Le dieselgate de Honey : détection et tromperie des testeurs

 (vptdigital.com)
1 points par GN⁺ 2026-01-01 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le plugin d’achat pour navigateur Honey semble utiliser un code de manipulation « façon dieselgate » qui détecte les situations de test et modifie alors son comportement
  • Honey détermine si un utilisateur est un testeur selon quatre critères : date de création du compte, total de points accumulés, blacklist et détection des cookies des réseaux d’affiliation
  • Si l’un de ces critères s’applique, Honey effectue un « stand-down » conforme aux règles, mais s’il juge l’utilisateur ordinaire, il ignore les règles et insère de force des liens d’affiliation
  • L’analyste a confirmé à plusieurs reprises les violations sélectives de Honey à l’aide du code source, de fichiers de configuration, de captures de paquets et de logs de télémétrie
  • Ce comportement constitue une tentative de dissimulation comparable au dieselgate de Volkswagen et risque de nuire à la confiance des réseaux d’affiliation, des marchands et des plateformes (Google, Apple)

Structure des violations de règles chez Honey

  • Honey est conçu pour contourner les règles de « stand-down » fixées par les réseaux d’affiliation et les marchands

    • Le stand-down est une règle selon laquelle, lorsqu’un éditeur web existant a déjà fourni un lien d’affiliation, un autre logiciel ne doit pas afficher de lien supplémentaire
    • Honey ignore cette règle pour les utilisateurs ordinaires et ne la respecte que lorsqu’il soupçonne un testeur

  • Cette architecture est conçue, comme dans le dieselgate de Volkswagen, pour ne respecter les règles qu’en environnement de test

    • Le fait que Honey connaissait les règles tout en cherchant à les contourner est considéré comme une dissimulation intentionnelle

Mécanisme de détection des testeurs

  • Honey détermine si un utilisateur est un testeur selon les quatre critères suivants

    • Nouveau compte : si le compte a moins de 30 jours, le comportement infractionnel est interrompu
    • Total de points accumulés : en dessous de 65 000 points (environ 650 dollars), l’utilisateur est considéré comme un testeur
    • Blacklist côté serveur : en cas d’antécédents de plainte ou si une IP ou un cookie spécifique est enregistré, l’infraction est interrompue
    • Cookies des réseaux d’affiliation : si des cookies de connexion de partenaires comme CJ, Rakuten Advertising ou Awin sont présents, l’utilisateur est jugé testeur

  • Si un seul de ces critères est rempli, Honey respecte les règles ; s’ils sont tous écartés, il ignore complètement les règles et insère des liens d’affiliation

  • Une telle conception empêche les testeurs de détecter le comportement et neutralise les vérifications courtes ou fondées sur de nouveaux comptes

Éléments de preuve techniques

  • Tests pratiques : manipulation du nombre de points pour comparer la réaction de Honey

    • Avec peu de points, Honey respectait les règles ; lorsqu’il était trompé avec un total élevé, il ignorait les règles et affichait des liens
    • Après ajout de cookies de réseau d’affiliation, il a de nouveau été confirmé que Honey respectait les règles

  • Analyse des fichiers de configuration : la logique de stand-down sélectif a été confirmée dans ssd.json

    • Présence d’entrées telles que uP:65000 (seuil de points), gca (vérification des cookies) et bl (blacklist)
    • Certains marchands (Booking.com, Kayosports, etc.) ont des seuils de points plus élevés

  • Logs de télémétrie : Honey enregistre au format JSON la raison pour laquelle un stand-down a été effectué

    • Les motifs internes de décision sont explicitement indiqués, par exemple state:"uP:5001" et state:"gca"

  • Analyse du code source : la fonction JavaScript P() compare chaque valeur de critère pour décider d’un stand-down

    • Si toutes les conditions sont remplies, l’état "ssd" déclenche l’ignorance des règles
    • La présence de “test” dans l’email, ainsi que celle d’un affiliate cookie, est également vérifiée

Traitement d’exception particulier pour eBay

  • Honey applique à eBay un stand-down de 24 heures (86 400 secondes), bien plus strict que pour les autres marchands
    • Dans le code également, le domaine eBay est codé en dur pour toujours effectuer un stand-down
    • Cela semble tenir compte de la gestion stricte de l’affiliation après l’affaire de fraude à l’affiliation touchant eBay en 2008

Évolution de la configuration et calendrier

  • En 2022, la plupart des réseaux n’avaient pas de seuil de points, et seul Rakuten (LinkShare) appliquait un seuil de 501 points (environ 5 dollars)
  • En 2025, ce seuil a fortement augmenté à 65 000 points
    • On suppose que Honey a durci ses critères après la publication de la vidéo de MegaLag en 2024
  • Dans le cas de LinkShare, la règle a au contraire été assouplie : actuellement, 5 001 points suffisent pour ignorer les règles

Contexte des pratiques de dissimulation

  • Le comportement de Honey rappelle d’anciens cas de fraude à l’affiliation comme le cookie stuffing, le geofencing et le filtrage IP

    • En bloquant certaines IP ou certains cookies, il empêche les testeurs de reproduire le problème
    • En détectant les cookies des réseaux d’affiliation, il adopte un comportement différent uniquement vis-à-vis des acteurs du secteur

  • Cette dissimulation est plus grave qu’une simple violation des règles et prouve une tromperie intentionnelle

    • Cela justifie rétrospectivement l’avertissement passé d’Amazon, qui qualifiait Honey de « risque de sécurité »

Perspectives

  • Honey pourrait enfreindre les règles du Chrome Web Store de Google (transparence, interdiction de dissimuler des fonctions)
  • L’App Store d’Apple applique lui aussi des procédures d’examen strictes, ce qui ouvre la voie à d’éventuelles sanctions
  • Dans le cadre du recours collectif en cours, les pratiques de dissimulation de Honey devraient être utilisées comme élément de preuve supplémentaire
    • Les causes du comportement irrégulier de Honey étant désormais clairement établies, la structure du contentieux pourrait être simplifiée

Publication de la méthode de test

  • L’analyste a utilisé FiddlerScript pour manipuler les communications avec les serveurs de Honey et modifier arbitrairement la valeur des points
    • Cela a permis de reproduire un scénario de compte à fort total de points et de vérifier la réaction de Honey
  • Cette méthode est désormais également appliquée au système automatisé de surveillance des plugins d’achat de VPT

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.