La fraude sur le second marché des noms de domaine – 2ème partie : le parking

Comme promis, voici le deuxième volet de mon topo sur les phénomènes de fraude affectant le second marché des noms de domaine. Après un premier billet sur celles qui touchent à l’achat-vente, intéressons-nous désormais au parking de noms de domaine. Là encore, il y a de quoi faire et surtout – nous allons le voir – les enjeux dépassent largement le cadre du second marché.

Pour schématiser, les techniques de fraude répertoriées sur le segment du parking ciblent essentiellement les 3 indicateurs clés du modèle : trafic, clics, et revenu par clic. Les 3 métriques restantes – à savoir le taux de clic (CTR), le RPM et le revenu – ne sont finalement que des « conséquences » des 3 premiers leviers évoquées. Passons-les donc en revue un par un et voyons les techniques de fraude les plus courantes.

La fraude sur le trafic des noms de domaine

Le trafic est sans doute le levier préféré des malfaiteurs. Et pour cause, il est au sommet de la chaîne de monétisation et on sait que plus le trafic affluant sur un nom de domaine sera important, plus les probabilités d’en tirer un bénéfice tout aussi important seront grandes. Partant de là, deux possibilités : soit ne tricher que sur le trafic et laisser la nature faire le reste, soit tricher en aval sur les clics voire le revenu par clic pour démultiplier l’effet. Heureusement, ceux qui s’en tiennent à la première possibilité s’en remettent au destin. Car envoyer plus de trafic sur un nom de domaine ne signifie pas nécessairement que la conversion va suivre. Or lorsqu’on est sur un modèle comme le parking qui rémunère le client au clic et non au poids de trafic, la conversion est essentielle à la mise en place d’un système de fraude fonctionnel.

Cela reste la première technique qui vient à l’esprit et donc la plus utilisée : la redirection/l’agrégation de trafic. Le principe est simple et consiste à utiliser comme « pompe à trafic » tout nom de domaine pouvant faire l’affaire. Mais alors, me direz-vous, pourquoi ne pas parquer directement ces domaines à trafic au lieu de se compliquer la vie avec un système de pompe à trafic ? Les raisons sont diverses et souvent propres à la psychologie du fraudeur elle-même : essentiellement pour dissimuler. On voit ainsi certains cas où des personnes redirigent un nom de domaine typosquattés vers un domaine générique en pensant que la méthode, en plus de leur apporter du trafic, les protège d’éventuels ennuis juridiques. Grave erreur. Car d’une part cette technique ne protège de rien sur ce dernier point, et d’autre part, certains fournisseurs de liens publicitaires comme Google se montrent de plus en plus intransigeants sur la répression de ces méthodes, et n’hésitent pas à bloquer purement et simplement le flux publicitaire sur le domaine cible, et à blacklister celui-ci dans leur index. Bonne chance à ceux qui veulent développer un site derrière…

Certains fraudeurs jouent également sur des sources de trafic moins directes pour générer du trafic. La méthode se résume à inscrire son nom de domaine parqué sur toutes sortes de sites présumés à fort trafic comme des annuaires et des forums. Les moins scrupuleux vont jusqu’à s’adonner à la technique du spam en envoyant des milliers d’e-mails non-sollicités contenant un lien vers leur page parking.

Voici pour les méthodes « directes ». Mais contrôlés par des humains malicieux, les robots font également du très bon travail. Et connaissent moins de limites. Certains utilisent donc des scripts de génération de trafic visant à alimenter leurs domaines parqués.

Deux techniques extrêmes pour finir. Premièrement, faire de la publicité pour son nom de domaine en parking… quitte à payer si le jeu en vaut la chandelle. Appliqué au système Google Adwords ou Yahoo! Search Marketing, cela s’appelle l’arbitrage, et c’est une méthode prohibée. Et deuxièmement, la jouer old school et demander à ses amis de se rendre sur la page… et de cliquer tant qu’à faire, ce qui m’amène à la deuxième partie de mon anaylse.

La fraude sur les clics comptabilisés sur noms de domaine parqués

Cliquer plus pour gagner plus, une des règles d’or des « fakers ». Avec trois alternatives : cliquer soi-même, faire cliquer quelqu’un d’autre et enfin faire cliquer quelque chose.

Les cas de « self-click » restent assez isolés, avant tout car il s’agit d’une méthode peu discrète et que beaucoup se doutent que leur adresse IP est tracée et enregistrée par les prestataires parking. D’autre part, cette méthode est plutôt utilisée par les amateurs qui ne gonflent pas le trafic en amont. Schéma courant : domaine de piètre qualité à la base, peu de vues, beaucoup (trop) de clics. Bref, flagrant. Mais pas innocent pour autant.

La méthode du « click incentive » (faire cliquer une ou plusieurs personnes) comporte deux ramifications : l’invitation non-sollicitée au clic et les réseaux de clics (cliqueurs) organisés. La première revient, comme je l’expliquais plus haut, à faire croire à un visiteur qu’un lien donné renvoie vers un contenu pertinent alors qu’il s’agit réalité d’une page parking. Certains se révèlent prosaïquement plus doués que d’autres pour augmenter les chances que le visiteur clique. D’autres font dans le grand art et n’hésitent pas à demander ouvertement aux visiteurs à cliquer sur l’un des liens qui apparaîtra sur la page qu’ils s’apprêtent à consulter. Les plus farfelus font même miroiter une rémunération.

Les réseaux de clics organisés sont les plus dangereux et les plus difficiles à détecter, car ils reposent souvent sur de véritables organisations de malfaiteurs. Egalement appelés « usines à clics » dans le jargon des prestataires parking, ils sont notamment très répandus dans les pays en voie de développement à très faibles coûts de main-d’œuvre. La méthode, très malicieuse, consiste à employer une armée de cliqueurs et à leur fournir une liste de sites à visiter. L’effet de masse et la technique de rotation font le reste. Deux particularités de ce système : les fraudeurs sont souvent organisés en « faker rings » (cercles de fraudeurs) et on trouve à force de creuser des similarités étonnantes entre un groupe de domaines au comportement douteux… toutefois placés sous des comptes différents. Poussant la ruse jusqu’au bout, ces malfaiteurs prennent le soin d’étudier avec la plus grande précision les modes de surveillance automatiques et humains des prestataires parking, et jouent avec leurs seuils de contrôle pour ne pas attirer l’attention. Schéma classique : 50 comptes différents manifestement administrés par la même entité et limités à X EUR par mois (X se situant juste en dessous du seuil de vérification humaine instauré en interne par le prestataire). Et pour ne rien arranger, ces groupuscules sont également très doués pour tricher sur les revenus par clic. Explications dans le troisième et dernier point.

La fraude sur le revenu par clic des noms de domaine parqués

Tricher sur le revenu par clic (EPC) reste la technique la plus difficile. Pourquoi ? Avant tout parce que le marché du PPC est un marché ultra-dynamique sur lequel ce qui est vrai aujourd’hui ne l’est souvent plus – ou tout du moins plus autant – le lendemain. Qui peut prédire la rémunération sur un clic associé au mot-clé « assurance automobile » à des instants T, T+1 et T+x ? Personne, pas même les experts. Mais il existe toutefois certaines constantes, c’est à dire des secteurs plus rémunérateurs que d’autres. Et nul besoin d’avoir fait Saint-Cyr pour deviner lesquels.

La seconde raison de la difficulté de cette méthode est directement liée au marché des noms de domaine en lui-même. Le système de « smart pricing » de Google, par exemple, ne calcule pas seulement le taux de rémunération d’un clic à partir des caractéristiques du clic en lui-même (provenance géographique, heure etc), mais également sur les caractéristiques du nom de domaine associé. Quelles caractéristiques ? A priori celles qui font la qualité d’un nom de domaine. Or la plupart des domaines de qualité étant déjà pris, toute la difficulté pour les fakers réside dans le fait de trouver des domaines libres (on ne peut pas se permettre la moindre dépense excessive) et donc de mauvaise qualité sur lesquels faire opérer un tant soit peu la magie du « smart pricing« . La plupart s’y cassent heureusement les dents et se contentent d’empiler des domaines médiocres. Exemple le plus flagrant : un compte contenant 20 domaines, tous déclinés sur le modèle RealEstateProperties-nombre.com (RealEstateProperties-123.com, RealEstateProperties-456.com, RealEstateProperties-789.com). Je m’arrêterai là pour les détails concernant la fraude sur les mots-clés/l’EPC, et rappellerai pour terminer que le simple fait d’associer un mot-clé non pertinent à un nom de domaine relève de la tricherie (exemple : fixer le mot-clé « banque en ligne » pour son domaine acrobaties.be)

Les enjeux de la fraude au clic

Autant la fraude sur les plateformes d’achat-vente de noms de domaine garde des effets relativement limités car ne dépassant pas ou rarement le cadre du marché des noms de domaine, autant la fraude sur le parking a des conséquences beaucoup plus dévastatrices qu’il n’y paraît en ce sens qu’elle se répercute sur l’ensemble de la chaîne de valeur du marché de la publicité en ligne.

Pour l’annonceur tout d’abord, c’est un fléau qui se paye comptant. Si les budgets sont absorbés par la fraude, où est l’intérêt du système ? Signeriez-vous un contrat de réclame publicitaire télévisée à plusieurs dizaines de milliers d’euros si vous saviez qu’à l’heure de votre spot, tous les téléspectateurs étaient masqués ? Car ce qui intéresse les annonceurs, ce sont les taux de conversion. Les fraudeurs visitent, cliquent ou font cliquer sur les liens… mais n’achètent rien. Or là où les les coûts de la fraude au clic annoncés deviennent de plus en plus préoccupants, la méfiance des annonceurs monte. Conséquences : une réticence à annoncer et une pression sur les intermédiaires pour que l’avancée de la fraude soit enrayée. Pour pimenter la chose, les annonceurs vont souvent jusqu’à souligner que les régies profitent elles-mêmes du système, voire le favorisent.

Pour les fournisseurs de liens publicitaires comme Google ou Yahoo, la fraude au clic représente un danger majeur en ce sens qu’elle impacte négativement, comme nous l’avons vu plus haut, la confiance des annonceurs dans leurs services respectifs et bien au delà, dans le système entier. Ces acteurs jouent donc sur trois tableaux majeurs pour faire front : la répression, la prévention et la communication. Un exemple de répression : le bannissement progressif et radical des adeptes du MFA. Les exemples de prévention relèvent de l’amélioration des processus internes. Mais c’est surtout sur la communication que les plus gros efforts se concentrent, avec des mesures plus ou moins « poudre au yeux » visant à monter qu’on cherche à améliorer la (fameuse) transparence du marché.

Pour les prestataires parking comme Sedo ou DomainSponsor, la fraude au clic représente un double problème : structurel tout d’abord avec des effets néfastes sur les revenus parking et les coûts de surveillance. Et sous-jacent ensuite avec une détérioration à long terme de la relation avec le partenaire fournisseur de liens publicitaires et les clients. Sans compter l’amalgame qui est fait au niveau du grand public et des annonceurs entre le parking, le cybersquatting et la fraude au clic en elle-même qui n’est pas née du parking.

Pour les visiteurs, les problématiques de fraude au clic qui leur viennent à l’oreille ne font que renforcer un peu plus l’idée que la publicité sur internet en général n’est qu’une coquille vide se résumant à des pages et des pages de pollution du Net.

Les domaineurs, enfin, se retrouvent à long terme pénalisés par les agissements frauduleux de leurs semblables puisque la fraude vient directement plomber la relation prestataire parking/fournisseur de liens publicitaire et donc les taux de rémunération. Sans compter l’impact sur l’image de l’activité de domaineur, qui se retrouve entachée par ces moutons noirs.

La conclusion est donc en un sens identique à celle de mon premier billet sur les phénomènes de fraude touchant les places de marché d’achat-vente de domaines : il est indispensable pour les intermédiaires de se focaliser sur le triptyque responsabilisation/prévention/répression. Les enjeux sont tellement vastes qu’ils sont loin de se limiter au marché-niche qu’est celui des noms de domaine. Il est question de la pérennité du modèle entier de la publicité en ligne. Partant de là, tous les acteurs de la chaîne de valeur doivent se responsabiliser et voir plus loin que le bout de leur nez. Ne pas penser qu' »un clic de rien du tout ne fera de mal à personne« . Car les petits ruisseaux font les grandes rivières.