est vrai qu’il y a des milieux où le trafic même de mauvaise qualité est tellement important que ce genre de technique est monnaie courante.
    Même si je ne pense pas utiliser ce genre de technique, le détail avec codage est super intéressant pour se faire une idée plus précise du fonctionnement.

  • Oweia dit:

    Excellent, et en effet, à vouloir être trop gourmands, ils se font taper sur les doigts. Un peu de doigté est nécessaire (et l’accès à des sites à gros trafic, ou bien placé sur des niches). Il me semble qu’à Aix en 2012 512 Banque en avait déjà fait l’écho, en mode image…