{"id":1404,"date":"2013-05-05T13:32:02","date_gmt":"2013-05-05T11:32:02","guid":{"rendered":"http:\/\/www.laurentbourrelly.com\/blog\/?p=1404"},"modified":"2013-05-05T13:32:02","modified_gmt":"2013-05-05T11:32:02","slug":"et-si-on-parlait-cookie-stuffing","status":"publish","type":"post","link":"https:\/\/www.laurentbourrelly.com\/blog\/1404.php","title":{"rendered":"Et si on parlait Cookie Stuffing"},"content":{"rendered":"<p><a href=\"https:\/\/www.laurentbourrelly.com\/blog\/wp-content\/uploads\/2013\/05\/cookie-stuffing.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft  wp-image-1405\" style=\"border: 0px; margin: 0px 10px;\" alt=\"cookie-stuffing\" src=\"https:\/\/www.laurentbourrelly.com\/blog\/wp-content\/uploads\/2013\/05\/cookie-stuffing.jpg\" width=\"134\" height=\"101\" \/><\/a>L&rsquo;affaire des deux plus gros <a href=\"http:\/\/www.businessinsider.com\/ebay-the-fbi-shawn-hogan-and-brian-dunning-2013-4\">affili\u00e9s d&rsquo;eBay qui se font choper pour fraude<\/a>, pour utilisation de Cookie Stuffing, m&rsquo;incite \u00e0 parler d&rsquo;un sujet qui est tr\u00e8s peu abord\u00e9 dans la sph\u00e8re francophone.<\/p>\n<p>Pourtant, cette technique est redoutable. Je ne sais pas \u00e0 quand remonte son invention, mais je l&rsquo;ai crois\u00e9 quasiment d\u00e8s mes d\u00e9buts en affiliation au d\u00e9but des ann\u00e9es 2000.<br \/>\n<!--more--><\/p>\n<h1>Le paradis du cookie<\/h1>\n<p>Les montants g\u00e9n\u00e9r\u00e9s par Shawn Hogan (28 million de $ au total) et Brian Dunning (7 million de $ au total) repr\u00e9sentent une \u00e9norme portion des paiements d&rsquo;eBay \u00e0 leurs affili\u00e9s (70 million de $\/an \u00e0 26 000 membres).<br \/>\nLa moyenne des gains par un affili\u00e9 d&rsquo;eBay est 2 700$ par an, alors qu&rsquo;Hogan gagnait 1,5 million de $.<br \/>\nLeur technique consistait \u00e0 planter un cookie, gr\u00e2ce \u00e0 un widget de g\u00e9olocalisation des visiteurs que les webmasters installaient sur leurs sites.<\/p>\n<p>Ceux qui fr\u00e9quentent les forums Black Hat SEO n&rsquo;ont pas manqu\u00e9 de tomber sur des scripts, proposant de faciliter l&rsquo;utilisation du Cookie Stuffing ou CS pour les intimes. Certains parlent aussi de Cookie Dropping.<\/p>\n<p>M\u00eame sans utiliser le script d&rsquo;un vendeur de p\u00e8les, le CS est d&rsquo;une simplicit\u00e9 effarante.<\/p>\n<p>Le principe consiste \u00e0 forcer l&rsquo;installation d&rsquo;un cookie de tracking d&rsquo;affiliation sur le plus grand nombre d&rsquo;ordinateurs possible. Ensuite, si l&rsquo;utilisateur ach\u00e8te sur la boutique, track\u00e9e par le cookie, la commission va dans la poche de l&rsquo;affili\u00e9 truqueur.<\/p>\n<h3>Les moyens<\/h3>\n<ul>\n<li>Popup JavaScript;<\/li>\n<li>iFrame;<\/li>\n<li>Redirection par image ou Flash;<\/li>\n<li>Redirection PHP.<\/li>\n<\/ul>\n<h4>Popup<\/h4>\n<p>Cette technique est en d\u00e9su\u00e9tude \u00e0 cause de la mont\u00e9e en puissance des anti-popup int\u00e9gr\u00e9s aux navigateurs et elle pr\u00e9sente de grosses limitations par son aspect \u00e9vident \u00e0 d\u00e9celer et sa propagation restreinte.<\/p>\n<h4>iFrame<\/h4>\n<p>Tout aussi simple \u00e0 mettre en place que la popup, les m\u00eames limitations sont valables.<\/p>\n<h4>Image<\/h4>\n<p>Sans doute la m\u00e9thode la plus connue, sa propagation poss\u00e8de plus d&rsquo;amplitude via hotlink. Google Images est un pourvoyeur de trafic, avec un \u00e9norme potentiel pour planter du cookie.<\/p>\n<h4>Redirection PHP<\/h4>\n<p>M\u00eame probl\u00e8me que pour la popup ou l&rsquo;iframe, puisque le code doit \u00eatre install\u00e9 sur le site \u00e0 trafic.<\/p>\n<h3>La technique<\/h3>\n<p>Les ingr\u00e9dients consistent \u00e0 utiliser un site tampon et un money site.<br \/>\nBien s\u00fbr, vous devez disposer d&rsquo;un compte d&rsquo;affili\u00e9 sur les r\u00e9gies que vous souhaitez arnaquer.<\/p>\n<p>Sur le site tampon, un code de redirection sera install\u00e9.<\/p>\n<blockquote><p>&lt;? \u2028$url = &lsquo;http:\/\/ www.moneysite.com\/code.php&rsquo;;<br \/>\nheader(\u00ab\u00a0Location: \u00ab\u00a0.$url);<br \/>\nexit;<br \/>\n?&gt;<\/p><\/blockquote>\n<p>Le money site contiendra une redirection vers l&rsquo;affiliation.<\/p>\n<p>Prenons l&rsquo;exemple le plus efficace qui utilise l&rsquo;image. J&rsquo;ai tent\u00e9 de retrouver la source de mes notes, mais \u00e7a fait trop longtemps et impossible de remettre la souris dessus.<br \/>\nLe trafic provient de sources diverses et vari\u00e9es o\u00f9 cette image sera charg\u00e9e. Cette image est appel\u00e9e sur le site tampon, qui contient un .htaccess et un script PHP. Sauf que l&rsquo;image n&rsquo;est pas h\u00e9berg\u00e9e sur le site tampon. \u00c0 la place, le .htaccess charge le script en https, qui redirige vers le money site. Sur le money site, le script v\u00e9rifie si le referer est vide pour balancer le lien d&rsquo;affiliation, qui va planter un cookie. Si le referer est v\u00e9rifi\u00e9, alors l&rsquo;image est charg\u00e9e.<br \/>\nL&rsquo;astuce consiste \u00e0 utiliser https pour cibler l&rsquo;appel avec referer vide. Comme \u00e7a ne marche pas avec tous les navigateurs, le chargement r\u00e9el d&rsquo;image sert d&rsquo;alternative.<\/p>\n<p>Le .htaccess contient un code tout b\u00eate du genre :<\/p>\n<blockquote><p>RewriteRule ^image.ext$ https:\/\/sitetampon.com\/code.php [R,L]<\/p><\/blockquote>\n<p>Le script h\u00e9berg\u00e9 sur le site tampon contient une redirection vers le money site, comme dans l&rsquo;exemple cit\u00e9 pr\u00e9c\u00e9demment.<\/p>\n<p>En fait, le code sugg\u00e9r\u00e9 plus haut est trop simpliste car un tour de magie doit se d\u00e9rouler sur le money site. Le script doit se pr\u00e9occuper de planter le cookie, avec certaines conditions. Par exemple, le cookie ne sera pas install\u00e9 s&rsquo;il est d\u00e9j\u00e0 pr\u00e9sent, la g\u00e9olocalisation sera v\u00e9rifi\u00e9e pour faire correspondre aux bonnes r\u00e9gies et voir aussi si le referer n&rsquo;est pas vide. Un bon random est aussi conseill\u00e9 car rien de pire qu&rsquo;un CTR \u00e0 100% pour se faire flagger.<\/p>\n<p>Ce type de code n&rsquo;est pas tr\u00e8s compliqu\u00e9 \u00e0 trouver, si vous \u00eates une br\u00e8le en PHP comme moi.<br \/>\nMaintenant, j&rsquo;ai h\u00e9sit\u00e9 \u00e0 le publier pr\u00eat \u00e0 utiliser, mais je vais m&rsquo;abstenir.<br \/>\nPar contre, si \u00e7a vous int\u00e9resse vraiment, n&rsquo;achetez pas aupr\u00e8s d&rsquo;un vendeur de p\u00e8les, qui fait payer un syst\u00e8me disponible gratuitement. Le cookie stuffer est fain\u00e9ant et radin !<\/p>\n<p>Pour \u00eatre plus malin, il faut d\u00e9ployer sur d&rsquo;autres sites. Le Cookie Stuffer est un fain\u00e9ant et \u00e7a ne colle pas car jusque l\u00e0 il est n\u00e9cessaire de poss\u00e9der un site assez int\u00e9ressant, afin de propager le cookie sur un nombre suffisant d&rsquo;ordinateurs.<\/p>\n<p>Ainsi, le truc consiste \u00e0 trouver des moyens de d\u00e9ployer son petit bout de code chez les autres. C&rsquo;est la m\u00e9thode utilis\u00e9e par Hogan et Dunning, gr\u00e2ce \u00e0 un widget pour webmasters.<\/p>\n<p>Du coup, les possibilit\u00e9s sont infinies, mais on pense tout \u00e0 suite \u00e0 la cr\u00e9ation d&rsquo;un plugin ou th\u00e8me WordPress, qui contiendra une image invisible de 1px.<\/p>\n<p>On peut aussi imaginer de blaster les forums, en cr\u00e9ant des profils qui seront v\u00e9rifi\u00e9s par les mod\u00e9rateurs. Ces derniers vont forc\u00e9ment cliquer sur le lien dans le profil et vont profiter ainsi de nouveaux cookies sur leurs machines.<\/p>\n<p>Les cookie stuffers sont fain\u00e9ants, mais ils sont tr\u00e8s cr\u00e9atifs. J&rsquo;ai vu passer des techniques pour profiter d&rsquo;\u00e0 peu pr\u00e8s tout ce qui pr\u00e9sente une opportunit\u00e9 pour faire cliquer sur un lien ou charger une page. M\u00eame la v\u00e9rification de compte par SMS (PVA) peut \u00eatre manipul\u00e9e facilement.<\/p>\n<p>Inutile de souligner qu&rsquo;il est indispensable de cloaquer (private joke @<a href=\"https:\/\/twitter.com\/512banque\">512banque<\/a>) les liens dans tous les cas cit\u00e9s pr\u00e9c\u00e9demment.<\/p>\n<h3>Disclaimer<\/h3>\n<p>Le cookie stuffing est tr\u00e8s tentant, mais sa l\u00e9galit\u00e9 et sa moralit\u00e9 sont \u00e0 prendre en compte.<\/p>\n<p>Du c\u00f4t\u00e9 l\u00e9gal, la plupart des r\u00e9gies ne vont pas vous poursuivre car c&rsquo;est une mauvaise publicit\u00e9 qu&rsquo;elles souhaitent \u00e9viter. Votre compte sera ferm\u00e9 et l&rsquo;affaire s&rsquo;arr\u00eate l\u00e0. Notez les montants engrang\u00e9s par Hogan et Dunning avant qu&rsquo;eBay r\u00e9agisse. J&rsquo;ai aussi vu passer la news \u00e0 propos d&rsquo;un vendeur de p\u00e8les, qui \u00e0 pris 6 mois de prison aux Etats-Unis pour son script de CS \u00e0 450$. Ces deux cas sont les seuls que je connais o\u00f9 la r\u00e9pression entra\u00eena de passer devant un juge.<br \/>\nSi le pays n&rsquo;a pas de loi sp\u00e9cifique pour le cookie, l&rsquo;accusation pourra toujours sortir des lois sur la fraude li\u00e9e \u00e0 Internet.<\/p>\n<p>Pour la morale, je vous laisse seul juge.<\/p>\n<p>Le plus souvent, le tricheur sera rep\u00e9r\u00e9 car il devient trop gourmand. Celui qui reste raisonnable \u00e0 peu de chance de se faire choper.<br \/>\nDans certaines th\u00e9matiques (porn, gambling), les r\u00e9gies s&rsquo;en foutent totalement et peuvent m\u00eame encourager. Certaines r\u00e9gies vont carr\u00e9ment pratiquer le CS pour leur propre compte.<\/p>\n<p>\u00c0 noter que les cookies tiers sont dans le viseur des navigateurs. Safari a d\u00e9j\u00e0 proc\u00e9d\u00e9 au blocage et Firefox devrait exclure les cookies tiers en juin.<br \/>\nLe cookie stuffer va devoir s&rsquo;adapter.<\/p>\n<h4>Lien compl\u00e9mentaire<\/h4>\n<p>Le seul lien en fran\u00e7ais sur le <a href=\"http:\/\/www.theblackmelvyn.com\/2009\/07\/cookie-stuffing-la-bete-noire-de-laffiliation\/\">Cookie Stuffing<\/a> que j&rsquo;ai trouv\u00e9 sur le sujet (pas cherch\u00e9 3 plombes non plus) par l&rsquo;ami Matthieu.<\/p>\n<p><a href=\"http:\/\/www.flickr.com\/photos\/azmichelle\/\"><em>Cr\u00e9dits photo intro<\/em><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&rsquo;affaire des deux plus gros affili\u00e9s d&rsquo;eBay qui se font choper pour fraude, pour utilisation de Cookie Stuffing, m&rsquo;incite \u00e0 parler d&rsquo;un sujet qui est tr\u00e8s peu abord\u00e9 dans la sph\u00e8re francophone. Pourtant, cette technique est redoutable. Je ne sais pas \u00e0 quand remonte son invention, mais je l&rsquo;ai crois\u00e9 quasiment d\u00e8s mes d\u00e9buts en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[11],"tags":[79],"class_list":["post-1404","post","type-post","status-publish","format-standard","hentry","category-scripts","tag-black-hat-seo"],"_links":{"self":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts\/1404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/comments?post=1404"}],"version-history":[{"count":0,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts\/1404\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/media?parent=1404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/categories?post=1404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/tags?post=1404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}