makedream
15:27The PrimeTime
Log in to leave a comment
No posts yet
Honey, l'outil de shopping installé sur les navigateurs de 17 millions d'utilisateurs à travers le monde avec la promesse de réductions gratuites, cachait derrière lui un système de tromperie sophistiqué. Racheté par PayPal pour la somme colossale de 4 milliards de dollars, ce service ne souffre pas d'une simple erreur technique. L'analyse par rétro-ingénierie de cinq ans de code source a révélé la réalité d'un abus d'ingénierie perfectionné au fil des ans pour s'accaparer les revenus d'autrui.
Il existe une éthique commerciale dans le marché du marketing d'affiliation : le principe du "stand-down", qui consiste à se retirer sans écraser les cookies d'un utilisateur déjà orienté par un autre canal. Cependant, Honey a délibérément ignoré ce principe via son code. Pour échapper à la surveillance, l'extension a même mis en place un moteur de profilage déterminant si l'utilisateur est un expert en sécurité ou un simple consommateur.
Le système de Honey est devenu de plus en plus sournois au fil du temps. Il ne s'agissait pas d'une simple maintenance de code, mais de bonds technologiques annuels réalisés pour dissimuler les actes frauduleux.
| Phase d'évolution | Période | Changements techniques majeurs | Mode de contrôle de la logique d'affiliation |
|---|---|---|---|
| Phase initiale | ~2019 | Hard-coding simple basé sur if-else | Application de règles statiques |
| Stagnation | 2020-2021 | Stabilisation du système après l'achat par PayPal | Exécution des fonctions de base |
| Transition dynamique | 2022-2023 | Introduction de configurations dynamiques JSON | Contrôle en temps réel via le serveur |
| Contournement de sécurité | 2024~ | Intégration d'un moteur VIM (interpréteur) | Neutralisation des règles Manifest V3 |
Pour renforcer la sécurité des extensions, Google a strictement interdit l'exécution de codes externes : c'est la réglementation Manifest V3. Au lieu de s'y conformer, Honey a choisi l'étrange voie de construire son propre environnement d'exécution JavaScript à l'intérieur même de l'extension.
L'analyseur JavaScript Acorn intégré à Honey interprète les données JSON reçues du serveur non pas comme de simples informations, mais comme une logique exécutable. Les outils d'analyse statique de Google les perçoivent comme de simples données et les laissent passer. En conséquence, Honey a obtenu les pleins pouvoirs pour manipuler le comportement du navigateur de l'utilisateur en temps réel, sans même avoir à mettre à jour l'extension.
La méthode utilisée par Honey pour dérober les revenus est aussi discrète que fatale. Au moment précis où l'utilisateur atteint la page de paiement, l'extension ouvre en arrière-plan un onglet invisible de 1x1 pixel pour appeler de force un lien d'affiliation. Ce processus supprime le cookie de recommandation qui devrait revenir au créateur de contenu original, et l'identifiant de Honey prend sa place.
Selon des cas d'analyse réels, Honey a parfois offert seulement 0,89 dollar de récompense à l'utilisateur tout en détournant en coulisses l'intégralité de la commission du créateur, s'élevant à 35,60 dollars. Avant même que l'utilisateur ne clique sur le bouton d'application du coupon, le code est envoyé au serveur, provoquant la fuite vers une base de données publique de codes VIP ou à usage unique que des petits commerçants avaient réservés à certains clients spécifiques.
Le cas de Honey illustre les conséquences dévastatrices de la technologie lorsqu'elle s'affranchit des directives éthiques. Actuellement, de grands réseaux d'affiliation, dont Rakuten, ont banni Honey de manière permanente, et les recours collectifs de créateurs de contenu lésés se multiplient.
Il faut garder à l'esprit que la gratuité d'un service peut être le prix du vol de la valeur du travail légitime d'autrui. Si une extension de navigateur demande l'autorisation de lire et de modifier toutes les données des sites web, doutez de ses intentions. Le comportement inapproprié de Honey n'est pas une simple erreur, mais le produit d'une conception minutieusement calculée pour maximiser les profits.