L’affaire des deux plus gros affiliés d’eBay qui se font choper pour fraude, pour utilisation de Cookie Stuffing, m’incite à parler d’un sujet qui est très peu abordé dans la sphère francophone.
Pourtant, cette technique est redoutable. Je ne sais pas à quand remonte son invention, mais je l’ai croisé quasiment dès mes débuts en affiliation au début des années 2000.
Le paradis du cookie
Les montants générés par Shawn Hogan (28 million de $ au total) et Brian Dunning (7 million de $ au total) représentent une énorme portion des paiements d’eBay à leurs affiliés (70 million de $/an à 26 000 membres).
La moyenne des gains par un affilié d’eBay est 2 700$ par an, alors qu’Hogan gagnait 1,5 million de $.
Leur technique consistait à planter un cookie, grâce à un widget de géolocalisation des visiteurs que les webmasters installaient sur leurs sites.
Ceux qui fréquentent les forums Black Hat SEO n’ont pas manqué de tomber sur des scripts, proposant de faciliter l’utilisation du Cookie Stuffing ou CS pour les intimes. Certains parlent aussi de Cookie Dropping.
Même sans utiliser le script d’un vendeur de pèles, le CS est d’une simplicité effarante.
Le principe consiste à forcer l’installation d’un cookie de tracking d’affiliation sur le plus grand nombre d’ordinateurs possible. Ensuite, si l’utilisateur achète sur la boutique, trackée par le cookie, la commission va dans la poche de l’affilié truqueur.
Les moyens
- Popup JavaScript;
- iFrame;
- Redirection par image ou Flash;
- Redirection PHP.
Popup
Cette technique est en désuétude à cause de la montée en puissance des anti-popup intégrés aux navigateurs et elle présente de grosses limitations par son aspect évident à déceler et sa propagation restreinte.
iFrame
Tout aussi simple à mettre en place que la popup, les mêmes limitations sont valables.
Image
Sans doute la méthode la plus connue, sa propagation possède plus d’amplitude via hotlink. Google Images est un pourvoyeur de trafic, avec un énorme potentiel pour planter du cookie.
Redirection PHP
Même problème que pour la popup ou l’iframe, puisque le code doit être installé sur le site à trafic.
La technique
Les ingrédients consistent à utiliser un site tampon et un money site.
Bien sûr, vous devez disposer d’un compte d’affilié sur les régies que vous souhaitez arnaquer.
Sur le site tampon, un code de redirection sera installé.
<? $url = ‘http:// www.moneysite.com/code.php’;
header(« Location: « .$url);
exit;
?>
Le money site contiendra une redirection vers l’affiliation.
Prenons l’exemple le plus efficace qui utilise l’image. J’ai tenté de retrouver la source de mes notes, mais ça fait trop longtemps et impossible de remettre la souris dessus.
Le trafic provient de sources diverses et variées où cette image sera chargée. Cette image est appelée sur le site tampon, qui contient un .htaccess et un script PHP. Sauf que l’image n’est pas hébergée sur le site tampon. À la place, le .htaccess charge le script en https, qui redirige vers le money site. Sur le money site, le script vérifie si le referer est vide pour balancer le lien d’affiliation, qui va planter un cookie. Si le referer est vérifié, alors l’image est chargée.
L’astuce consiste à utiliser https pour cibler l’appel avec referer vide. Comme ça ne marche pas avec tous les navigateurs, le chargement réel d’image sert d’alternative.
Le .htaccess contient un code tout bête du genre :
RewriteRule ^image.ext$ https://sitetampon.com/code.php [R,L]
Le script hébergé sur le site tampon contient une redirection vers le money site, comme dans l’exemple cité précédemment.
En fait, le code suggéré plus haut est trop simpliste car un tour de magie doit se dérouler sur le money site. Le script doit se préoccuper de planter le cookie, avec certaines conditions. Par exemple, le cookie ne sera pas installé s’il est déjà présent, la géolocalisation sera vérifiée pour faire correspondre aux bonnes régies et voir aussi si le referer n’est pas vide. Un bon random est aussi conseillé car rien de pire qu’un CTR à 100% pour se faire flagger.
Ce type de code n’est pas très compliqué à trouver, si vous êtes une brèle en PHP comme moi.
Maintenant, j’ai hésité à le publier prêt à utiliser, mais je vais m’abstenir.
Par contre, si ça vous intéresse vraiment, n’achetez pas auprès d’un vendeur de pèles, qui fait payer un système disponible gratuitement. Le cookie stuffer est fainéant et radin !
Pour être plus malin, il faut déployer sur d’autres sites. Le Cookie Stuffer est un fainéant et ça ne colle pas car jusque là il est nécessaire de posséder un site assez intéressant, afin de propager le cookie sur un nombre suffisant d’ordinateurs.
Ainsi, le truc consiste à trouver des moyens de déployer son petit bout de code chez les autres. C’est la méthode utilisée par Hogan et Dunning, grâce à un widget pour webmasters.
Du coup, les possibilités sont infinies, mais on pense tout à suite à la création d’un plugin ou thème WordPress, qui contiendra une image invisible de 1px.
On peut aussi imaginer de blaster les forums, en créant des profils qui seront vérifiés par les modérateurs. Ces derniers vont forcément cliquer sur le lien dans le profil et vont profiter ainsi de nouveaux cookies sur leurs machines.
Les cookie stuffers sont fainéants, mais ils sont très créatifs. J’ai vu passer des techniques pour profiter d’à peu près tout ce qui présente une opportunité pour faire cliquer sur un lien ou charger une page. Même la vérification de compte par SMS (PVA) peut être manipulée facilement.
Inutile de souligner qu’il est indispensable de cloaquer (private joke @512banque) les liens dans tous les cas cités précédemment.
Disclaimer
Le cookie stuffing est très tentant, mais sa légalité et sa moralité sont à prendre en compte.
Du côté légal, la plupart des régies ne vont pas vous poursuivre car c’est une mauvaise publicité qu’elles souhaitent éviter. Votre compte sera fermé et l’affaire s’arrête là. Notez les montants engrangés par Hogan et Dunning avant qu’eBay réagisse. J’ai aussi vu passer la news à propos d’un vendeur de pèles, qui à pris 6 mois de prison aux Etats-Unis pour son script de CS à 450$. Ces deux cas sont les seuls que je connais où la répression entraîna de passer devant un juge.
Si le pays n’a pas de loi spécifique pour le cookie, l’accusation pourra toujours sortir des lois sur la fraude liée à Internet.
Pour la morale, je vous laisse seul juge.
Le plus souvent, le tricheur sera repéré car il devient trop gourmand. Celui qui reste raisonnable à peu de chance de se faire choper.
Dans certaines thématiques (porn, gambling), les régies s’en foutent totalement et peuvent même encourager. Certaines régies vont carrément pratiquer le CS pour leur propre compte.
À noter que les cookies tiers sont dans le viseur des navigateurs. Safari a déjà procédé au blocage et Firefox devrait exclure les cookies tiers en juin.
Le cookie stuffer va devoir s’adapter.
Lien complémentaire
Le seul lien en français sur le Cookie Stuffing que j’ai trouvé sur le sujet (pas cherché 3 plombes non plus) par l’ami Matthieu.