Analyse et perturbation d`un écosystème de fraude au clic
UNIVERSITÉ DE MONTRÉAL
ANALYSE ET PERTURBATION D’UN ÉCOSYSTÈME DE FRAUDE AU CLIC
MATTHIEU FAOU
DÉPARTEMENT DE GÉNIE INFORMATIQUE ET GÉNIE LOGICIEL
ÉCOLE POLYTECHNIQUE DE MONTRÉAL
MÉMOIRE PRÉSENTÉ EN VUE DE L’OBTENTION
DU DIPLÔME DE MAÎTRISE ÈS SCIENCES APPLIQUÉES
(GÉNIE INFORMATIQUE)
AOÛT 2016
c
Matthieu Faou, 2016.
UNIVERSITÉ DE MONTRÉAL
ÉCOLE POLYTECHNIQUE DE MONTRÉAL
Ce mémoire intitulé :
ANALYSE ET PERTURBATION D’UN ÉCOSYSTÈME DE FRAUDE AU CLIC
présenté par : FAOU Matthieu
en vue de l’obtention du diplôme de : Maîtrise ès sciences appliquées
a été dûment accepté par le jury d’examen constitué de :
M. MERLO Ettore, Ph. D., président
M. FERNANDEZ José M., Ph. D., membre et directeur de recherche
M. LEMAY Antoine, Ph. D., membre et codirecteur de recherche
M. CALVET Joan, Ph. D., membre et codirecteur de recherche
M. PAL Christopher J., Ph. D., membre
iii
REMERCIEMENTS
Je voudrais tout d’abord remercier mon directeur de recherche, José Fernandez, ainsi que
mes co-directeurs, Antoine Lemay et Joan Calvet, pour m’avoir donné l’opportunité de
travailler sur un sujet passionnant et dans d’excellentes conditions. Je remercie aussi David
Décary-Hétu et Benoit Dupont, professeurs au département de criminologie à l’université de
Montréal, pour leur collaboration lors de ce projet.
Mes remerciements vont aussi l’équipe d’ESET Montréal pour leur support tant technique
que financier durant cette recherche.
Je voudrais aussi remercier tous mes collègues du laboratoire de recherche SecSi pour leur
bonne humeur et leurs apports à ma recherche. Je tiens particulièrement à remercier François
Labrèche qui m’a aidé tout au long de ma maîtrise.
Enfin, je tiens à remercier mes parents pour leur soutien tout au long de mes études.
iv
RÉSUMÉ
La publicité en ligne est devenue une ressource économique importante et indispensable pour
de nombreux services en ligne. Cependant, on note que ce marché est particulièrement touché
par la fraude et notamment la fraude au clic. Ainsi, en 2015, il est estimé que, dans le monde,
les annonceurs allaient perdre plus de sept milliards de dollars américains en raison de la
fraude publicitaire.
Les méthodes de luttes actuelles contre la fraude publicitaire sont concentrées sur la détection
de logiciels malveillant et le démantèlement des réseaux de machines zombies qui y sont
associés. Bien qu’indispensables pour limiter le nombre d’infections, ces démantèlements ne
diminuent pas l’attrait pour cette fraude. Il est donc indispensable de s’attaquer en plus à
l’incitatif économique. Pour cela, nous avons d’une part essayé de mieux comprendre l’éco-
système de la fraude au clic et d’autre part évalué des possibilités de perturbations de cet
écosystème afin de diminuer l’attractivité de la fraude.
Dans un premier temps, nous avons collecté des données réseau générées par un logiciel
malveillant de fraude au clic, Boaxxe. Ces données sont des chaînes de redirection HTTP
qui montrent les liens entre les différents acheteurs et revendeurs d’une publicité, c’est-à-dire
la chaîne de valeur. Celles-ci commencent au moteur de recherche d’entrée, opéré par des
fraudeurs, passe à travers plusieurs régies publicitaires et termine sur le site d’un annonceur,
celui ayant acheté le trafic.
Dans un second temps, nous avons agrégé les données collectées afin de constituer un graphe
montrant les relations entre les différents noms de domaine et adresses IP. Ce graphe est
ensuite consolidé, grâce à des données de source ouverte, en regroupant les nœuds réseaux
appartenant au même acteur. Le graphe ainsi obtenu constitue une représentation de l’éco-
système de la fraude au clic de Boaxxe.
Dans un troisième temps, nous avons évalué différentes stratégies de perturbation de l’éco-
système. L’objectif de la perturbation est d’empêcher la monétisation de trafic généré par
Boaxxe, c’est-à-dire d’empêcher le transit du trafic du moteur de recherche vers le site de
l’annonceur. Il s’avère que la stratégie la plus adaptée à notre problème est celle utilisant la
méthode du Keyplayer. Nous avons ainsi montré qu’il était possible de protéger un nombre
important d’annonceurs en supprimant un faible nombre d’intermédiaires.
Enfin, nous discutons des possibilités de mise en pratique de l’opération de perturbation.
Nous insistons sur le fait qu’il est important de sensibiliser les annonceurs à la fraude afin
v
qu’ils puissent prendre des mesures contraignantes envers les régies publicitaires les moins
scrupuleuses.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
1
/
87
100%
