La fraude au clic saigne l'AdTech de 100 milliards de dollars. Voici où va vraiment l'argent.
La fraude publicitaire a dépassé 84 milliards de dollars de pertes en 2025 et franchira les 100 milliards en 2026. Décryptage des cinq catégories de fraude, des limites du post-bid et de l'architecture pre-bid qui fonctionne vraiment.
L'IAB estimait les pertes mondiales dues à la fraude publicitaire à 84 milliards de dollars en 2025. La plupart des analystes du secteur s'attendent à ce que les chiffres de 2026 dépassent les 100 milliards. Ces chiffres sont cités si souvent qu'ils ont perdu leur pouvoir de choc — mais la mécanique sous-jacente compte pour quiconque exploite de l'inventaire monétisé par la publicité ou achète du média programmatique à grande échelle.
Les pertes ne sont pas réparties uniformément. Les grands annonceurs dotés d'équipes de brand safety dédiées attrapent l'essentiel de la fraude visant leurs campagnes. Les annonceurs de taille moyenne opérant via des agences perdent des pourcentages significatifs de leurs dépenses. Les éditeurs à la protection d'inventaire faible voient les impressions frauduleuses noyer leur inventaire légitime. Le chiffre agrégé de 100 milliards est la somme de nombreuses pertes plus petites réparties tout au long de la chaîne de valeur.
Cet article s'adresse aux responsables AdTech, programmatique et éditeurs qui cherchent à comprendre à quoi ressemble leur exposition réelle et quelles défenses tiennent la route. Il est écrit pour expliquer les cinq grandes catégories de fraude en AdTech, pourquoi la vérification post-bid ne suffit pas, et quelle architecture pre-bid fonctionne réellement.
Les cinq grandes catégories de fraude en AdTech
Fraude au clic
La forme la plus directe. Du trafic automatisé clique sur des annonces payantes sans intention de conversion. L'annonceur paie le clic ; le clic ne produit aucune valeur. Les benchmarks du secteur situent la fraude au clic entre 15 et 25 % des clics payants sur la plupart des campagnes.
Le mécanisme : des réseaux de bots ou des opérations de trafic payant génèrent des clics à grande échelle. Les opérations modernes utilisent une infrastructure de proxy résidentiels pour faire passer les clics pour du trafic de consommateur légitime. Le coût par clic frauduleux se compte en fractions de centime du côté de l'attaquant, tandis que l'annonceur paie de 1 à 50 dollars par clic selon l'enchère.
Les cibles : les campagnes à fort CPC sont les plus attractives. Une campagne de services juridiques payant plus de 50 dollars par clic est une cible plus attractive qu'une campagne de notoriété payant 0,25 dollar par clic. La fraude suit l'argent.
Le pattern de défense qui échoue : l'analyse des conversions post-clic. Le temps que vous remarquiez que les clics ne convertissent pas, le budget est dépensé. Les remboursements des régies sont possibles mais lents et partiels.
Le pattern de défense qui fonctionne : l'intelligence des appareils en pre-bid. Vérifier que l'impression est servie à un appareil légitime avant que le bid ne soit placé. Le budget de latence est serré — typiquement moins de 50 millisecondes — mais réalisable avec la bonne architecture.
Fraude à l'impression
Valeur par événement plus faible que la fraude au clic, volume plus élevé. Du trafic de bots génère des impressions sur de l'inventaire que l'annonceur paie, mais aucun humain ne voit jamais l'annonce. Les estimations du secteur suggèrent que 10 à 20 % des impressions de l'écosystème sont frauduleuses.
Le mécanisme : des éditeurs (souvent des éditeurs fantômes opérant sur plusieurs sites) génèrent du trafic de bots pour gonfler le compte d'impressions de leur inventaire. Le bot charge la page, l'annonce se sert, l'impression compte, l'éditeur est payé. Le trafic n'a jamais été humain.
Les variantes :
- Ad stacking : plusieurs annonces servies dans un seul emplacement. L'utilisateur (s'il y en avait un) ne voit que l'annonce du dessus. Les 4 à 10 autres annonces de la pile comptent comme des impressions.
- Pixel stuffing : annonce servie dans un iframe de 1×1 pixel. Techniquement « visible » selon la définition du secteur. Visible par personne.
- Fraude à l'auto-rafraîchissement : des pages rafraîchissent automatiquement les emplacements publicitaires à haute fréquence, générant des impressions à chaque rafraîchissement. Courant sur les sites de faible qualité cherchant à maximiser le compte d'impressions.
Le pattern de défense qui échoue : les seules métriques de visibilité. Les standards de visibilité MRC (50 % des pixels visibles pendant 1 seconde) sont facilement contournés. De l'inventaire qui « passe » la visibilité peut tout de même relever de la fraude à l'impression.
Le pattern de défense qui fonctionne : l'évaluation de la qualité du trafic en pre-bid. Identifier si l'appareil qui demande l'impression est un véritable appareil de consommateur ou fait partie d'une opération de gonflage d'inventaire.
Fraude à la conversion
Spécifique au marketing à la performance et aux réseaux d'affiliation. L'annonceur paie au CPA (coût par acquisition) — typiquement de 10 à 200 dollars par lead qualifié, inscription ou vente. Les opérations de fraude génèrent de fausses conversions suffisamment crédibles pour réclamer des paiements au CPA mais qui ne produisent jamais de vrais clients.
Le mécanisme : les opérations d'affiliation récoltent des leads issus de fuites de données antérieures, remplissent les formulaires d'inscription avec ces credentials et réclament les paiements au CPA. Ou elles créent des identités jetables via des opérations d'identity-as-a-service, complètent le flux de conversion et disparaissent.
L'économie : les réseaux d'affiliation paient au CPA sur les conversions. Les opérations de fraude génèrent des conversions à faible coût marginal. En étalant l'opération sur plusieurs annonceurs et réseaux, chaque perte individuelle est assez petite pour échapper à un examen attentif mais le volume agrégé est significatif.
Le pattern de défense qui échoue : regarder les taux de conversion isolément. Le trafic frauduleux produit souvent des taux de conversion d'apparence normale parce que la fraude est structurée pour paraître normale.
Le pattern de défense qui fonctionne : l'analyse au niveau appareil des sources de conversion. Plusieurs leads « différents » provenant de la même empreinte d'appareil signalent une fraude à l'affiliation. Le rattachement d'appareils entre clients attrape les opérations s'étendant sur plusieurs annonceurs.
Usurpation de domaine
La catégorie de fraude qui exploite le plus directement l'écosystème des ad exchanges. L'attaquant présente faussement l'inventaire aux ad exchanges, prétendant que les impressions se produisent sur des domaines premium alors qu'elles se produisent en réalité sur des sites fantômes.
Le mécanisme : la requête publicitaire inclut des métadonnées revendiquant le domaine de la page. Certains exchanges et SSP ne le vérifient pas rigoureusement. L'annonceur paie un CPM premium pour des impressions sur ce qu'il croit être un éditeur de confiance ; l'impression se sert en réalité sur un site fantôme qui partage le revenu CPM avec l'usurpateur.
Les variantes :
- Usurpation de sous-domaine : revendiquer des impressions sur yourbrand.com alors qu'elles sont sur subdomain.shadowsite.com qui l'imite.
- Usurpation de domaine d'application : de l'inventaire d'application mobile revendiquant être de l'inventaire d'application premium.
- Usurpation CTV/streaming : des impressions de télévision connectée revendiquées comme étant sur des plateformes de streaming premium.
Le pattern de défense qui échoue : faire confiance au SSP. De nombreux SSP ont une vérification inadéquate des revendications de domaine. La confiance sans vérification est la vulnérabilité.
Le pattern de défense qui fonctionne : la vérification en pre-bid de l'authenticité de l'inventaire. Combiner l'intelligence des appareils (attrapant le gonflage d'inventaire piloté par bots), l'analyse du referrer (attrapant l'usurpation de domaine) et l'audit des SSP (confiance sélective fondée sur la qualité de la vérification).
Trafic invalide sophistiqué (SIVT)
La catégorie de l'IAB qui capture la fraude la plus préoccupante — du trafic de bots spécifiquement conçu pour ressembler à de vrais utilisateurs afin d'échapper à la détection. Ce ne sont pas des bots de clic grossiers ; c'est de l'automatisation qui simule des métriques d'engagement, complète des actions de funnel et ressemble comportementalement à des humains.
Le mécanisme : des opérations de bots pilotées par des logiciels sophistiqués (souvent des agents pilotés par LLM en 2026) génèrent un engagement réel sur les sites des annonceurs. Ils scrollent, s'attardent sur les pages, cliquent à travers la navigation et complètent parfois des conversions partielles. La signature comportementale ressemble suffisamment à celle des humains pour qu'une simple analyse comportementale ne les attrape pas.
Le pattern de défense qui fonctionne : l'intelligence au niveau appareil qui attrape l'écart entre la similarité comportementale et les différences d'infrastructure sous-jacentes. L'agent peut se comporter comme un humain, mais l'appareil, le réseau et les caractéristiques environnementales le trahissent. Une détection multicouche avec vérification de cohérence attrape ce que l'analyse comportementale seule laisse passer.
L'écart d'architecture que la plupart des annonceurs ont
La plupart des annonceurs et éditeurs utilisent une ou plusieurs de ces couches de défense :
Vérification post-bid (MOAT, IAS, DV, etc.). Analyse les impressions après leur diffusion. Utile pour les demandes de remboursement et le reporting de brand safety. Inefficace pour la prévention — le budget est déjà dépensé.
Listes de blocage statiques. Listes de domaines, IP ou caractéristiques d'appareil connus comme frauduleux. Contournées en changeant simplement la signature de surface. La charge de maintenance est élevée ; l'efficacité est limitée.
Filtres des ad exchanges. Filtres pre-bid intégrés dans l'ad exchange ou le DSP. La qualité varie énormément. Les grands DSP ont des filtres sophistiqués ; les plus petits n'en ont pas.
Analyse du suivi des conversions. Détecter la fraude en regardant les taux de conversion et leur qualité. Attrape la fraude paresseuse ; rate le type sophistiqué conçu pour produire des taux de conversion d'apparence normale.
Analytique du trafic interne. Certains annonceurs analysent leur propre trafic à la recherche de schémas de fraude. Utile pour attraper une partie de la fraude après coup ; limité pour la prévention.
L'écart : une intelligence en temps réel, en pre-bid, sur la légitimité de l'inventaire avant que le bid ne soit placé. C'est la couche sous-investie dans tout le secteur. L'architecture pour la mettre en œuvre existe mais n'est pas largement déployée.
À quoi ressemble l'intelligence des appareils en pre-bid
Le pattern architectural :
Côté éditeur : le SDK sur la page capture l'empreinte de l'appareil et des signaux comportementaux au chargement de la page. Les données de l'appareil sont incluses dans les métadonnées de la requête de bid envoyées aux ad exchanges.
Au niveau de l'ad exchange : les requêtes de bid transportent la charge utile d'intelligence des appareils aux côtés des informations d'inventaire standard.
Côté DSP / annonceur : appel de vérification en pre-bid auprès du service d'intelligence des appareils. Le service renvoie un verdict — probablement humain, possiblement bot, probablement fraude — dans le budget de latence pre-bid de 10 à 50 millisecondes.
Logique de décision : le DSP utilise le verdict pour décider s'il enchérit sur l'impression. L'inventaire probablement humain reçoit une enchère normale. L'inventaire probablement bot reçoit une enchère à un montant plus faible ou est ignoré entièrement. La fraude probable est explicitement exclue.
Journalisation post-bid : le verdict et les signaux sont journalisés avec l'impression pour l'analyse après coup, les demandes de remboursement et l'ajustement continu des règles.
L'avantage : la prévention plutôt que le remboursement après coup. L'annonceur ne paie pas l'inventaire frauduleux dès le départ, au lieu de courir après les remboursements ensuite.
La contrainte de latence est réelle. Les budgets pre-bid sont typiquement de 100 ms au total, aller-retour du début de l'enchère à la réponse du bid. Dans ce délai, l'appel d'intelligence des appareils doit s'achever en 30 à 50 ms pour laisser du temps à la reste de la logique du DSP. C'est une contrainte d'ingénierie stricte qui limite les architectures de détection viables dans le contexte pre-bid.
À quoi ressemble réellement un déploiement
Une plateforme publicitaire programmatique servant environ 100 M d'impressions par mois. Estimation du taux de fraude avant déploiement, fondée sur les benchmarks du secteur : 18 à 25 % des impressions atteignant soit des bots, soit de l'inventaire frauduleux.
Architecture déployée :
- SDK d'intelligence des appareils sur l'inventaire éditeur (là où l'accès est disponible)
- Appel de vérification en pre-bid du DSP vers le service de vérification
- Intégration du verdict dans la logique de bid avec trois seuils (humain à forte confiance, suspect, fraude probable)
- Journalisation post-bid pour l'analyse et les demandes de remboursement
Résultats à 90 jours :
- Impressions de bots réduites de 78 % sur l'inventaire équipé du SDK
- Taux de clic en hausse de 31 % sur l'inventaire assaini (parce que de vrais humains voyaient réellement les annonces)
- Taux de conversion en hausse de 22 % sur l'inventaire assaini (parce que les clics venaient de vrais utilisateurs)
- Demandes de remboursement aux SSP en amont réduites de 60 % (parce que la prévention en pre-bid a attrapé l'essentiel de la fraude avant qu'un remboursement soit nécessaire)
- Latence moyenne de bid ajoutée par la vérification : 32 ms (dans le budget)
- Économies directes sur la fraude évitée : 340 K$ par mois à cette échelle
Le calcul du ROI pour la plateforme : l'infrastructure de vérification a coûté environ 4 000 dollars par mois. Économies directes : 340 K$ par mois. Les bénéfices indirects (métriques de performance de campagne améliorées, meilleure rétention des annonceurs, moins de temps passé à gérer les demandes de remboursement) démultiplient la valeur.
Ce que cela signifie pour votre équipe
Si vous opérez dans l'espace AdTech, trois observations :
Observation 1 : votre taux de fraude est probablement plus élevé que ce qui apparaît dans les rapports. La vérification post-bid attrape ce qu'elle peut identifier. Le trafic invalide sophistiqué cible spécifiquement les angles morts de la vérification post-bid. Le taux honnête est généralement plus élevé que le taux rapporté, parfois nettement.
Observation 2 : le pre-bid est sous-investi dans tout le secteur. La plupart des plateformes disposent d'une vérification post-bid parce que le secteur s'est standardisé dessus. La vérification pre-bid est l'angle mort à fort levier. Les plateformes qui la déploient ont un avantage que leurs concurrents n'ont pas.
Observation 3 : la contrainte de latence de 50 ms est une fonctionnalité, pas un bug. Les architectures qui rentrent dans le budget de latence sont forcées d'être efficaces. Les architectures qui n'y rentrent pas sont rejetées par les ad exchanges. La contrainte produit une meilleure ingénierie.
Les plateformes qui gèrent bien cette transition partagent un schéma : elles mesurent honnêtement le taux de fraude (y compris les catégories que la vérification post-bid rate), déploient la vérification pre-bid sur chaque point d'inventaire disponible et traitent l'intégration comme de l'ingénierie continue plutôt que comme une sélection de fournisseur.
Où Tracio s'inscrit
L'intelligence des appareils de Tracio est conçue pour un déploiement en pre-bid dans le contexte AdTech. L'architecture respecte le budget de latence de 50 ms qu'exigent les ad exchanges. La couverture de signaux gère les cinq catégories de fraude — fraude au clic, fraude à l'impression, fraude à la conversion, usurpation de domaine et SIVT — au travers d'une couche de détection unifiée.
Les patterns d'intégration :
- SDK côté éditeur pour la vérification de l'inventaire
- Appel serveur côté DSP pour le verdict en pre-bid
- Partage de signaux entre clients pour attraper les opérations de fraude s'étendant sur plusieurs annonceurs
- Couche JavaScript polymorphe qui tourne quotidiennement pour résister à l'évasion des opérations de fraude
Le verdict — probablement humain, suspect ou probablement fraude — revient en moins de 50 ms avec les signaux sous-jacents attachés. L'équipe DSP l'utilise pour piloter la logique de bid. L'équipe éditeur l'utilise pour filtrer l'inventaire avant diffusion.
L'offre gratuite couvre 2 500 vérifications par mois — suffisant pour mener un pilote significatif sur une campagne ou un segment d'inventaire spécifique et mesurer votre taux réel de fraude.
Envie de voir à quoi ressemble votre taux réel de fraude ?
Démarrez votre essai gratuit — 2 500 vérifications gratuites, sans carte bancaire. Réservez une démo pour parcourir votre scénario de déploiement AdTech spécifique avec notre équipe — y compris les patterns d'intégration pre-bid et l'architecture propre à votre DSP.