(D’après un article original de Charles Arthur)
Il n’y a rien de personnel dans tout cela.

Sam, appelons-le Sam, préfère conserver son anonymat. Il habite à Londres dans une maison jumelée disposant de trois salles de bain, conduit une jaguar et possède sa propre société. Mais cette dernière ne fait pas dans le show-business comme l’explique Sam. Spammer les sites Web et les blogs pour propulser en tête des moteurs de recherches ses sites PPC (Pilules, porno et casinos), voila le business de Sam.

Et ce business, Sam le fait très bien. Il pourrait le faire juste pour rigoler, mais cela n’a rien à voir avec une plaisanterie. Il prétend pouvoir gagner des millions avec ce business. Sam est un spammeur de liens convaincu. Expérimenté en Perl, LWP et PHP, la première expérience de Sam en matière de programmation remonte à ses 13 ans lorsqu’il vendit un bout de programme à une société de jeux. Aujourd’hui, il est âgé de 32 ans et nous parle sous le couvert de l’anonymat.

Comment s’y prennent-ils ces spammeurs de liens, (c’est ainsi qu’ils sont appelés génériquement), et aussi pourquoi ? Sont-ils les mêmes que les spammeurs de mails ? Que pensent-ils de leur activité d’un point de vue éthique ? Et comment peut-on les arrêter ? Si vous êtes affectés par ce genre de spam, parce que vous avez un blog, ou un site Web, ou que comme 99% des Internautes, vous tombez par hasard sur le sujet, Sam tient à rappeler qu’il n’y a rien de personnel derrière tout cela. Ce n’est pas vous qui êtes visés personnellement. Les spammeurs de liens utilisent une faiblesse qui émergea au moment où Google en termina avec l’ancienne méthode des spammeurs qui utilisaient de gigantesques fermes de liens qui pointaient les unes sur les autres afin d’améliorer leur classement dans les moteurs de recherches.

C’était au mois de Décembre 2003: Google mit en place ce que l’on a appelé « l’update Florida ». L’algorithme qui mesurait le classement de popularité d’un site fut modifié : désormais les liens dits de « complaisance » étaient dévalués. Donc si vous aviez une ferme de liens avec différents noms pointant excessivement les uns sur les autres alors votre classement dégringolait, explique Sam.

C’est alors que les spammeurs de liens, qui préfèrent utiliser le terme «optimisateur de moteurs de recherche» , passablement en colère que désormais ce soit le moteur de recherche lui même qui fasse l’optimisation, se tournèrent vers d’autres exutoires, gratuits de surcroit, et passablement appréciés par Google à cause de la richesse de leur contenu : les blogs. Et plus spécialement les commentaires de blogs où les rédacteurs s’attendent plus à d’agréables remarques sur ce qu’ils ont écrit qu’à des liens sur des sites PPC. Mais bon, il n’y a rien de personnel dans tout cela.

« Il était déjà fréquent de spammer les commentaires des blogs avant l’update Florida, mais la pratique a explosé depuis lors, » explique Sam. « Tout ce dont nous avions besoin, c’est d’un site web qui autorise les interactions. Les galeries de photo, à base de PHPGallery, qui autorisent les votes et les commentaires sont également des cibles faciles. Car la plupart d’entre elles autorise quiconque à laisser une remarque. »

Même pour un programmeur moyen, l’écriture d’un programme permettant de spammer les sites web vulnérables ainsi que les blogs, est une chose relativement aisée. Tout ce dont vous avez besoin est une liste immense de blogs, que l’on obtient en cherchant des mots clé, comme « WordPress », « Movable Type » et « Blogger ».

Mais les gens comme Sam sont beaucoup plus efficaces. «Vous pouvez viser entre 20000 et 100000 blogs. Chaque spammer cherche non pas la qualité des sites mais la quantité de liens. Lorsqu’un nouveau format de blog fait son apparition, il faut à peine y consacrer plus de 10 minutes et développer une méthode pour spammer les commentaires. Un simple script d’une centaine de lignes et le spam peut commencer. Mais vous ne pouvez pas juste allumer votre PC et lui demander d’exécuter le script. Vous risquez d’être repéré par votre FAI et déconnecté; ou bien l’adresse IP de votre machine peut être bloquée définitivement par les blogs visés.

Alors, comme tous les autres spammeurs de liens, Sam utilise les milliers de proxy ouverts présents sur Internet. Ces machines sont, par accident (un administrateur étourdi) ou par conception (un architecte étourdi), utilisables par quiconque pour aller visiter n’importe quel site web. D’habitude conçu pour un usage interne, et permettant ainsi l’exposition frontale d’une seule machine sur Internet, les proxy sont assez difficiles à sécuriser complètement.

Les programmes de Sam utilisent des centaines de proxy qui vont docilement spammer des blogs et d’autres sites avec le contenu voulu. Ils ont l’habitude de viser plutôt les anciens articles, de sorte que les gens ne les repèrent pas, ce qui n’est pas le cas des moteurs de recherche qui vont systématiquement repérer les liens et les indexer. Et c’est ici qu’il y a une chose intéressante : les spammeurs de liens travaillent pour eux même et agissent de leur propre chef. Leur opérations ne sont pas destinées à une tiers partie, comme dans le cadre d’un spammeur de mail. (Est-ce que cela signifie que le business n’est pas encore mature ?)

Et voici pourquoi. Lorsque Sam spamme des tonnes de blogs et de sites avec des liens sur ses propres sites, qui sont eux-mêmes affiliés à de plus gros sites PPC, les gens qui sont à la recherche de pilules, casino ou pornographie, cliquent depuis ses sites sur ces liens qui les redirigent vers ces sites parents qui payent Sam pour chaque personne les visitant. Selon Sam, ces sites PPC peuvent espérer des revenus de l’ordre de 100 000 à 200 000 livres sterling par mois. Sam obtient un pourcentage non négligeable sur ces ventes.

Peut-être que le système d’affiliation est finalement une forme de délégation: tout en haut de la chaine, les sites obtiennent une multitude « d’ouvriers » qui se démènent pour attirer des visiteurs sur ces sites. Darwin comprendrait. Spammer des liens, malgré l’abus de ressources, est de loin la meilleure façon de procéder, tout comme couper du bois dans la forêt amazonienne ou indonésienne est la meilleure façon d’obtenir beaucoup plus de bois. Après tout, même si cela contribue grandement au réchauffement climatique de la communauté des bloggeurs, et bien la vie continue quand même sur la planète Internet. « Sam, pourquoi ne te contentes-tu pas d’acheter une publicité sur Google ? » Jamais vous n’obtiendrez un tel ratio de clic. En utilisant le spam, vous pouvez obtenir 6 à 7 fois plus de clics ; de plus les publicités sur les moteurs de recherche coutent beaucoup d’argent, parfois jusqu.à 20 livres le clic ! Ici, vous ne payez rien pour obtenir un résultat organique. « Mais qu’en est-il de la morale, vous utilisez la bande passante d’autrui et abusez l’espace des blogs en y insérant des messages commerciaux ? » « La question de la morale est une affaire personnelle. Tant que c’est légal, on continuera. Un argument pourrait être qu’un propriétaire de site accepte finalement implicitement le mécanisme, puisqu’il y autorise les commentaires. »

Quand Sam a commencé ses affaires, il avait comme objectif d’être dans les 6 premiers sur les moteurs de recherche, même si l’objectif suprême est toujours d’être le numéro un pour une phrase du site choisi. « Mais bien entendu, être numéro 2 ou 3, c’est déjà une réussite ». Curieusement, les rangs 8, 9 et 10 ont des meilleurs taux de conversion. Je ne sais pas pourquoi. Peut être parce les yeux s’y fixent lorsque l’on fait défiler la page. » Et le coût de tout cela ? Une fois que le code est écrit, pratiquement rien. « La bande passante est bon marché », dit-il. « Vous lancez votre programme le soir et vous revenez le matin pour voir comment ca s’est passé. »

Et le côté légal de toute cette activité ? C’est ici que Sam met beaucoup de distance entre lui et les spammeurs par mail, particulièrement ceux qui utilisent des virus faits sur mesure et qui transforment votre PC connecté à la DSL ou au câble en générateurs de spams. « J’utilise des serveurs proxy mal configurés, pas ceux qui ont été piratés et qui sont sous le contrôle d’un étranger. Mais je parle des 7 ou 8 meilleurs spammeurs de liens, et ils n’utilisent pas des PC zombies. Les gens qui spamment les blogs ne viendront pas au spam par mail. »

En utilisant des serveurs proxy, Sam argumente qu’il n’y a rien d’illégal. (Ce qui est apparemment exact dans le sens où la configuration de la machine n’a pas été modifiée) Par contre, l’envoi de virus et l’utilisation de bots est parfaitement illégal. L’argument de la moralité est réservé aux individus. La question de la légalité est un autre débat.

En fait, la loi pencherait plus en faveur de Sam. Il est difficile d’argumenter sur la différence entre une personne utilisant un ordinateur pour poster un commentaire et une personne utilisant un ordinateur qui utilise lui-même un ordinateur pour poster un commentaire. Récemment Google, Yahoo et MSN ont décidé de prendre en compte l’attribut « nofollow » des liens hypertextes. (Empêchant ainsi aux moteurs de suivre les liens). Est-ce que cette initiative mettra un terme aux agissements de Sam et de ses comparses ? « Je ne pense pas que cela aura beaucoup d’effets à court, moyen et long terme. Les moteurs de recherche sont la cause du problème, on ne suit pas trop ce type de logique, et ils font cela pour apaiser la communauté des bloggeurs. Cela ne fonctionnera pas car la plupart des blogs et des formulaires sont bâtis avec les meilleures intentions du monde; mais même lorsque les gens se rendent compte que leur système a été corrompu, la plupart du temps, ils laissent pourrir la situation. Pour prendre en compte la nouvelle directive des moteurs de recherche, tous les systèmes devraient être mis à jour. La majorité ne le sera pas. Et les retro liens continueront d’être spammés.

Sam déclare que les spammeurs montent également leur propres blogs et référencient leur articles sur des millions de blogs, ce qui va immanquablement les ramener au spammeur. Mais comment empêcher les spammeur de poster leur liens ? Une bonne méthode est d’utiliser les captchas. Une personne peut surmonter ce type de test, mais pas un ordinateur incapable de lire une image comportant des chiffres ou des lettres déformées. « Même l’authentification de l’utilisateur peut être automatisée » (La commande Unix curl est merveilleusement flexible)

« La façon la plus difficile de spammer est celle qui demande une authentification manuelle telle que les captchas. Ou ceux qui demandent une réponse par email avec un lien de confirmation ; ceci peut toutefois être automatisé. Ceux qui vous demandent de vous enregistrer puis de cliquer sur des liens sont également difficiles à gérer. Et lorsque le bloggeur change le nom des répertoires où les fichiers sont habituellement stockés, alors c’est un véritable casse-tête car vous devez récupérer la liste des noms de répertoire. »

Pour Sam, chaque jour apporte de nouveaux challenges. Pas seulement de la part des bloggeurs en colère, encore moins des moteurs de recherche qui arrivent avec de nouveaux algorithmes, mais bien des spammeurs de liens. « C’est comme une course de 1500 mètres. Vous êtes un peu en avance et les autres vous rattrapent, » dit Sam. Mais il reste confiant et pense pouvoir rester dans les business de l’optimisation des moteurs de recherche pendant encore un bon moment.

Pourquoi ? Parce que la demande existe. « La réalité est que les gens achètent du viagra, veulent de la pornographie et jouer aux casinos. A partir du moment où les gens en veulent alors il y a moyen de faire de l’argent ». Et même si cela peut nous sembler suspect que la fin justifie les moyens, Sam s’en moque. Il vient d’ajouter quelques milliers de nouveaux blogs à sa liste et se prépare à les spammer.
Mais il n’y a rien de personnel dans tout cela, n’est-ce pas ?