Je l’ai dit plus tôt dans l’année, je souhaiterai [monétiser un peu mon blog](/blog/2024/02/14/l-avenir-du-blog/), ne serait que pour payer une fraction de [ce qu’il me coûte](/a-propos/).
Parmi les options à ma disposition, la plus classique : les liens affiliés.
Un lien affilié est un URL qui contient un `tag`, un identifiant, qui permet au site marchand ciblé de savoir qui lui envoie un potentiel futur client.
Quand vous cliquez sur un de ces liens depuis mon blog, le site marchand sait que vous venez de chez moi, et c’est comme ça que je peux percevoir une commission sur une vente éventuelle.
- Respect de mes lecteurs : pas de cookie, pas d’historique de navigation. Rien, à part cet identifiant qui m’est propre et qui ne concerne pas mes lecteurs, n’est transmis au site marchand ou à une régie. Et, je ne sais rien de ce que vous avez fait ensuite sur le site marchand.
- Simplicité : un `tag` à ajouter au lien “anonyme” dans les cas les plus simples. Autrement, quelques appels API à la régie, et voilà.
- Compatible avec mes choix techniques : pas de javascript requis, pas de cookie à déposer, c’est totalement transparent.
Ce dernier point n’est pas spécifique aux régies : [Omlet](https://www.omlet.fr/) propose une affiliation directe, ça ne m’a pas empêché de publier [un article](/blog/2024/03/04/mon-poulailler-omlet/) sur leurs produits que j’utilise quotidiennement.
Mais, je n’ai pas publié cet article dans le cadre d’une vraie campagne publicitaire organisée par l’entreprise.
C’est là que les régies se révèlent intéressantes puisque je suis régulièrement notifié de la disponibilité d’une campagne pour l’un de mes annonceurs.
Le principal inconvénient des régies, c’est qu’elles font appel à des gestionnaires de réputation.
Et, là, on entre en pleine dystopie, mêlant l’incompétence, la mauvaise foi, la mauvaise volonté, un impact sur la réputation publique et sur le *business* en général.
Évidemment, à mon échelle, ça représente une goutte d’eau dans l’océan, mais que je vous conte mon histoire, et vous jugerez de la portée que cela peut avoir pour de “réelles” entreprises.
Compte tenu de la quantité de trafic réseau généré par des bots, des sites créés juste pour se faire de l’argent, des sites pas forcément très légaux, des sites qui diffusent des *malwares*, les gestionnaires de réputation sont un mal nécessaire : ils analysent les sites, et donnent leur feu vert (ou pas), notamment aux régies, pour savoir si un éditeur qui s’est inscrit sur leur plateforme est *clean* ou au contraire, s’il représente une *menace pour Internet*.
Dans l’optique d’obtenir une affiliation avec [LEGO](https://www.lego.com/fr-fr) (afin de monétiser les pages présentant [ma collection](/collections/lego/jurassic-world/)), je me suis inscrit à la régie [Rakuten](https://rakutenadvertising.com/fr-fr/).
Tout s’est bien passé, j’ai eu un contact avec un véritable humain très sympathique chez Rakuten et chez LEGO, bref, tout va bien.
Il n’y a eu aucun délais de notification, aucun temps qui m’aurait permis de trouver une solution à un problème dont j’ignorais l’existence et la raison.
Leur email mentionne que je pourrais avoir enfreint leurs règles, détaillées dans [ce PDF](https://go.rakutenadvertising.com/hubfs/Affiliate-Network-Policies.pdf), mais je n’y vois absolument rien qui puisse m’être reproché.
En soi, mon blog, un site statique, pour ainsi dire “minimaliste”, qui représente une “menace critique pour Internet”, c’est assez drôle, surtout considérant tout ce que je publie sur la question des menaces pour Internet…
Mais, une fois passé l’ironie, je m’intéresse de plus près au contenu du rapport : après tout, il est censé y avoir au moins un fichier qui pose un problème.
Je contacte Rakuten dans la foulée pour leur expliquer la situation, que c’est juste un faux positif, en essayant de leur faire comprendre à quel point c’est ridicule.
Suite à cet envoi sur le coup de la frustration, je comprends que ce n’est pas eux qui vont résoudre le problème : tant que Quttera ne supprimera pas son avertissement, je ne pourrais pas faire de business avec Rakuten.
C’est logique : ils ont justement des gestionnaires de réputation pour ne pas réactiver des comptes potentiellement réellement malveillants qui viennent avec des yeux doux assurer qu’ils sont clean.
Mon prochain email va donc à Quttera, à qui j’explique calmement — cette fois — que leur algorithme a fait de la merde, et que ça nuit à mon business et à ma réputation sur Internet.
Ils me répondent trois heures plus tard, en s’excusant du tort occasionné et en m’assurant que le problème est corrigé, et que la page du rapport sera mise à jour dans les heures qui viennent.
J’ai attendu 24 heures avant de renvoyer un email à Quttera, qui me dit que je vois un rapport obsolète, et que le vrai rapport se trouve à l’adresse suivante : <https://quttera.com/detailed_report/richard-dern.fr>.
Ils ajoutent même que VirusTotal (que je connaissais, contrairement à Quttera) montre aussi que mon site est clean : <https://www.virustotal.com/gui/url/740a3d92e5ff768d4bedca052aedc8f1447d0b6d751480265b17a9ec8880e109>.
Le problème, c’est que Rakuten s’en bat les steaks de <https://quttera.com/detailed_report/richard-dern.fr> : c’est le rapport de <https://quttera.com/detailed_report/www.richard-dern.fr> qui a suscité la fermeture de mon compte (notez le `www`).
Et, à cette date, ce rapport affiche toujours que mon site représente une “menace critique”.
À nouveau, trois heures plus tard, ils me renvoient un email pour me dire que le problème a été corrigé, et que le rapport sera mis à jour dans les heures qui viennent.
> Again, 24hrs later you (falsely) claimed (twice) to have fixed the issue, and 3 days after my initial message, I am still out of business because of you, and even worse, you still propagate the false idea that my website contains malware and you still ruin my online reputation with false assertions.
>
> This situation cannot be tolerated anymore. If, by Monday afternoon, I still see that the report at <https://quttera.com/detailed_report/www.richard-dern.fr> doesn’t reflect that my website is 100% clean (which it is), I will do whatever I need to get a compensation for my business and reputation loss.
> Une fois encore, 24 heures après que vous avez affirmé (faussement et par deux fois) avoir corrigé le problème, et 3 jours après mon message initial, je ne peux toujours pas faire affaire à cause de vous, et encore pire, vous propagez toujours l’idée fausse que mon site contient un logiciel malveillant et vous continuez de nuire à ma réputation avec de fausses allégations.
> Cette situation ne saurait plus être tolérée. Si, d’ici lundi après-midi, je vois toujours que le rapport situé à <https://quttera.com/detailed_report/www.richard-dern.fr> ne montre pas que mon site est 100% clean (ce qu’il est), je ferai ce que j’ai à faire pour obtenir une compensation pour ma perte de profit et de réputation.
Ensuite, je suis un grain de sable sur Internet. En revanche, j’imagine que ça peut arriver à de plus gros poissons qui ont de véritables moyens juridiques et financiers pour les supporter.
Des gens qui se font peut-être plusieurs dizaines de milliers d’euros par mois avec leur site, qui se feraient couper les vivres de manière totalement erronée, juste parce qu’un algorithme a été codé avec le cul.
Ça dénote la paranoïa qui règne actuellement sur Internet (et avec raison), mais aussi que même ceux qui font du “contrôle qualité” peuvent mal le faire.
On a évidemment besoin d’outils d’alerte, mais on a aussi besoin de temporiser : j’aurai pu recevoir une notification de Rakuten me prévenant que si, d’ici à 24 heures, Quttera me signalait toujours comme étant un site malveillant, ils fermeraient mon compte.
Là, c’était sans sommation.
Même si je comprends que l’idée est aussi de protéger les annonceurs, de ne pas les associer avec des éditeurs “malveillants”.
Je me suis un peu renseigné sur le business de Quttera, et je dois dire que j’ai été assez désagréablement surpris.
Comme tant d’autres choses dans le monde professionnel, c’est un business fondé sur la peur.
C’est un cas d’école : ça fait partie des choses apprises dans les écoles de commerce.
Et, c’est connu de tous : la peur fait vendre.
En l’occurrence, l’accroche de Quttera, c’est que si tu as un “logiciel malveillant sur ton site”, ils peuvent le supprimer moyennant 250$.
Ce qui suggère qu’ils puissent intervenir à distance sur les sources de ton site.
La seule façon qui me paraît faisable, c’est qu’ils te demandent d’injecter un javascript qui va analyser et autoriser ou refuser du code existant à s’exécuter.
C’est la définition-même du malware, sauf que l’on te fait payer pour te l’injecter.
Le parallèle avec l’industrie pharmaceutique américaine est saisissant.
Et, encore, je ne me serais pas autant intéressé à ce qu’ils font si j’avais trouvé, quelque part sur leur site, la possibilité de signaler un faux positif.
Mais, non : s’ils déclarent un site comme étant une menace pour Internet, tu n’as, a priori, pas le choix que de payer 250$ pour qu’ils interviennent.
Heureusement qu’il m’a été possible de les contacter directement par email : sans ça, mon compte chez Rakuten serait toujours bloqué, je n’aurais toujours pas de liens affiliés sur mon site, et ma réputation serait toujours entachée.
Quttera fait partie d’une myriade d’entreprises qui font de l’analyse et de la prévention de sites malveillants sur Internet.
Et, il est fort peu probable que Rakuten soit leur seul client.
En outre, il peut y avoir des intermédiaires autres qui font appel à Quttera, des gens que je ne connais pas, mais pour qui mon site représente une “menace critique”.
Au final, c’est ça le plus important pour moi à l’heure actuelle : j’ai probablement perdu 0 euros en deux semaines tellement je suis petit.
Ma réputation, par contre, a infiniment plus de valeur pour moi, aujourd’hui, que la valeur commerciale de mon site.
Et, je trouve intolérable que quelqu’un, dans mon dos, puisse “dire du mal de moi” sans que je puisse y faire quoique ce soit, sans que je puisse m’en défendre en amont.
Surtout quand c’est à cause d’un outil mal foutu, et qu’il y a de la mauvaise volonté de corriger le problème.
Je conclurai en disant que le cœur du problème vient assurément de l’industrialisation.
Quand tout le monde utilise Wordpress, des Google Tag Manager et autres *snippets*, et quelques librairies javascript connues, en gros tant qu’on “reste dans les clous”, on n’a pas trop de soucis à se faire.
Mais, si l’on s’amuse à faire un peu d’artisanal, ça paraît louche assez vite en fin de compte.
Il n’y a pas de javascript sur mon site, donc il doit forcément se planquer dans une feuille de style et il est forcément malveillant.
Une pierre de plus à ajouter à l’édifice du nivellement par le bas ?