Illisible
MFA invisible
Buzz Schroumyziguac
Résultats du concours schroumyziguac

Concours Android Party et fraude aux clics

rédigé le 17 juin 2009

Principe

Le site androidparty.be propose de participer à un tiurage ausoirt le 23 juin dans un café de Bruxelles pour gagner un Magic HTC sponsorisé par Proximus, un opérateur de téléphonie mobile belge

Le tirage au sort sera effectué entre les personnes présentes le soir même, chacune d'entre elle ayaynt un ticket de loterie. Cependant, il est possible d'obtenir plus de tickets en participants à un concours dont le principe eest très simple: amener le plus de visiteurs sur le site androiparty.be. Chaque participant reçoit une url du type http://www.androidparty.be/pseudo et doit envoyer le maximum de traffic sur cette adresse.

Le premier obtiendra 10 tickets supplémentaires, le second neuf, et aisnis de suite jusqu'au 10ième qui en aura un de plus.

La course aux clics

L'objectif est bien évidement pour l'annonceur de générer du buzz et du backlink. Utiliser lees bloggeurs comme relais de buzz est bien pratique et (presque) gratuit. Les organisateurs ont trouvé que mesurer le nombre de clics était un bon moyen de mesurer le buzz. Ce n'est pas si sûr...

Eviter la fraude

Même si la définition n'est pas clairement établie, un clic frauduleux, du point de vu de l'oganisateur, doit être un clic provenant d'un visiteur:

  1. qui n'est pas un visiteur humain
  2. qui ne voulait pas cliquer sur le lien ou visiter la page androiparty.be
  3. qui n'a pas vue la page, même si le clic a été comptabilisé

Voici les solutions proposées par l'oganisateur pour éviter la fraude:

  1. Le comptage de clics se basent sur un cookie, qui n'est généralement pas géré par les moteurs et robots. Cependant, il est toujours possible d'utiliser curl et de modifier l'entête comme on le souhaite. De même, supprimer les cookies suffit à pouvoir contourner ce contrôle. Le cookie est valable 24 heures.
  2. le cookie contient l'adress ip du client, pour éviter qu'il ne suppirme les cookies régulièrement et puisse afficher la page plusieurs fois par jours. La page androidparty.be récupère l'ip du client et la stocke dans le cookie.
  3. Pour éviter les iframe cachée, le cookie sauvegarde aussi la taille d'affichage de l'écran du côté client. C'est à dire que la dimension de la page dans laquelle est affichée androidparty.be est récupérée afin de s'assurer qu'elle n'est pas incluse dans une iframe presque invisible par le visiteur.
  4. Les referers sont stockés et analysés afin de contrôler d'où proviennent les clics, et de s'assurer que le message publicitaire que le blogger diffuse correspond aux attentes de l'annonceur.

Le code utilisé par androidparty pour créer le cookie est celui-ci:

//writeCookie
var expire = "";
expire = new Date((new Date()).getTime() + 24 * 3600000);
expire = "; expires=" + expire.toGMTString();
document.cookie = "androidparty2=" + escape("127.0.0.1;"+screen.height+";"+screen.width) + expire;

L'adresse ip de chaque visiteur est stockée sur le serveur de androidparty avec la taille de l'affichage.

Les techniques des participants

Deux principaux états d'esprit sont clairement identifiables:

  • ceux qui mettent leur nom en avant, et postent leurs url dans twitter, sur leur blog personnel connu et reconnu ...
  • ceux qui souhaintent rester plus discret, et utilisent twitter en mode privé, envoient des visiteurs à partir de pages facebook non publique ou de forums retrients

Les "anonymes" sont plus compliqués à contrôler par l'organisteur.

Comment Androidparty démasque les tricheurs?

iframe cachée

Pour l'instant, seuls quelques participants seulement ont été écartés du concours pour fraude. Et ce, malgré les techniques employées par les premiers du concours!

Le plus simple pour analyser les techniques utilisées par les concurrents est de consulter la liste des referers des urls de vote.

Pour certains, comme emich.be, c'est presque un sitemap: toutes les urls du site sont listées! Pas besoin de plus pour se rendre compte qu'une iframe a été placée dans toutes les pages. Pour camoufler un peu le tout, un cloacking sur referer avait été effectué, c'est à dire que l'iframe értait seulement affichée pour les visiteurs venant de google. Ainsi, les organisateurs du concours visitant la page directement ne pouvait pas voir l'iframe. Ce n'est clairement pas suffisant pour berner un organisteur de concours de geek. XuXXXXss-XXXden.com a utilisé un moment le même principe, à en voir les logs du server androidparty, ainsi que euroXXXX.com, esoXXXXX.me ou seriefXXXXXX.com. XXXXmpta.be a aussi lourdement attaqué le serveur avec les même conséquences dans les logs depuis 24 heures. (les noms de domaines ont été censurés, c'est plus marrant ;) )

La technique de l'iframe est très répandue, et peut être rapprochée de celle de l'image. En effet, insérer une image dont la source est l'url du concours suffit pour pinguer le server androidparty.be avec l'ip du visiteur. Exemple:

Texte dans la page < img src="http://www.androidparty.be/pseudo" width="0" height="0"/>

Les variables height et width du cookie ne sont alors pas renseignées.

Les auto-clics

Il semblerait que de nombreux participants utilisent des sites d'autoclics ou d'échange de traffic, comme topsurf.fr. C'est plutôt une technique de débutant, et ça paraît évident que l'organisateur prendra des mesures dès que ceux qui utilisent cette solution seront dans le top 10.

Les proxy plus ou moins officiels

Envoyer une requête à partir d'un service de traduction semble être une solution que certains n'ont pas hésité à essayer.

Les proxys sont une bonne soultions, mais le nombre d'adresses ip est restreint, ou alors elles sont trop proches pour être crédibles.

Comment frauder sans (trop) de problème?

Tout d'abord, nul.lu ne fonctionne pas. Arrêtez, ça sert vraiment à rien.

Voilà la solution que je préconise pour ce type de concours:

  • toujours utiliser des raccourcisseurs d'URL, voire même plusieurs à la suite si possible pour accéder à l'adresse du concours. Exemple
  • Plutôt que de cacher le referer, se débrouilller pour en envoyer un crédible, mais non vérifiable. Par exemple, le referer peut être http://www.facebook.com/profile.php?id=645XXX420&ref=profile, et le profil doit être privé. Le responsable du concours ne peut pas s'assurer que l'url est bien dans le profile, mai ça reste crédible. Les adresses du genre http://www.forum-epl.be/viewtopic.php?t=4800 sont aussi très bonnes comme valeurs de referer, surtout si un autre participant l'utilise déjà.
  • envoyer des faux visiteurs doit se faire en masse et par accoups, pour imiter un buzz. Envoyer 200 visiteurs pendant la nuit par exemple sur 30 minutes seulement est assez efficace, parce que l'équipe qui contrôle les clics peut difficilement contrôler ce qui s'est passé, surtout si les clics viennent d'une page privée. En effet, envoyer des clics en continu ne peut être fait qu'à partir de pages sur lesquelles le lien est visible et aucune iframe / img cachée est incluses (et donc il ne s'agit pas de triche). Ceux qui mélanges les 2 sur un même site ne sont pas tès malins. On voit la lien, puis dans la source une iframe...

Comment changer le referer d'uhn client?

C'est plutôt simple. On prends les techniques de base détectables (iframe cachée) et un site à fort traffic. Le site à fort traffic appelle une iframe cachée, qui appelle une autre iframe cachée vers androidparty dans une page publique. Le referer est la page publique, et pas le site à fort traffic. Après quelques dizaines de minutes, il suffit de remplacer la page publique par une page d'accueil de forum qui demande de s'enregister pour accéder à la discussion. AU pire, mettre une identification par htaccess pendant les quelques jours qui restent avant la fin du concours.

Ajoutez un cookie de votre côté aussi pour vous assurez que vous n'envoyez qu'une requête toutes les 24 heures par visiteur, ça semblera plus crédible.

Et à quoi ça sert tout ça?

A rien. Essayer de tricher à ce genre de concours est sans intérêt. D'ailleur, je ne vous incite pas du tout à le faire, j'aide juste les organistauers à y voir plus clair.

D'un autre côté, est-ce honnête de payer 500€ une campagne marketing de cette ampleur?

Bonne chance à tous pour le concours.

Faire un lien vers Concours Android Party et fraude aux clics
<- Copiez et collez ce code dans votre blog.
Merci.

Articles

About

Liens

Dernières Infos

Après les concours de positionnement, ce site s'intéresse aux concours de clics.

Ancienne page schroumyziguac

  • 02 fev 09: fin du concours et publication des résultats
  • 26 janv 09: Julie rejoint l'équipe Schroumyziguac
  • 23 janv 09: tous les articles générés en 40 min au début du concours ont été publiés automatiquement sur des blogs satellites à raison d'un article toutes les 6 heures environs, permettant de placer ce site dans le top 3 dès sa première indexation. A partir de maintenant, les nouveaux articles seront automatiquement publiés sur Schroumyziguac illisible.
  • 20 janv 09: Schroumyziguac apparaît dans GWT : 19 descriptions semblables!
  • 19 janv 09: toujours pas d'informations dans google webmasters tools pour Schroumyziguac illisible.
  • 17 janv 09: Le domaine illisible.com est enfin indexé dans google.
  • 9 janv 09: Le site Schroumyziguac illisible.com est crée sur un domaine vierge, non connu de google, comme convenu dans le rêglement du concours Schroumyziguac
  • Retrouvez les dernières nouvelles de Schroumyziguac sur le blog Schroumyziguac

illisible n'est pas lisible

Schroumyziguac, ça veut rien dire

illisible.com n'est pas géré par une agence de positionnement, ou un cabinet de référencement naturel, ou par n'importe quelle autre entreprise web4.0 qui t'apprend à mettre des balises h1 et h2 dans tes articles pour être bien positionné, comme on apprend à un employé de 50 ans à se servir de Word en utilisant les feuilles de style plutôt que d'appliquer de la mise en page à la souris.

Ce Schroumyziguac n'est pas un blog wordpress avec des plugins open source qui génèrent des sitemap automatiquement, sans que le propriétaire du blog sache ce qui signifie une ligne de code php. Ce site n'a pas de sitemap, ni de description correcte, parce que google fait ce qu'il veut et que ça m'arrange.

Ce n'est pas avec du vinaigre, même à 800€ le litre, qu'on attrape google. Bon courage à tous.

Cyndy Schroumyziguac, Schroumyziguac Corporation

© 2009 Schroumyziguac Corporation of America