7 Min. Read

En quoi un SDK à source fermée est crucial pour lutter contre la fraude ?

Michel Hotoveli Michel Hotoveli Aug 27, 2019

Dans une de ses émissions humoristiques, Chris Rock a déclaré : « il n’y a pas d’argent pour traiter les maladies, mais il y en a toujours pour fabriquer les médicaments  ». Il parlait des grandes sociétés pharmaceutiques, qui ont apparemment plus d’intérêt à fournir des médicaments pour traiter les symptômes qu’à trouver de véritables traitements pour les maladies. Chris Rock a ajouté avec cynisme que les sociétés pharmaceutiques préfèrent garder leurs clients plutôt que de les soigner.

Même si je ne sais pas exactement comment fonctionne l’économie d’une société pharmaceutique, cette notion a bien un rapport avec l’argent et n’est pas réservée aux laboratoires pharmaceutiques. 

En observant l’économie actuelle qui pèse plusieurs milliards de dollars, on voit que les sociétés cotées en bourse sont tenues de dégager des bénéfices et de croître, et nombre d’entre elles proposent des solutions et des services liés aux « problèmes » et « maladies » de la vie moderne.

En oubliant les secteurs spécifiques, on ne peut s’empêcher d’appliquer cette logique au secteur de la publicité en ligne et à la « maladie » qui la touche : la fraude. Ces dernières années, nous avons observé une croissance des échelles de la fraude ainsi qu’une plus grande facilité à mettre en place les escroqueries, mais également une prise de conscience de la fraude et de ses conséquences sur les annonceurs et les éditeurs. Revenons au b.a-ba de l’économie : quand la demande augmente, l’offre augmente aussi. Ainsi, avec une meilleure connaissance de la fraude, de nouvelles entreprises sont apparues et ont commencé à proposer des solutions contre la fraude tant aux premières qu’aux tierces parties.

En tant qu’entités financières, ces entreprises ont des tarifs, des messages, une perception et un type de solution différents, mais la même question vaut pour toutes : feraient-elles vraiment tout ce qui est en leur pouvoir pour faire disparaitre leur principale source de revenus ? Y a-t-il une demande pour des solutions de prévention contre la fraude dans un monde sans fraude ?

Si l’on cherche à répondre à la question ci-dessus en considérant la fraude comme un jeu du chat et de la souris, il faut se demander quels sont les portes de sortie que chacun des protagonistes laisse à l’autre. Elles sont certes réduites, mais elles existent. Cela pourrait consister à proposer des services payants aux parties de chaque côté (annonceurs et partenaires), ce qui nuirait potentiellement à la nature impartiale qui est indispensable pour éliminer les sources frauduleuses.

Par exemple : les fournisseurs de solutions anti-fraude pourraient dépendre d’activités générées par une partie ou une entité donnée (de part et d’autre), ce qui viendrait affecter leur logique et leurs intentions vis à vis d’une décision relative à une fraude susceptible d’affecter leurs activités commerciales mutuelles.

Dans ce contexte, il est également important d’examiner où se situe votre fournisseur de solutions anti-fraude dans la chaîne de diffusion des publicités, même s’il est impartial. 

Un autre point important est le recours à une solution de SDK open source à la base d’une suite de prévention contre la fraude.

 

Pourquoi l’open source ne peut pas faire partie de votre solution anti-fraude

Certains fournisseurs de solutions anti-fraude pourraient mettre en avant le fait qu’ils utilisent des technologies open source dans leur dispositif de prévention de la fraude. En effet, de nombreux outils en ligne utilisent du code open source pour fournir de meilleures solutions, car cela correspond à la vision et au fonctionnement de leur solution. Wikipedia, Google et Adobe ne sont que quelques-uns des grands noms qui utilisent l’open source pour tirer parti des nombreux avantages offerts par le travail de la communauté visant à améliorer et développer des produits.  

Les solutions open source sont certes formidables, mais au delà de leurs nombreux avantages, une faille majeure existe en ce qui concerne la sécurité et la protection contre la fraude. 

Bien qu’une solution open source rende les choses transparentes et accessibles aux révisions et améliorations, elle facilite également les détournements et l’ingénierie inverse. Ceci équivaut à investir dans un système de sécurité avancé pour votre maison, tout en laissant la porte d’entrée ouverte. 

Plus sensibles aux atteintes à la sécurité de différents genres, les solutions d’attribution reposant sur des SDK open source ont donné naissance à un nouveau type de fraude : le spoofing de SDK.

Le spoofing de SDK fait référence aux installations légitimes qui sont générées par des fraudeurs sans la moindre installation réelle. Cela se traduit par des budgets publicitaires siphonnés ainsi que des données de ciblage trompeuses, ce qui impacte à long terme l’activité future et la distribution budgétaire.

Un fraudeur qui cherche à usurper l’activité d’un SDK dans le but de détourner l’attribution de fonds de publicité n’a plus qu’à jeter un œil au code, à inverser la machinerie et l’autorisation d’accès lui est accordée, aussi simplement que ça. Le fraudeur peut maintenant comprendre la logique de messagerie HTTP beaucoup plus rapidement, voir comment chaque valeur de champ est collectée puis utiliser la requête HTTP à son avantage.

 

Subscribe to AppsFlyer content

The latest mobile marketing tips & trends delivered to your inbox.

 

La plupart des discussions sur le spoofing de SDK sont centrées sur les attaques de réseau telles que les MITM (Man in the Middle) ou les attaques par replay, mais ce n’est qu’un des endroits parmi d’autres où les données du SDK peuvent être usurpées. Les données peuvent être collectées, manipulées et falsifiées avant même qu’elles ne soient envoyées sur le réseau. Il existe de nombreux outils d’analyse et d’instrumentation dynamiques qui permettent de monitorer et de manipuler toutes les données de l’application attaquée avant qu’elles ne soient envoyées au back-end (durant l’exécution de l’application).

S’ils utilisent correctement ces outils, les fraudeurs peuvent manipuler toutes les données qu’ils veulent tout en laissant intacts les mécanismes de « protection » du réseau, c’est-à-dire que les données du back-end apparaissent comme légitimes et « signées ». Il est important de noter que tout logiciel (open source ou non) peut être détourné via l’ingénierie inverse, et les fournisseurs de logiciels qui prétendent le contraire ne sont pas conscients des risques auxquels ils sont confrontés, ou naïfs, ou les deux.

La question est donc : que font ces entreprises pour protéger leurs logiciels contre les attaques ?

 

Quel est le lien avec l’open source ?

  • L’open source rend le processus de piratage plus rapide et moins cher : les fraudeurs savent exactement comment les données sont collectées et combinées à l’intérieur du SDK, ce qui permet de trouver plus simplement l’endroit où les données peuvent être falsifiées, et où créer une « fraude de qualité ».
  • Tout mécanisme de protection contre ce type de fraude est clairement apparent et peut être contourné. En gardant la logique du SDK cachée, les fraudeurs sont obligés de passer beaucoup de temps et d’énergie à mettre en place l’inversion de la machine.
  • Dans les solutions open source, les mécanismes cryptographiques implémentés dans le code sont apparents et peuvent être étudiés et facilement inversés.
  • Avec l’open source, la responsabilité de la sécurité du logiciel incombe en grande partie au client. Si le client ne prend pas toutes les mesures nécessaires pour sécuriser son code source, il sera de fait plus simple à comprendre, à inverser et à manipuler.

La protection contre le MITM, si correctement mise en œuvre, peut effectivement empêcher le vol de données à caractère personnel sur les réseaux distants : les pirates tentent de voler les informations privées transmises sur le réseau depuis un emplacement distant.

Mais ce cas-là est différent. Il est crucial de sécuriser et d’authentifier le SDK sur le serveur, car les fraudeurs cherchent à générer un trafic qui semble légitime. Dans ce cas, ils ont simplement besoin d’un accès à l’application pour laquelle ils souhaitent générer du trafic, et des bons outils. Le code de l’application peut ensuite être modifié, même au niveau du système d’exploitation, afin de générer un faux trafic qui répondra aux besoins du fraudeur.

La protection MITM n’a plus aucun sens.

Chacune de ces failles peut être résolue une fois repérée, mais le propriétaire de l’application devra vite mettre à jour le SDK, quelle que soit la mise à jour d’origine ou le calendrier des publications. Cela signifie que les propriétaires d’apps courent le risque d’entrer dans un cercle vicieux en terme de coût, de temps et de manipulation, et pendant ce temps, leur SDK est toujours en accès libre pour la sortie du prochain programme… et le cercle continue.

 

Points clés à retenir

La fraude n’a rien d’une blague.

Elle siphonne les budgets publicitaires et alimente les sources illégitimes qui feront tout pour trouver la prochaine porte d’entrée ou la faille de sécurité. En tant que marketeurs responsables, nous devons adopter une approche plus prudente et évaluer les avantages des solutions de protection contre la fraude que nous utilisons. Signer avec un fournisseur de solutions et se contenter de croire que nous sommes couverts ne suffit pas.

En terme de fraude, aucune solution n’est parfaite, et le travail visant à effacer les fraudeurs du paysage est long et difficile. Plus il y a d’entreprises qui prennent part au combat, mieux c’est, mais nous devons aussi prendre le temps de nous demander si nous sommes sur la bonne voie et sommes correctement armés.  

Chez AppsFlyer, nous croyons qu’il est essentiel de disposer d’une solution de prévention extrêmement efficace, allant du piratage d’attribution aux faux utilisateurs générés par des robots.

AppsFlyer est déterminé à lutter contre la fraude liée aux publicités sur mobile, son SDK se base sur les meilleurs outils du marché pour protéger son code de l’ingénierie inverse. Protect360, la solution de protection contre la fraude de AppsFlyer, utilise un brouillage et un cryptage sophistiqué sur ses sources de code, et constitue la suite la plus évoluée en matière de protection contre la fraude publicitaire sur mobile.

 

 

Commandez votre démo Protect360 sans tarder