Le magazine indien Digit révèle dans son édition de Novembre 2007 que Google AdSense contient des failles de sécurité. Manish Arora, un conseil en sécurité informatique indien, a trouvé un moyen de tromper AdSense et de gagner rapidement des milliers de dollars. Ce qu'il affirme, sur son blog notamment, a été confirmé par l'équipe de Digit qui a rapporté la faille à Google : ils n'ont pas été pris au sérieux. Ceci met en danger les intérêts des utilisateurs d'AdWords.

Comment est-il parvenu à cet exploit ? Il a tout d'abord consulté de nombreux articles sur le mécanisme du "Pay Per Click", y compris le rapport du Dr. Tuzhilin (professeur en systèmes d'information à l'école de commerce Stern de New-York), qui a expertisé les efforts de Google en matière de lutte contre la fraude au clic.

Après cela, il a analysé le code JavaScript utilisé par Google pour afficher des publicités, et y a trouvé un moyen de simuler le comportement humain concernant la génération de clics et les impressions de pages, avec un ratio acceptable d'emplacements géographiques (adresses IP) et a été capable de créditer de plusieurs milliers de dollars le compte AdSense d'un journaliste de Digit. Sans le moindre clic réalisé par un être humain.

En observant le fonctionnement de leur système il a été capable de montrer comment les publicités sont délivrées depuis leurs serveurs et comment il pouvait simuler ce processus depuis son propre serveur avec un script qu'il a écrit.

Capture d'écran réalisée par Manish Arora.

Manish Arora a écrit a Google "Je serais heureux de vous fournir le mécanisme complet, cela prendra une heure, pour produire des milliers de dollars par mois avec Adsense. J'aimerais expliquer ce modèle à l'un de vos représentants". Un responsable de la sécurité chez Google a répondu "Nous enquêtons sur votre demande. A cette heure, la seule information que nous pouvons vérifier c'est que votre compte a été automatiquement suspendu par notre système en réponse a votre tentative d'augmentation artificielle des clics. Ce comportement est exactement celui prévu par le système. En nous fournissant le code et tous les détails techniques de la méthode que vous mentionnez nous ferons plus de recherches.

Pourquoi a-t-il fait cela ? Il dit qu'il a fait tout cela pour rapporter la faille a Google et n'a pas retiré d'argent de son compte car ses intentions ne sont pas mauvaises. Des qu'il a contacté Google, le compte a été banni. Automatiquement ? Cela reste à prouver.

Manish Arora a révélé comment il a fait sur son blog, vous pouvez le lire ici. Il n'a même pas eu besoin d'entrer la véritable adresse de son site lors de son inscription, ni même à afficher l'une de ses publicités où que ce soit sur le web. Maintenant les rumeurs se propagent alors que Google ne communique pas sur le sujet. Etes-vous un utilisateur Adsense ou utilisez-vous Adwords pour vos services ou produits ? Qu'en pensez vous ? Laissez nous vos commentaires.

[D'après Digit, retranscription ici, merci Sankar Anand]