Blog

Détournement d'affiliation et trafic hijacking : comment les scripts de fraude redirigent les utilisateurs

Le détournement d'affiliation est un détournement de trafic utilisé pour la fraude aux commissions : des scripts côté navigateur réacheminent les clics via des liens affiliés contrôlés par un attaquant.

Jul 10, 2025 • 6 min read

Himanshu Anand Software Engineer

bannière de cet article sur fond noir et bleu

Vous avez déjà cliqué sur un lien et atterri quelque part d'inattendu ? Ou peut-être avez-vous remarqué qu'un site web se comportait étrangement, vous redirigeant vers d'autres sites sans que vous le demandiez ? Cela pourrait être le signe d'un détournement de trafic.

Voyons ce que cela signifie, comment ça fonctionne, et comment vous en protéger.

Mise à jour 2026 : nous avons actualisé ce guide pour distinguer le détournement d'affiliation du détournement de trafic plus large et montrer pourquoi des redirections côté navigateur peuvent se produire même lorsque le serveur et la page de paiement sont propres.

Qu'est-ce que le détournement d'affiliation ?

Le détournement d'affiliation est une forme de détournement de trafic dans laquelle du JavaScript injecté modifie le clic, le lien sortant ou le parcours de session d'un utilisateur afin qu'il passe par l'URL affiliée d'un attaquant avant d'atteindre la véritable destination. L'utilisateur peut quand même arriver sur le site attendu, mais l'attribution et le crédit de commission passent à l'attaquant. Comme la redirection est déclenchée dans le navigateur, les journaux serveur, les WAF et les contrôles centrés uniquement sur le paiement voient souvent une requête normale pendant que le vol de revenus se produit entre le clic et la destination.

Qu'est-ce que le détournement de trafic ?

Le détournement de trafic consiste à modifier secrètement la destination des liens d'un site web, afin de rediriger les visiteurs vers d'autres sites — souvent à des fins malveillantes. C'est néfaste pour les utilisateurs (qui se font piéger ou exposer à des dangers) comme pour les propriétaires de sites (qui perdent confiance et revenus).

Nous avons conditionné les utilisateurs à considérer comme normal le fait que, lorsqu'ils cliquent sur « Payer », l'écran clignote et une toute nouvelle page se charge depuis un domaine complètement différent.

Mais c'est un angle mort majeur, et les attaquants le savent.

Ainsi, si vous protégez le formulaire de paiement lui-même — en validant les scripts de cette page avec cside, par exemple — il est tout à fait logique pour un acteur malveillant de détourner plutôt le clic qui amène les utilisateurs jusqu'à ce formulaire.

Nous approfondissons cette tactique dans cette mise à jour PCI DSS de janvier destinée aux entreprises SAQ A.

Cette tactique spécifique est connue sous le nom de clickjacking (une simple variante du détournement de trafic), et elle est couramment utilisée pour usurper des parcours de confiance.

Les types de détournement en un coup d'œil

Terme	De quoi il s'agit	Qui en pâtit
Détournement de trafic	Un code modifie secrètement la destination vers laquelle les liens ou la navigation d'un site envoient les visiteurs	Les utilisateurs et les propriétaires de sites
Clickjacking	Trompe un utilisateur en lui faisant cliquer sur autre chose que ce qu'il voit, souvent via des superpositions invisibles	Les utilisateurs
Détournement d'affiliation (détournement de liens)	Réachemine un clic ou une session via le lien affilié d'un attaquant afin de voler une commission	Les programmes d'affiliation et les propriétaires de sites
Redirection malveillante	Envoie un visiteur vers une page d'arnaque ou de logiciel malveillant en plein parcours	Les utilisateurs et les propriétaires de sites

Comment fonctionne la fraude aux affiliés ?

Le détournement d'affiliation en est la forme la plus courante : un code malveillant force le clic ou la session d'un utilisateur à passer par le lien affilié d'un attaquant avant le chargement de la véritable destination, de sorte que l'attaquant perçoit une commission que le visiteur n'avait jamais l'intention de générer. Plus largement, la fraude aux affiliés consiste à abuser des programmes d'affiliation (qui rémunèrent les clics ou les ventes) en forçant les utilisateurs à passer par des liens spéciaux, même si ces derniers n'avaient aucune intention de s'y rendre. C'est injuste aussi bien pour le vrai site web que pour les entreprises qui gèrent ces programmes d'affiliation.

Une tactique courante est le détournement de liens, où un script redirige l'utilisateur via le lien affilié de l'attaquant avant d'atteindre la destination finale. Dans les cas les plus sophistiqués, les attaquants insèrent des liens affiliés de manière dynamique uniquement pour certains utilisateurs à forte valeur, ou en fonction de signaux du navigateur, ce qui rend la détection plus difficile.

Comment ces attaques se produisent-elles ? (avec des exemples de code simples)

Les attaquants utilisent du JavaScript caché sur les sites web.

Voici comment cela fonctionne, étape par étape :

1. Détecter votre navigateur

Le script commence par vérifier quel navigateur vous utilisez :

// Vérifie si vous utilisez Chrome, Firefox, Safari, etc.  
function getBrowser() {  
  // ...détecte le type de navigateur...  
}

2. Remplacer les liens de téléchargement

Il trouve tous les liens de téléchargement et modifie ce qui se passe lorsque vous cliquez dessus :

// Trouve tous les liens de téléchargement et modifie leur comportement  
let links = document.querySelectorAll('a.dlink');  
for (let link of links) {  
  link.setAttribute('href', 'javascript:void(0);');  
  link.addEventListener('click', function () {  
    // Au lieu de télécharger, vous êtes redirigé  
    window.open('https://malicious-redirect[.]com', "_blank");  
  });  
}

3. Suivre et limiter les redirections

Pour ne pas être trop visible, le script utilise des cookies pour limiter la fréquence à laquelle vous êtes redirigé :

function hasCookie() {  
  return document.cookie.includes('wpdlInterval=1');  
}

Qu'est-ce que cela signifie pour vous ?

Pour les utilisateurs : Vous pourriez vous retrouver sur des sites frauduleux ou dangereux, ou votre ordinateur pourrait être infecté.
Pour les propriétaires de sites : Vos visiteurs perdent confiance, votre réputation en pâtit, vous risquez de violer des exigences de conformité, et vous perdez des revenus réels.

Comment détecter et prévenir ces attaques ?

Pour les utilisateurs :

Soyez prudent avec les liens de téléchargement, en particulier sur des sites que vous ne connaissez pas.
Utilisez une extension de navigateur ou un bloqueur de publicités qui avertit en cas de redirections suspectes.
Maintenez votre navigateur et votre antivirus à jour.

Pour les propriétaires de sites :

Analysez régulièrement votre site à la recherche de scripts inconnus.
Utilisez des plugins de sécurité et maintenez vos logiciels à jour.
Configurez des alertes pour les schémas de trafic inhabituels.

Conclusion

Le détournement de trafic et la fraude aux affiliés sont des menaces bien réelles. En comprenant comment ces attaques fonctionnent, vous pouvez mieux vous protéger, ainsi que votre site web. Restez vigilant et faites toujours preuve de prudence face aux liens inconnus.

Pour les propriétaires de sites, la défense repose sur la visibilité au niveau du navigateur. Le code de détournement d'affiliation et de redirection ne se révèle qu'à l'exécution dans le navigateur ; c'est donc une surveillance de sécurité côté client — qui inventorie chaque script et alerte sur les modifications non autorisées des liens sortants — qui parvient à le détecter. cside signale également les agents IA et bots qui automatisent de plus en plus cet abus.

Inscrivez-vous pour commencer ou réserver une démo.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le détournement d'affiliation est une forme de fraude aux affiliés où un code malveillant présent sur un site force le clic ou la session d'un utilisateur à passer par le lien affilié d'un attaquant avant de l'envoyer vers la véritable destination, de sorte que l'attaquant gagne une commission que l'utilisateur n'avait jamais l'intention de générer. Il s'exécute généralement sous la forme de JavaScript injecté qui réécrit les liens de téléchargement ou les liens sortants, parfois uniquement pour certains utilisateurs ou certains signaux du navigateur afin d'éviter d'être détecté.

Oui. Le détournement d'affiliation peut venir d'un script tiers compromis, d'une entrée non autorisée dans un gestionnaire de balises ou d'une extension de navigateur malveillante exécutée sur l'appareil de l'utilisateur. Dans ces cas, le serveur peut sembler propre pendant que JavaScript dans le navigateur réécrit des liens, ouvre des redirections affiliées ou modifie des cookies d'attribution.

Le clickjacking trompe un utilisateur en lui faisant cliquer sur quelque chose de différent de ce qu'il voit, souvent à l'aide de superpositions invisibles. Le détournement d'affiliation réachemine spécifiquement le clic ou la navigation via le lien affilié d'un attaquant afin de voler des commissions. Le clickjacking est une technique ; le détournement d'affiliation est l'un des résultats frauduleux que des scripts de redirection injectés peuvent produire.

Un script injecté repère les liens sortants ou de téléchargement et les réécrit, ou ajoute un écouteur de clic qui ouvre d'abord l'URL affiliée de l'attaquant. Il utilise souvent des cookies pour limiter la fréquence à laquelle il se déclenche et des vérifications du navigateur pour ne cibler que certains visiteurs, ce qui rend le comportement difficile à reproduire et quasiment invisible pour les outils côté serveur.

Comme le code malveillant s'exécute dans le navigateur, les contrôles côté serveur le manquent. Détectez-le grâce à une surveillance côté client qui inventorie chaque script, signale les modifications non autorisées des liens sortants ou de téléchargement, et alerte lorsque du code redirige les utilisateurs vers des domaines non approuvés. cside surveille les scripts à l'exécution dans le navigateur afin de détecter le code de redirection et de détournement d'affiliation injecté avant qu'il ne nuise aux utilisateurs ou aux revenus.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.