Le dieselgate de Honey : détection et tromperie des testeurs

 (vptdigital.com)
1 points par GN⁺ 2026-01-01 | 1 commentaires | Partager sur WhatsApp
  • Le plugin d’achat pour navigateur Honey semble utiliser un code de manipulation « façon dieselgate » qui détecte les situations de test et modifie alors son comportement
  • Honey détermine si un utilisateur est un testeur selon quatre critères : date de création du compte, total de points accumulés, blacklist et détection des cookies des réseaux d’affiliation
  • Si l’un de ces critères s’applique, Honey effectue un « stand-down » conforme aux règles, mais s’il juge l’utilisateur ordinaire, il ignore les règles et insère de force des liens d’affiliation
  • L’analyste a confirmé à plusieurs reprises les violations sélectives de Honey à l’aide du code source, de fichiers de configuration, de captures de paquets et de logs de télémétrie
  • Ce comportement constitue une tentative de dissimulation comparable au dieselgate de Volkswagen et risque de nuire à la confiance des réseaux d’affiliation, des marchands et des plateformes (Google, Apple)

Structure des violations de règles chez Honey

  • Honey est conçu pour contourner les règles de « stand-down » fixées par les réseaux d’affiliation et les marchands

    • Le stand-down est une règle selon laquelle, lorsqu’un éditeur web existant a déjà fourni un lien d’affiliation, un autre logiciel ne doit pas afficher de lien supplémentaire
    • Honey ignore cette règle pour les utilisateurs ordinaires et ne la respecte que lorsqu’il soupçonne un testeur

  • Cette architecture est conçue, comme dans le dieselgate de Volkswagen, pour ne respecter les règles qu’en environnement de test

    • Le fait que Honey connaissait les règles tout en cherchant à les contourner est considéré comme une dissimulation intentionnelle

Mécanisme de détection des testeurs

  • Honey détermine si un utilisateur est un testeur selon les quatre critères suivants

    • Nouveau compte : si le compte a moins de 30 jours, le comportement infractionnel est interrompu
    • Total de points accumulés : en dessous de 65 000 points (environ 650 dollars), l’utilisateur est considéré comme un testeur
    • Blacklist côté serveur : en cas d’antécédents de plainte ou si une IP ou un cookie spécifique est enregistré, l’infraction est interrompue
    • Cookies des réseaux d’affiliation : si des cookies de connexion de partenaires comme CJ, Rakuten Advertising ou Awin sont présents, l’utilisateur est jugé testeur

  • Si un seul de ces critères est rempli, Honey respecte les règles ; s’ils sont tous écartés, il ignore complètement les règles et insère des liens d’affiliation

  • Une telle conception empêche les testeurs de détecter le comportement et neutralise les vérifications courtes ou fondées sur de nouveaux comptes

Éléments de preuve techniques

  • Tests pratiques : manipulation du nombre de points pour comparer la réaction de Honey

    • Avec peu de points, Honey respectait les règles ; lorsqu’il était trompé avec un total élevé, il ignorait les règles et affichait des liens
    • Après ajout de cookies de réseau d’affiliation, il a de nouveau été confirmé que Honey respectait les règles

  • Analyse des fichiers de configuration : la logique de stand-down sélectif a été confirmée dans ssd.json

    • Présence d’entrées telles que uP:65000 (seuil de points), gca (vérification des cookies) et bl (blacklist)
    • Certains marchands (Booking.com, Kayosports, etc.) ont des seuils de points plus élevés

  • Logs de télémétrie : Honey enregistre au format JSON la raison pour laquelle un stand-down a été effectué

    • Les motifs internes de décision sont explicitement indiqués, par exemple state:"uP:5001" et state:"gca"

  • Analyse du code source : la fonction JavaScript P() compare chaque valeur de critère pour décider d’un stand-down

    • Si toutes les conditions sont remplies, l’état "ssd" déclenche l’ignorance des règles
    • La présence de “test” dans l’email, ainsi que celle d’un affiliate cookie, est également vérifiée

Traitement d’exception particulier pour eBay

  • Honey applique à eBay un stand-down de 24 heures (86 400 secondes), bien plus strict que pour les autres marchands
    • Dans le code également, le domaine eBay est codé en dur pour toujours effectuer un stand-down
    • Cela semble tenir compte de la gestion stricte de l’affiliation après l’affaire de fraude à l’affiliation touchant eBay en 2008

Évolution de la configuration et calendrier

  • En 2022, la plupart des réseaux n’avaient pas de seuil de points, et seul Rakuten (LinkShare) appliquait un seuil de 501 points (environ 5 dollars)
  • En 2025, ce seuil a fortement augmenté à 65 000 points
    • On suppose que Honey a durci ses critères après la publication de la vidéo de MegaLag en 2024
  • Dans le cas de LinkShare, la règle a au contraire été assouplie : actuellement, 5 001 points suffisent pour ignorer les règles

Contexte des pratiques de dissimulation

  • Le comportement de Honey rappelle d’anciens cas de fraude à l’affiliation comme le cookie stuffing, le geofencing et le filtrage IP

    • En bloquant certaines IP ou certains cookies, il empêche les testeurs de reproduire le problème
    • En détectant les cookies des réseaux d’affiliation, il adopte un comportement différent uniquement vis-à-vis des acteurs du secteur

  • Cette dissimulation est plus grave qu’une simple violation des règles et prouve une tromperie intentionnelle

    • Cela justifie rétrospectivement l’avertissement passé d’Amazon, qui qualifiait Honey de « risque de sécurité »

Perspectives

  • Honey pourrait enfreindre les règles du Chrome Web Store de Google (transparence, interdiction de dissimuler des fonctions)
  • L’App Store d’Apple applique lui aussi des procédures d’examen strictes, ce qui ouvre la voie à d’éventuelles sanctions
  • Dans le cadre du recours collectif en cours, les pratiques de dissimulation de Honey devraient être utilisées comme élément de preuve supplémentaire
    • Les causes du comportement irrégulier de Honey étant désormais clairement établies, la structure du contentieux pourrait être simplifiée

Publication de la méthode de test

  • L’analyste a utilisé FiddlerScript pour manipuler les communications avec les serveurs de Honey et modifier arbitrairement la valeur des points
    • Cela a permis de reproduire un scénario de compte à fort total de points et de vérifier la réaction de Honey
  • Cette méthode est désormais également appliquée au système automatisé de surveillance des plugins d’achat de VPT

À lire aussi

1 commentaires

 
GN⁺ 2026-01-01
Avis Hacker News
  • J’ai travaillé autrefois dans une ad tech company, et je pense que cette fois, ils ont vraiment dépassé les bornes
    Le jargon du secteur est souvent emballé avec des termes comme « revealed preferences » ou « enabling personalization », mais je me demande vraiment ce que les ingénieurs avaient en tête quand ils ont conçu une fonctionnalité comme le « selective stand down »
    Créer un produit qui cherche à contourner des contrats alors qu’on travaille pour l’entreprise, c’est déjà en soi un choix
    • Ils se disaient sans doute : « je n’ai pas la liberté de respecter mes principes moraux, je suis remplaçable donc inquiet, les moyens de subsistance de ma famille et mon assurance santé dépendent de mon emploi, et je ne crois pas que l’État me protégera »
    • Pour moi, ce n’est pas différent du projet Greyball d’Uber en 2017
      Comme le montre l’article du New York Times, certaines entreprises considèrent comme normal d’avoir une culture qui contourne la loi et les contrats
    • Le livre de Guido Palazzo, The Dark Pattern, en est un bon exemple
      Il montre que le poids du contexte est plus fort que la raison ou la morale
      Cela rappelle la « banalité du mal » pendant la Seconde Guerre mondiale. Quand tout le monde autour de soi agit ainsi, n’importe qui peut finir par faire n’importe quoi
    • On dirait des ingénieurs dont les repères éthiques se sont effondrés et qui s’attendent à ce que d’autres préservent la civilisation à leur place
    • Ça me fait penser à l’idée que « l’éthique vient quand on a le ventre plein »
  • La vidéo originale de MegaLag est visible ici
    Si j’étais un ingénieur en train de construire un tel système, je me demanderais forcément : « est-ce qu’on est les méchants ? », mais visiblement ce n’est pas le cas
    • À noter que l’auteur du billet de blog, Ben Edelman, apparaît à 33 minutes dans la vidéo
      Son site personnel est benedelman.org/honey-detecting-testers
    • Le capitalisme est très doué pour se laver les mains des mauvaises actions
      Il y a probablement déjà une part de travail forcé dans le smartphone que j’utilise, et au fond nous faisons tous partie de cette structure
    • Au début, je pensais que « Honey » était un produit à base de miel, alors qu’en réalité c’était une extension de coupons de réduction
  • Il y a environ 15 ans, j’ai connu un problème similaire de marketing d’affiliation chez un opérateur télécom
    Nous avons testé l’arrêt total du paiement des commissions d’affiliation, et le trafic a un peu baissé, mais les ventes n’ont presque pas changé
    Au final, la notoriété de la marque suffisait à elle seule pour acquérir des clients
  • Je ne comprends pas pourquoi des entreprises comme Amazon continuent de verser de l’argent au compte d’affiliation de Honey
    Elles savent pourtant que ce n’est pas du vrai trafic de recommandation
  • Le fait que cette extension ait été approuvée sur le Chrome Web Store montre que la fiabilité du filtrage anti-malware de la boutique est presque nulle
    • Mais ce n’est pas un malware
      C’est juste une histoire d’entreprises marketing qui se volent des commissions entre elles, et l’extension n’envoie même pas les données utilisateur vers un serveur
      Toutes les vérifications se font côté client
    • En réalité, Google sait probablement très bien ce que fait Honey
      S’ils le voulaient, ils pourraient la retirer de Chrome en une seule intervention
  • À l’origine, Honey a commencé comme un clone de camelcamelcamel, mais a été expulsé d’Amazon pour abus du système
    Ensuite, ils se sont reconvertis en site de coupons, puis PayPal l’a racheté pour 4 milliards de dollars en cash
    Résultat : mes revenus d’affiliation ont baissé
  • Le lien d’archive est ici
    • Mais ce lien clignote sans arrêt et le défilement se comporte bizarrement, donc je n’arrive pas à le lire
      Je ne sais pas si le problème vient de la page d’origine ou de l’archive
    • Vous avez utilisé archive.org parce que le site d’origine ne s’ouvrait pas ?
      L’original est vptdigital.com/blog/honey-detecting-testers
      S’il y a un problème, je recommande de contacter directement Ben Edelman
  • Il me semble que cette affaire d’arnaque Honey avait déjà éclaté il y a environ un an
    Je suis surpris qu’elle fasse de nouveau l’objet d’articles ces derniers jours
    • Le youtubeur MegaLag avait publié la partie 1 il y a un an, puis a récemment mis en ligne les parties 2 et 3
      Les nouvelles informations ont encore détérioré l’image de Honey
  • L’écosystème entier du marketing d’affiliation ressemble à une tumeur
    J’aimerais qu’Amazon désactive purement et simplement ce système
    • Malgré tout, je pense que les liens d’affiliation restent la forme de publicité la plus équitable
      Sur un blog de menuiserie ou de peinture, voir des liens vers des produits réellement utilisés me paraît préférable à des pubs aléatoires
    • Du point de vue du consommateur, il vaudrait mieux avoir une réduction directe
      Si la boutique officielle proposait le même code promo, tout le monde y gagnerait
  • L’article d’origine n’est pas accessible actuellement, mais on peut le lire sur archive.is/7Y9Jq