Les joies des gestionnaires de réputation

Illustration par DALL·E

  1. Contexte
  2. Les avantages des régies
  3. Leurs inconvénients
  4. Les gestionnaires de réputation
  5. Mon site, une menace pour Internet
    1. 29 février 2024
    2. 4 mars
    3. 6 mars
    4. 8 mars
    5. 9 mars
    6. 10 mars
    7. 11 mars
  6. Analyse

Contexte

Je l’ai dit plus tôt dans l’année, je souhaiterai monétiser un peu mon blog, ne serait que pour payer une fraction de ce qu’il me coûte. Parmi les options à ma disposition, la plus classique : les liens affiliés. Un lien affilié est un URL qui contient un tag, un identifiant, qui permet au site marchand ciblé de savoir qui lui envoie un potentiel futur client. Quand vous cliquez sur un de ces liens depuis mon blog, le site marchand sait que vous venez de chez moi, et c’est comme ça que je peux percevoir une commission sur une vente éventuelle.

J’aime bien ce principe parce qu’il offre des avantages qui me sont chers :

  • Respect de mes lecteurs : pas de cookie, pas d’historique de navigation. Rien, à part cet identifiant qui m’est propre et qui ne concerne pas mes lecteurs, n’est transmis au site marchand ou à une régie. Et, je ne sais rien de ce que vous avez fait ensuite sur le site marchand.
  • Simplicité : un tag à ajouter au lien “anonyme” dans les cas les plus simples. Autrement, quelques appels API à la régie, et voilà.
  • Compatible avec mes choix techniques : pas de javascript requis, pas de cookie à déposer, c’est totalement transparent.

Les avantages des régies

Les régies sont des intermédiaires entre les sites marchands (les annonceurs) et les éditeurs (moi). Passer par une régie offre un certain nombre d’avantages :

  • L’accès à un nombre significatif d’annonceurs, ce qui permet d’en découvrir de nouveaux auxquels je n’aurai pas forcément pensé
  • La gestion unifiée des liens d’affiliation (un même code source de mon côté pour générer des liens pour de nombreux partenaires)
  • Les campagnes promotionnelles qui peuvent me donner l’occasion de publier des articles à forte valeur ajoutée

Ce dernier point n’est pas spécifique aux régies : Omlet propose une affiliation directe, ça ne m’a pas empêché de publier un article sur leurs produits que j’utilise quotidiennement. Mais, je n’ai pas publié cet article dans le cadre d’une vraie campagne publicitaire organisée par l’entreprise. C’est là que les régies se révèlent intéressantes puisque je suis régulièrement notifié de la disponibilité d’une campagne pour l’un de mes annonceurs.

Leurs inconvénients

Le principal inconvénient des régies, c’est qu’elles font appel à des gestionnaires de réputation. Et, là, on entre en pleine dystopie, mêlant l’incompétence, la mauvaise foi, la mauvaise volonté, un impact sur la réputation publique et sur le business en général. Évidemment, à mon échelle, ça représente une goutte d’eau dans l’océan, mais que je vous conte mon histoire, et vous jugerez de la portée que cela peut avoir pour de “réelles” entreprises.

Les gestionnaires de réputation

Compte tenu de la quantité de trafic réseau généré par des bots, des sites créés juste pour se faire de l’argent, des sites pas forcément très légaux, des sites qui diffusent des malwares, les gestionnaires de réputation sont un mal nécessaire : ils analysent les sites, et donnent leur feu vert (ou pas), notamment aux régies, pour savoir si un éditeur qui s’est inscrit sur leur plateforme est clean ou au contraire, s’il représente une menace pour Internet.

Le plus souvent, les régies font appel à un agrégateur (qui regroupe les résultats de plusieurs gestionnaires de réputation). Dès que l’un des gestionnaires émet une alerte concernant un site donné, l’agrégateur le transmet à la régie, et la régie prend une décision.

Mon site, une menace pour Internet

29 février 2024

Dans l’optique d’obtenir une affiliation avec LEGO (afin de monétiser les pages présentant ma collection), je me suis inscrit à la régie Rakuten. Tout s’est bien passé, j’ai eu un contact avec un véritable humain très sympathique chez Rakuten et chez LEGO, bref, tout va bien.

4 mars

Je reçois un email de Rakuten qui a fait l’effet d’un coup de tonnerre, intitulé : ”Affiliate Notification - Account Termination”.

Il n’y a eu aucun délais de notification, aucun temps qui m’aurait permis de trouver une solution à un problème dont j’ignorais l’existence et la raison. Dès lors, impossible de faire quoique ce soit sur la plateforme à part les contacter. Mes liens d’affiliation sont inactifs. Heureusement que je peux facilement (dés)activer ces liens de mon côté pour rétablir les liens d’origine.

Leur email mentionne que je pourrais avoir enfreint leurs règles, détaillées dans ce PDF, mais je n’y vois absolument rien qui puisse m’être reproché.

Je contacte Rakuten pour leur demander un peu plus de détails parce que, sincèrement, je ne comprends pas.

6 mars

Rakuten me répond qu’ils ont “terminé” mon compte au motif qu’ils ont reçu une notification de site malveillant concernant mon blog. Ils ont l’amabilité de me fournir un rapport, émanant de Quttera, un gestionnaire de réputation dont j’ignorais l’existence.

Mon blog qui représente un risque critique pour Internet 🤣

En soi, mon blog, un site statique, pour ainsi dire “minimaliste”, qui représente une “menace critique pour Internet”, c’est assez drôle, surtout considérant tout ce que je publie sur la question des menaces pour Internet… Mais, une fois passé l’ironie, je m’intéresse de plus près au contenu du rapport : après tout, il est censé y avoir au moins un fichier qui pose un problème.

Ah oui, quand même...

Ils me trouvent un “cheval de Troie” javascript dans… ma feuille de style.

Le truc le plus complexe dans ma feuille de style, ce sont les icônes SVG (qui ne sont même pas encodées en base64).

Exemple, l’icône que j’utilise pour les liens externes :

.icon--mi--external-link {
    width: .5em;
    height: .5em;
    background-color: var(--base-400);
    --svg: url("data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' viewBox='0 0 24 24' width='24' height='24'%3E%3Cpath fill='black' d='M14 5a1 1 0 1 1 0-2h6a1 1 0 0 1 1 1v6a1 1 0 1 1-2 0V6.414l-9.293 9.293a1 1 0 0 1-1.414-1.414L17.586 5H14zM3 7a2 2 0 0 1 2-2h5a1 1 0 1 1 0 2H5v12h12v-5a1 1 0 1 1 2 0v5a2 2 0 0 1-2 2H5a2 2 0 0 1-2-2V7z'/%3E%3C/svg%3E");
}

Il s’agit évidemment d’un faux positif. Ce sont des choses qui arrivent, mais je suis quand même un peu énervé. Je contacte Rakuten dans la foulée pour leur expliquer la situation, que c’est juste un faux positif, en essayant de leur faire comprendre à quel point c’est ridicule.

Suite à cet envoi sur le coup de la frustration, je comprends que ce n’est pas eux qui vont résoudre le problème : tant que Quttera ne supprimera pas son avertissement, je ne pourrais pas faire de business avec Rakuten. C’est logique : ils ont justement des gestionnaires de réputation pour ne pas réactiver des comptes potentiellement réellement malveillants qui viennent avec des yeux doux assurer qu’ils sont clean.

Mon prochain email va donc à Quttera, à qui j’explique calmement — cette fois — que leur algorithme a fait de la merde, et que ça nuit à mon business et à ma réputation sur Internet.

Ils me répondent trois heures plus tard, en s’excusant du tort occasionné et en m’assurant que le problème est corrigé, et que la page du rapport sera mise à jour dans les heures qui viennent.

8 mars

Pas de changement. J’ai attendu 24 heures avant de renvoyer un email à Quttera, qui me dit que je vois un rapport obsolète, et que le vrai rapport se trouve à l’adresse suivante : https://quttera.com/detailed_report/richard-dern.fr.

Ils ajoutent même que VirusTotal (que je connaissais, contrairement à Quttera) montre aussi que mon site est clean : https://www.virustotal.com/gui/url/740a3d92e5ff768d4bedca052aedc8f1447d0b6d751480265b17a9ec8880e109.

Le problème, c’est que Rakuten s’en bat les steaks de https://quttera.com/detailed_report/richard-dern.fr : c’est le rapport de https://quttera.com/detailed_report/www.richard-dern.fr qui a suscité la fermeture de mon compte (notez le www). Et, à cette date, ce rapport affiche toujours que mon site représente une “menace critique”.

À nouveau, trois heures plus tard, ils me renvoient un email pour me dire que le problème a été corrigé, et que le rapport sera mis à jour dans les heures qui viennent.

9 mars

J’ai encore attendu 24 heures avant de leur envoyer un nouvel email dans lequel je ne prends plus de pincettes.

Again, 24hrs later you (falsely) claimed (twice) to have fixed the issue, and 3 days after my initial message, I am still out of business because of you, and even worse, you still propagate the false idea that my website contains malware and you still ruin my online reputation with false assertions.

This situation cannot be tolerated anymore. If, by Monday afternoon, I still see that the report at https://quttera.com/detailed_report/www.richard-dern.fr doesn’t reflect that my website is 100% clean (which it is), I will do whatever I need to get a compensation for my business and reputation loss.

Je vous le traduis :

Une fois encore, 24 heures après que vous avez affirmé (faussement et par deux fois) avoir corrigé le problème, et 3 jours après mon message initial, je ne peux toujours pas faire affaire à cause de vous, et encore pire, vous propagez toujours l’idée fausse que mon site contient un logiciel malveillant et vous continuez de nuire à ma réputation avec de fausses allégations.

Cette situation ne saurait plus être tolérée. Si, d’ici lundi après-midi, je vois toujours que le rapport situé à https://quttera.com/detailed_report/www.richard-dern.fr ne montre pas que mon site est 100% clean (ce qu’il est), je ferai ce que j’ai à faire pour obtenir une compensation pour ma perte de profit et de réputation.

10 mars

Le rapport est corrigé dans la nuit. Quttera me présente ses excuses.

11 mars

Rakuten me réactive mon compte et les liens affiliés.

Je suis resté tout le temps en contact avec eux pendant mes échanges avec Quttera pour les informer de la situation. Une façon pour moi de prouver ma bonne foi et de me protéger en cas de problème.

Analyse

Bon déjà, ce qu’il y a de bien avec les Américains, c’est qu’il suffit de menacer un peu pour obtenir un résultat quasi immédiat.

Ensuite, je suis un grain de sable sur Internet. En revanche, j’imagine que ça peut arriver à de plus gros poissons qui ont de véritables moyens juridiques et financiers pour les supporter. Des gens qui se font peut-être plusieurs dizaines de milliers d’euros par mois avec leur site, qui se feraient couper les vivres de manière totalement erronée, juste parce qu’un algorithme a été codé avec le cul.

Ça dénote la paranoïa qui règne actuellement sur Internet (et avec raison), mais aussi que même ceux qui font du “contrôle qualité” peuvent mal le faire. Une paranoïa dont les premières victimes sont les personnes et sites légitimes. On a évidemment besoin d’outils d’alerte, mais on a aussi besoin de temporiser : j’aurai pu recevoir une notification de Rakuten me prévenant que si, d’ici à 24 heures, Quttera me signalait toujours comme étant un site malveillant, ils fermeraient mon compte. Là, c’était sans sommation. Même si je comprends que l’idée est aussi de protéger les annonceurs, de ne pas les associer avec des éditeurs “malveillants”.

Je me suis un peu renseigné sur le business de Quttera, et je dois dire que j’ai été assez désagréablement surpris. Comme tant d’autres choses dans le monde professionnel, c’est un business fondé sur la peur. C’est un cas d’école : ça fait partie des choses apprises dans les écoles de commerce. Et, c’est connu de tous : la peur fait vendre.

En l’occurrence, l’accroche de Quttera, c’est que si tu as un “logiciel malveillant sur ton site”, ils peuvent le supprimer moyennant 250$. Ce qui suggère qu’ils puissent intervenir à distance sur les sources de ton site. La seule façon qui me paraît faisable, c’est qu’ils te demandent d’injecter un javascript qui va analyser et autoriser ou refuser du code existant à s’exécuter. C’est la définition-même du malware, sauf que l’on te fait payer pour te l’injecter. Le parallèle avec l’industrie pharmaceutique américaine est saisissant.

Et, encore, je ne me serais pas autant intéressé à ce qu’ils font si j’avais trouvé, quelque part sur leur site, la possibilité de signaler un faux positif. Mais, non : s’ils déclarent un site comme étant une menace pour Internet, tu n’as, a priori, pas le choix que de payer 250$ pour qu’ils interviennent. Heureusement qu’il m’a été possible de les contacter directement par email : sans ça, mon compte chez Rakuten serait toujours bloqué, je n’aurais toujours pas de liens affiliés sur mon site, et ma réputation serait toujours entachée.

Quttera fait partie d’une myriade d’entreprises qui font de l’analyse et de la prévention de sites malveillants sur Internet. Et, il est fort peu probable que Rakuten soit leur seul client. En outre, il peut y avoir des intermédiaires autres qui font appel à Quttera, des gens que je ne connais pas, mais pour qui mon site représente une “menace critique”.

Au final, c’est ça le plus important pour moi à l’heure actuelle : j’ai probablement perdu 0 euros en deux semaines tellement je suis petit. Ma réputation, par contre, a infiniment plus de valeur pour moi, aujourd’hui, que la valeur commerciale de mon site. Et, je trouve intolérable que quelqu’un, dans mon dos, puisse “dire du mal de moi” sans que je puisse y faire quoique ce soit, sans que je puisse m’en défendre en amont. Surtout quand c’est à cause d’un outil mal foutu, et qu’il y a de la mauvaise volonté de corriger le problème.

Je conclurai en disant que le cœur du problème vient assurément de l’industrialisation. Quand tout le monde utilise Wordpress, des Google Tag Manager et autres snippets, et quelques librairies javascript connues, en gros tant qu’on “reste dans les clous”, on n’a pas trop de soucis à se faire. Mais, si l’on s’amuse à faire un peu d’artisanal, ça paraît louche assez vite en fin de compte. Il n’y a pas de javascript sur mon site, donc il doit forcément se planquer dans une feuille de style et il est forcément malveillant. Une pierre de plus à ajouter à l’édifice du nivellement par le bas ?

Plus d'informations