Blog Attacks

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Jun 17, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Couverture sombre du blog montrant trois menaces de scripts d'affiliation : redirections silencieuses, vol de commissions via UTM et injection d'identifiant d'affiliation frauduleux

Le modèle d'affiliation de casino est l'un des canaux d'acquisition de joueurs les plus efficaces dans l'iGaming, et l'une des plus vastes surfaces d'attaque tierces non fiables de tous les secteurs d'activité. Les partenaires affiliés intègrent des pixels de suivi et du JavaScript sur des sources de trafic à travers le web, et ces mêmes scripts se retrouvent systématiquement chargés sur les pages du casino via des tag managers et des paramètres de suivi de référence. Lorsqu'un script d'affiliation est compromis, l'opérateur a effectivement accordé à un acteur hostile un accès direct à l'exécution de scripts sur sa plateforme. Le rapport de l'ENISA sur le paysage des menaces pour les attaques de chaîne d'approvisionnement identifie le code tiers comme le vecteur principal dans les compromissions de la chaîne d'approvisionnement, et la pile d'affiliation de casino en est un exemple typique.

Comment les scripts d'affiliation entrent dans la pile technologique des casinos

Réponse rapide : Les scripts d'affiliation entrent dans la pile technologique du casino par trois voies principales : les tag managers qui chargent des pixels d'affiliation sur l'ensemble du site, les paramètres de suivi de référence qui déclenchent l'exécution de scripts sur les pages d'atterrissage, et les mécanismes de liens profonds qui intègrent des identifiants d'affiliation dans le parcours du joueur. Chaque voie donne au code de l'affilié un accès en exécution à l'environnement de page propre à l'opérateur.

La relation d'affiliation nécessite une mesure, et la mesure nécessite du code. Pour suivre qu'un joueur est arrivé d'un partenaire spécifique, a converti et a généré des revenus, le script de suivi de l'affilié doit s'exécuter quelque part dans le parcours du joueur sur le site de l'opérateur. Il ne s'agit pas d'une erreur technique. C'est l'architecture prévue.

Le problème réside dans ce que cette architecture permet. Un script d'affiliation chargé via Google Tag Manager sur la page de lobby du casino dispose du même accès au DOM, de la même capacité à lire les cookies, et des mêmes autorisations de requêtes réseau que le propre JavaScript de l'opérateur. L'opérateur l'a intentionnellement chargé. La relation de confiance signifie qu'aucune règle CSP ne le bloque et qu'aucune règle WAF ne se déclenche lors de son exécution.

Les points d'entrée courants comprennent :

Les conteneurs tag manager qui chargent des pixels d'affiliation sur chaque page ou sur des événements de conversion spécifiques (premier dépôt, inscription)
Les pages d'atterrissage de référence qui lisent les paramètres UTM et émettent des appels de suivi d'affiliation avant que le joueur atteigne le lobby principal
Les pages de redirection par lien profond qui résolvent les identifiants d'affiliation et définissent des cookies de suivi avant de transférer le joueur vers le site

Chaque point d'entrée est un endroit où un script d'affiliation compromis peut s'exécuter avec la confiance implicite de l'opérateur. Le mécanisme d'entrée est intentionnel ; c'est l'abus de ce mécanisme qui est important.

Les schémas d'attaque : ce que font réellement les scripts d'affiliation compromis

Réponse rapide : Les scripts d'affiliation compromis exécutent quatre attaques principales contre les opérateurs de casino : rediriger silencieusement les joueurs vers des plateformes concurrentes lors de moments à forte intention, voler des commissions de référence en écrasant les paramètres UTM et les valeurs des cookies, abuser des mécanismes de liens profonds pour injecter des identifiants d'affiliation frauduleux, et charger des payloads malveillantes supplémentaires qui persistent tout au long de la session du joueur.

La compromission de Polyfill.js en juin 2024 a démontré à grande échelle comment un seul script de confiance, utilisé par plus de 100 000 sites, pouvait être transformé en mécanisme de diffusion de redirections malveillantes après que le projet d'origine a changé de propriétaire. Les scripts d'affiliation font face au même risque : l'opérateur fait confiance au partenaire, l'infrastructure du partenaire est compromise, et l'attaquant hérite de cette relation de confiance.

Redirection du joueur. Lors d'un moment à forte intention — généralement sur la page de connexion, le flux de dépôt, ou après l'application d'un bonus — le script compromis détecte l'état comportemental du joueur et initie un événement de navigation vers un casino concurrent ou un clone de phishing. La redirection est suffisamment rapide pour que de nombreux joueurs supposent qu'il s'agit d'une redirection légitime. L'analyse de l'opérateur indique une session abandonnée plutôt qu'une redirection.

Vol de commission via la manipulation UTM. Les commissions d'affiliation sont calculées sur la base des paramètres UTM et des cookies de suivi qui identifient le partenaire référent. Un script compromis peut écraser les valeurs de document.cookie ou modifier les paramètres d'URL en temps réel, remplaçant un identifiant d'affiliation légitime par celui de l'attaquant. L'opérateur verse la commission à la mauvaise partie. Cela est particulièrement difficile à détecter car l'événement de revenus se produit toujours, mais seule l'attribution est erronée.

Abus de lien profond. Les liens profonds d'affiliation résolvent un paramètre d'identifiant et définissent un cookie de suivi avant de transférer le joueur. Un script qui intercepte ce flux peut injecter un identifiant d'affiliation frauduleux dans le cookie avant la fin du transfert, détournant ainsi l'attribution des revenus pour l'ensemble de la relation avec le joueur.

Livraison de payload supplémentaire. La capacité la plus dangereuse du script compromis est de charger du JavaScript supplémentaire depuis une infrastructure contrôlée par l'attaquant. Un petit script stub, fiable parce qu'il porte l'identité de l'affilié, récupère une payload complète qui peut exécuter n'importe laquelle des attaques ci-dessus et plus encore, notamment la capture de frappe lors de l'inscription ou la collecte de credentials. C'est la chaîne de chargement des fournisseurs en action : le script d'affiliation est le parent, il charge des scripts enfants, et ces enfants peuvent charger des petits-enfants. cside cartographie la chaîne complète, pas seulement la dépendance de premier degré, qui est l'endroit où la payload malveillante réelle réside généralement.

Pourquoi les scripts d'affiliation compromis diffèrent des autres attaques de chaîne d'approvisionnement

Réponse rapide : Contrairement aux scripts tiers qui entrent dans la pile sans intention explicite, les scripts d'affiliation sont délibérément chargés avec un large accès aux pages parce que la mesure le nécessite. La relation de confiance est intentionnelle, ce qui signifie que le script contourne les contrôles qui intercepteraient normalement du code non fiable. Un script d'affiliation compromis est un vecteur de confiance devenu hostile, plus difficile à détecter et plus difficile à bloquer sans rompre la relation d'affiliation.

Le rapport Verizon 2024 DBIR identifie systématiquement les attaques d'applications web comme le vecteur d'attaque externe le plus courant. Ce qui distingue la compromission d'affiliation au sein de cette catégorie, c'est le différentiel de confiance.

La plupart des attaques de chaîne d'approvisionnement exploitent le fait que les opérateurs chargent des scripts tiers sans les examiner. La compromission de scripts d'affiliation est différente : l'opérateur a activement examiné et approuvé la relation. Le script dispose d'un compte, d'un contrat et d'un périmètre convenu. Lorsque le script est compromis, l'attaquant n'exploite pas une lacune dans les processus d'approbation. Il exploite l'approbation qui existe déjà.

Cela crée plusieurs défis de détection :

Bloquer le script rompt une relation d'affiliation génératrice de revenus
Les appels réseau du script vers son propre domaine semblent légitimes, car le domaine est le vrai domaine de l'affilié
La livraison de payload depuis un second domaine est le premier indicateur comportemental qu'un changement s'est produit, et sa détection nécessite une surveillance runtime
La manipulation UTM et les écritures de cookies ne génèrent aucune erreur réseau ni entrée dans les journaux serveur

Les plateformes de casino en marque blanche qui servent plusieurs marques font face à une version aggravée de ce problème. Un seul script d'affiliation compromis chargé sur 20 marques via une configuration de tag manager partagé affecte simultanément toutes les 20. Le rapport IBM 2024 Cost of a Data Breach établit le coût moyen mondial d'une violation à 4,88 millions de dollars, mais pour les opérateurs multi-marques, le rayon d'explosion multiplie considérablement cette exposition. Détecter ces changements comportementaux avant qu'ils ne se propagent nécessite une instrumentation au niveau de la couche d'exécution.

Comment cside détecte les changements comportementaux dans les scripts d'affiliation

Réponse rapide : cside surveille les scripts d'affiliation au niveau de la couche d'exécution dans 100 % des sessions utilisateurs réelles. Il établit une référence de ce que fait normalement chaque script d'affiliation (quels domaines il contacte, quels éléments DOM il lit ou écrit, quelles requêtes réseau il initie) et alerte lorsque le comportement runtime s'écarte de cette référence, sans avoir besoin de bloquer le script ou de rompre la relation d'affiliation.

L'idée clé est qu'un script compromis se comporte différemment. Avant la compromission, le script de l'affilié émet un pixel de suivi vers son propre domaine et définit un cookie. Après la compromission, il contacte un second domaine, modifie un cookie qu'il ne touchait pas auparavant, ou initie une redirection qui n'était pas dans son schéma d'exécution précédent. Ces changements comportementaux sont détectables sans connaître à l'avance qu'une compromission s'est produite.

L'approche de cside pour la surveillance des scripts d'affiliation comprend :

Cartographie complète de la chaîne de chargement : cside cartographie la chaîne complète de chargement des fournisseurs pour chaque script d'affiliation, y compris les scripts enfants et petits-enfants chargés dynamiquement. Si un script d'affiliation est propre mais que l'enfant qu'il charge est malveillant, cside voit l'arborescence complète des dépendances et attribue le comportement à la bonne origine
Inventaire des scripts sur chaque type de page : cside identifie chaque script de première, troisième et quatrième partie qui s'exécute sur chaque page (lobby, dépôt, retrait, inscription) et signale les nouveaux scripts qui apparaissent sans changement correspondant dans le propre déploiement de l'opérateur
Surveillance des appels réseau : lorsqu'un script d'affiliation commence à contacter un domaine qu'il ne contactait pas auparavant, cside fait remonter cela comme un événement de changement nécessitant un examen
Surveillance des écritures DOM : les écritures dans les valeurs de cookies ou dans le stockage lié aux UTM qui sont incohérentes avec le comportement précédent du script sont signalées comme anormales
Détection des redirections : les appels à window.location ou les mutations de l'API de navigation qui ne sont pas initiés par le propre code de l'opérateur sont remontés avec le contexte complet sur le script qui les a initiés

cside a observé plus de 300 000 signaux d'attaque sur les sites surveillés au T1 2025, dont une proportion significative impliquait des changements de comportement de scripts tiers cohérents avec une compromission de la chaîne d'approvisionnement.

L'impact business : perte de revenus, litiges et exposition réglementaire

Réponse rapide : L'impact business des scripts d'affiliation compromis comprend des pertes directes de revenus dues aux redirections de joueurs, des litiges de commissions avec des affiliés légitimes dont les identifiants ont été écrasés, une exposition aux rétrofacturations de joueurs qui ont été redirigés vers des sites de phishing, et une action réglementaire potentielle sous PCI DSS et GDPR pour défaut de contrôle de l'accès des scripts tiers aux flux de paiement.

L'exposition financière est rarement visible dans une seule transaction. Les attaques de redirection suppriment les joueurs au moment de la plus forte intention, généralement juste avant le dépôt. L'opérateur observe des taux d'abandon accrus et une conversion plus faible, qui peuvent être attribués à des problèmes d'expérience utilisateur ou à la qualité de la campagne avant qu'une compromission de script soit envisagée.

La fraude aux commissions via la manipulation UTM n'est souvent découverte que lorsqu'un affilié légitime signale des gains inférieurs aux attentes et initie un litige. À ce stade, la manipulation peut avoir duré des semaines.

L'exposition réglementaire constitue un niveau de risque distinct. Le PCI Security Standards Council exige que tous les scripts s'exécutant sur les pages de paiement soient autorisés et surveillés, conformément à la condition PCI DSS 6.4.3. Un script d'affiliation compromis s'exécutant sur une page de dépôt est une défaillance de conformité directe. Les obligations GDPR au titre de l'article 32 s'appliquent lorsque les données des joueurs sont exposées par la payload du script compromis.

Pour les opérateurs agréés par la UK Gambling Commission ou la Malta Gaming Authority, la posture de sécurité côté client fait de plus en plus partie des évaluations de conformité technique. Démontrer que tous les scripts tiers, y compris les pixels d'affiliation, sont surveillés au niveau de la couche d'exécution devient une attente de base, et non un facteur de différenciation.

Ce que les opérateurs devraient faire maintenant

Le canal d'affiliation n'est pas près de disparaître, et sa surveillance ne devrait pas nécessiter de perturber les relations d'affiliation existantes ni de renégocier des contrats. La question opérationnelle est de savoir si vos outils de sécurité actuels vous offrent une visibilité sur ce que font les scripts d'affiliation lors de l'exécution, et non seulement depuis quels domaines ils se chargent.

Les outils au niveau réseau tels que Cloudflare Page Shield suivent les URL de scripts qui apparaissent sur une page. Ils ne suivent pas ce que font ces scripts une fois qu'ils s'exécutent : s'ils écrasent un cookie, modifient un paramètre UTM, lisent le stockage de session, ou initient une redirection. Les outils conçus à des fins d'audit de conformité échantillonnent généralement un pourcentage de sessions et produisent des rapports périodiques ; ils ne sont pas conçus pour faire remonter un changement de comportement de script dans la première session affectée où il se produit.

cside instrumente chaque session au niveau de la couche d'exécution, établit une référence du comportement des scripts d'affiliation lors du déploiement, et alerte sur les écarts en temps réel. Cela signifie qu'un script d'affiliation compromis — même un qui récupère sa payload depuis un second domaine uniquement dans des conditions spécifiques de joueur — est détecté dans la session où il exécute ce comportement pour la première fois, plutôt que lors de l'exécution du prochain rapport d'audit le mois suivant.

Si vous exploitez une plateforme de casino multi-marques ou en marque blanche avec un suivi d'affiliation actif entre les marques, contactez cside pour comprendre comment la surveillance au niveau de la couche d'exécution peut être déployée sans modification de votre pile d'affiliation.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Les scripts d'affiliation sont compromis lorsque la propre infrastructure de l'affilié est violée et le fichier script est modifié à la source, lorsque le compte CDN de l'affilié est détourné, ou lorsque la société affiliée vend le script à un nouveau propriétaire qui le modifie avec une intention hostile. Le cas Polyfill.js de juin 2024 est l'exemple public le plus clair, affectant plus de 100 000 sites simultanément.

Une CSP peut limiter les domaines autorisés à charger des scripts, mais elle ne protège pas contre une compromission à la source. Si le script d'un affilié est chargé depuis un domaine approuvé et que le contenu de ce domaine est modifié par un attaquant, la CSP autorise le script modifié car le domaine est toujours sur la liste d'autorisation. La CSP est un contrôle de base utile mais n'est pas suffisante à elle seule pour les scénarios d'attaque de chaîne d'approvisionnement.

Les étapes immédiates devraient inclure la suppression du script compromis du conteneur tag manager, la notification du partenaire affilié, et la conservation d'une copie de la payload malveillante pour analyse forensique. Les opérateurs devraient ensuite examiner quels identifiants d'affiliation ont reçu une attribution gonflée pendant la fenêtre de compromission, et examiner les sessions de joueurs pour trouver des preuves d'activité de redirection ou d'exfiltration de données.

Non. cside fonctionne comme une couche d'observabilité sur les propres pages de l'opérateur et surveille ce que font les scripts lors de l'exécution sans nécessiter de modifications des contrats d'affiliation, des configurations de tag manager, ou des implémentations de suivi d'affiliation. Le seul changement est que l'opérateur acquiert une visibilité runtime sur le comportement des scripts qui était auparavant non surveillé.

Oui. Les plateformes en marque blanche partagent généralement des configurations de tag manager entre plusieurs marques, ce qui signifie qu'un seul script d'affiliation compromis peut affecter toutes les marques simultanément. L'infrastructure partagée signifie également qu'une compromission affectant la configuration de suivi d'une marque peut se propager aux autres via des conteneurs partagés ou des bibliothèques communes, multipliant considérablement l'impact business.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture de blog sombre mettant en avant trois risques côté client en APAC : dérive des containers de tags par marché, scripts ciblés géographiquement échappant aux outils d'échantillonnage, et injection de pixels de CDN régional et d'affiliation.

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Visualisation abstraite bleu foncé de connexions réseau traversant une passerelle circulaire

Corriger la gestion des timeouts TLS dans le service Edge de cside

Comment cside a amélioré la fiabilité TLS du service Edge en Rust en sortant le travail de handshake du chemin d'acceptation d'Axum vers des tâches Tokio bornées.

Comment Bloquer ClaudeBot sur Votre Site Web

ClaudeBot explore votre site pour entraîner les modèles Claude d'Anthropic. Voici comment le bloquer via robots.txt et plages d'IP, et ce qui échappe encore au blocage.

Comment Prévenir la Création de Faux Comptes : Pourquoi la Détection au Niveau du Navigateur Capte ce que la Vérification d'E-mail Manque

La vérification d'e-mail confirme qu'une boîte mail existe. Elle ne voit pas le navigateur. Voici pourquoi la détection au niveau du navigateur capte les faux comptes qu'elle manque.

Attaque de la chaîne d'approvisionnement Polyfill.io : chronologie complète, analyse et leçons (2024–2026)

Une chronologie complète et sourcée de l'attaque Polyfill.io, de la vente du domaine en 2024 aux sanctions contre Funnull en 2025, et comment la supprimer aujourd'hui.

Couverture sombre du blog cside avec fond de pixels bleus et trois coches : pourquoi les règles de vélocité ratent les agents de test de cartes IA, les signaux navigateur qui les révèlent et comment bloquer le paiement avant le checkout

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.