Comment la fraude publicitaire menace l’avenir du programmatique

Le terme de fraude publicitaire renvoie à une large gamme de techniques visant à grignoter sur les budgets publicitaires par le biais d’actions générées par des bots. Tous les canaux d’acquisition de trafic, sans exception, sont exposés à ce type de fraude (même Google estime à 5 % le taux de clics frauduleux, qui toutefois ne sont pas facturés aux annonceurs). Cependant, le programmatique est par nature plus exposé, dans la mesure où il est plus décentralisé qu’ AdWords ou Facebook Ads, et donc plus difficile à contrôler. Et maintenant que les achats programmatiques dépassent les achats en direct pour le display selon eMarketer, la fraude publicitaire est responsable d’une part non négligeable des impressions. Il est toutefois difficile d’en donner une estimation précise, même pour des experts en détection de la fraude comme White Ops, qui font d’ailleurs face aux réactions violentes des éditeurs et des acteurs sell-side à chaque fois qu’ils publient un nouveau rapport.

La fraude publicitaire ne se réduit pas aux expérimentations personnelles d’ados geeks (même si l’histoire du piratage informatique prouve qu’on aurait tort de les sous-estimer) : c’est en réalité une activité cybercriminelle extrêmement bien organisée. Cette pratique met en jeu d’immenses réseaux de serveurs dans le cloud ou des milliers d’ordinateurs personnels infectés de malwares. Une fois infectés, ces multitudes d’ordinateurs qu’on appelle botnets ouvrent de fausses sessions de navigation en utilisant de faux cookies sur de vrais navigateurs pour garantir un CPM plus élevé. En effet, la marque X paiera volontiers un CPM plus élevé pour un cookie qui représente un visiteur déjà venu sur son site (returning visitor) que pour un utilisateur générique. Les botnets sont suffisamment sophistiqués pour imiter le comportement d’un utilisateur, notamment les mouvements de souris et le scroll sur une page web, et parviennent ainsi à tromper la plupart des acteurs spécialisés en mesure de la visibilité publicitaire (ad-viewability).

Alors pourquoi ne pas tout simplement exclure les domaines ne figurant pas sur une liste blanche minutieusement élaborée ? On pourrait ainsi lutter contre les botnets les plus élémentaires, qui se concentrent exclusivement sur les campagnes menées en run of network (RON) ciblant des ad exchanges de moindre qualité. Cependant, les botnets modernes nuisent également aux campagnes premium et aux achats en direct avec des éditeurs de premier plan.

Pour comprendre le fonctionnement de ce phénomène, prenons l’exemple suivant :
La marque X souhaite diffuser une campagne garantie sur le réseau d’un site d’informations premium. Il est probable que l’éditeur lui vende non seulement un affichage garanti sur les espaces publicitaires de son propre domaine, mais également un « extended reach », ou extension d’audience, qui permet de cibler à coût réduit l’audience de l’éditeur en dehors de son propre site, sur l’inventaire disponible en programmatique. Ce type de campagne premium garantie, qui peut potentiellement générer de très bons résultats, peut pourtant être affectée par la fraude publicitaire de deux façons différentes.

• Premièrement, si l’extension d’audience garantit l’affichage de la campagne auprès d’une certaine audience (ou plutôt d’un ensemble de cookies), c’est l’éditeur qui est en charge de la sélection de l’inventaire, à moins que la marque X n’exige de la transparence et l’établissement d’une liste blanche stricte. L’éditeur agit alors en tant que trading desk et s’occupe de l’achat d’inventaire pour des campagnes diffusées en RON, ce qui permet aux botnets de se faire passer facilement pour les visiteurs du site de l’éditeur (via des cookies) afin d’obtenir des CPM convenables sur des sites frauduleux.
• Deuxièmement, l’éditeur doit s’assurer qu’il est en mesure d’honorer un achat d’espace garanti sur son propre inventaire en disposant d’un trafic suffisant pendant une journée ou une semaine en particulier. Or, chacun sait que, pour résoudre ce problème potentiel, une solution rapide et malhonnête consiste à mandater des réseaux tiers qui sont payés au clic pour générer un trafic additionnel si nécessaire. Le problème est que ce type de dispositifs visant à gonfler le trafic est difficile à contrôler et que les réseaux payés au clic s’associent souvent à des sites frauduleux pour générer un trafic « fantôme ». Un annonceur qui procède à une campagne premium sur un inventaire premium garanti peut alors accumuler une multitude d’impressions provenant de bots, et ce même si le site de l’éditeur en question n’est pas frauduleux.

Là encore, on ignore quelles sont les sommes d’argent en jeu. White Ops estime que l’opération Methbot génère à elle seule 3 à 5 millions de dollars par jour, mais des éditeurs techno comme AppNexus répondent que le montant pourrait être 100 fois moins élevé. Malgré ces estimations très vagues, les annonceurs sont désormais conscients que le programmatique, qu’il s’agisse d’achat direct ou en RTB, est un environnement potentiellement risqué et opaque pour l’investissement d’un budget publicitaire. Pendant ce temps, Facebook, le géant de la Silicon Valley, affirme avoir cessé d’investir dans un DSP propriétaire à cause de la fraude publicitaire et fait désormais la promotion de campagnes garanties sans fraude sur les applications Facebook/Instagram auprès des annonceurs, mettant ainsi en danger tout l’écosystème du programmatique et soulignant la nécessité pour les réseaux d’éditeurs d’assurer aux acheteurs une transparence totale. De toute évidence, le chemin à parcourir est encore long, mais il s’agit là d’une prochaine étape nécessaire.

Traduit de l’anglais par Marion Beaujard