DMCA bombing : Google attaque des internautes se faisant passer pour des stars afin de déréférencer 620 000 URL

DMCA bombing : Google attaque des internautes se faisant passer pour des stars afin de déréférencer 620 000 URL

J'ai voulu faire top un, avec l'aide de « copains »

Avatar de l'auteur

Martin Clavey

Publié dansDroit

17/11/2023
18
DMCA bombing : Google attaque des internautes se faisant passer pour des stars afin de déréférencer 620 000 URL

Selon Google, un groupe d'internautes mené par deux Vietnamiens a abusé du signalement de violation de Copyright pour déréférencer les pages de concurrents, en ciblant plus de 620 000 URL via au moins 65 comptes Google créés pour l'occasion.

Lundi 13 novembre, Google a porté plainte [PDF] auprès de la Cour fédérale du District nord de Californie contre une vingtaine de personnes menées par deux Vietnamiens, explique ArsTechnica. La société les accuse d'avoir manipulé son système de signalement de violation de Copyright pour influencer sur le référencement de pages web de leurs concurrents et s'assurer d’une meilleure audience.

Les requêtes DMCA sont prévues, suite au Digital Millennium Copyright Act (d'où le nom DMCA) américain voté en 1998, pour signaler aux hébergeurs de contenus des violations du Copyright. C'est, par exemple, suite à une de ces requêtes que GitHub avait retiré le code source de Youtube-dl de sa plateforme avant de le remettre en ligne en faisant son mea culpa et en expliquant vouloir « mieux protéger les développeurs vis-à-vis du DMCA ».

Ici, Google se rend compte que les requêtes peuvent être utilisées pour des questions qui n'ont rien à voir avec le Copyright.

Dans sa plainte, L'entreprise explique que « les accusés ont détourné la procédure de notification et de retrait prévue par la loi sur le Copyright et l'ont utilisée non pas dans le but prévu de retirer rapidement des contenus illicites, mais plutôt pour faire retirer les contenus légitimes de leurs concurrents sur la base de fausses allégations. Le système illégal et frauduleux des défendeurs nuit aux consommateurs, aux entreprises tierces et à Google, étouffe la concurrence et menace de ternir la marque de confiance de Google ».

Mais aussi, elle réagit en expliquant dans sa plainte que ces personnes se sont fait passer pour des représentants de marques ou des personnes connues.

Elon Musk, Taylor Swift, LeVar Burton, Kanye West ou encore Amazon

Google accuse cette vingtaine de personnes de travailler sous la direction et/ou de concert avec les Vietnamiens Nguyen Van Duc et Pham Van Thien « pour préparer et soumettre à Google des milliers de demandes de retrait frauduleuses ». Pour l'entreprise, ils « semblent être liés à des sites web vendant des t-shirts imprimés, et leur comportement illégal vise à éliminer les vendeurs tiers concurrents des résultats de recherche de Google ».

Mais ce qui est plus particulier, c'est que, toujours selon la plainte de Google, la vingtaine de personnes attaquées aurait tenté de « dissimuler leur identité en fournissant de faux noms dans toutes les demandes de retrait ». Ils se faisaient ainsi passer soit pour des représentants de grandes entreprises comme Amazon, Twitter, NBC News, soit pour des équipes sportives comme les Philadelphia Eagles, les Los Angeles Lakers ou les San Diego Padres, soit pour des personnalités connues comme Elon Musk, Taylor Swift, LeVar Burton, Kanye West ou encore pour des groupes de musique comme Blink 182.

« Par exemple, les accusés ont faussement prétendu représenter Amazon et ont allégué la contrefaçon d'un t-shirt portant le texte "In 2006 Beyonce Said To The Left, To The Left And My Political Compass Was Born" (https://bateesa.com/product/coe-shirtsthtgohard-in-2006-beyonce-said-to-the-left-to-the-left-hoodie/) » explique encore Google.

Selon l'entreprise, « à ce jour, le stratagème des accusés a obligé Google à enquêter et à répondre à des demandes de retrait frauduleuses ciblant plus de 117 000 URL de sites web tiers, ainsi qu'à des demandes de retrait ciblant plus d'un demi-million d'URL tiers supplémentaires, qui sont probablement frauduleuses d'après les enquêtes préliminaires ». Ces requêtes ont été créées en utilisant au moins 65 comptes Gmail différents.

Google explique que les fraudeurs utiliseraient aussi des noms de fausses entreprises pour se prévaloir de Copyright dont ils n'ont pas les droits.

Une vidéo YouTube pour promouvoir la technique

La plainte affirme que « les accusés ne sont pas seulement conscients du caractère abusif et illégal de leur stratagème – ils en sont fiers ». En effet, Google a trouvé une vidéo postée en novembre 2022 sur YouTube (sic) en lien avec le compte Gmail de Nguyen Van Duc intitulée « 2022 SEO 3 minutes to take Top 1 google by Fake DMCA complaints » décrivant le stratagème.

Pour l'un des cas les plus flagrants, Google estime qu'une victime particulièrement ciblée en entre août et décembre 2022 a subi une perte de revenus de plus de 5 millions de dollars, 35 000 de ces URL ayant été ciblées. Comme la plupart des cibles, ce concurrent est aussi client de Google Search Ads.

L'entreprise affirme avoir perdu, de son côté, de  2 à 3 millions de dollars pour ce seul cas avant d'avoir été en mesure de réintégrer toutes ces URL. Google reste par contre flou sur plusieurs points : pourquoi la plainte n’est déposée que maintenant, quand les faits ont-ils été découverts et que c’est-il passé en 2023 ? 

18
Avatar de l'auteur

Écrit par Martin Clavey

Tiens, en parlant de ça :

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

C’est comme CVSS 5.0 mais en moins bien

18:17 Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Géotechnopolitique

16:37 Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Il faudrait déjà généraliser la fibre

16:03 HardWeb 19

Sommaire de l'article

Introduction

Elon Musk, Taylor Swift, LeVar Burton, Kanye West ou encore Amazon

Une vidéo YouTube pour promouvoir la technique

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 19
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 7
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 7
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (18)


pamputt Abonné
Il y a 2 semaines

L’usurpation d’identité, ça c’est illégal mais envoyé des fausses demandes DMCA, c’est vraiment illégal. Certes, ça embête Google mais ça me semble juste contrevenir aux règles d’utilisation de Google.


alex.d. Abonné
Il y a 2 semaines

Dénonciation calomnieuse, concurrence déloyale. T’inquiète pas, il y a plein de motifs pour lesquels c’est illégal en plus d’être contraire aux règles d’utilisation de Google.


DantonQ-Robespierre Abonné
Il y a 2 semaines

Du coup je me demande si un système de ce genre n’a pas été utilisé par le passé pour faire tomber des hébergeurs de fichiers tels que uploaded



Ce que je trouve particulièrement déséquilibré et arbitraire, c’est qu’uploaded était loin, très loin d’être le seul sur son hem… “marché”. Ses concurrents, qui s’en mettent abondamment et également plein les poches sur le DDL/streaming illégal à l’heure où je vous parle, continuent allègrement d’exister comme si de rien n’était, youpiii !



Donc on peut légitimement se demander : pourquoi ce site et pas les autres ? Est-ce que ses concurrents ont subrepticement manoeuvré en coulisses à coup de vrais-faux DMCAs pour hem… “faciliter” cette fermeture définitive ?



Même chose pour uptobox.


pamputt Abonné
Il y a 2 semaines

En regardant la vidéo Youtube, ça montre surtout que Google accepte ces demandes de déréférencements les yeux fermés.


k0rnmuz3 Abonné
Il y a 2 semaines

Parce qu’ils ont une obligation de réponse rapide. Du coup c’est acceptation quasi automatisée (si ce n’est complètement automatisée) puis la personne ciblée qui doit faire un recours pour lever le DMCA s’ils estiment que ce n’est pas adapté.



Cette obligation de moyen qui a été demandée aux hébergeurs allaient forcément mener à des abus, c’était parfaitement prévisible.


DantonQ-Robespierre Abonné
Il y a 2 semaines

(reply:2165895:pamputt)




Ah ouais effectivement, ça a l’air facile comme tout !



Je crois que c’est comme toutes les appli web automatisées sans personne pour vraiment vérifier / contrôler, elles peuvent facilement être abusées par n’importe qui…



EDIT: Je ne crois pas que suite à cet abus, il vont embaucher qui que ce soit. Il vont mettre une AI, épicétout… :craint:


eglyn Abonné
Il y a 2 semaines

En même temps si Google ne vérifie pas…
je ne vois pas en quoi c’est illégal d’envoyer n’importe quoi comme demande, c’est plutôt à Google de faire le tri…


Thorgalix_21 Abonné
Il y a 2 semaines

eglyn a dit:


En même temps si Google ne vérifie pas… je ne vois pas en quoi c’est illégal d’envoyer n’importe quoi comme demande, c’est plutôt à Google de faire le tri…




C’est illégal de rentrer dans une propriété privée sans y avoir été invité, que la porte soit verrouillée ou pas …


eglyn Abonné
Il y a 2 semaines

C’est très différent là quand même, en gros, tu envois un signalement, normalement, la personne qui reçoit le signalement vérifie et sanctionne ou pas le signalé.



En gros c’est comme si quelqu’un portait plainte contre toi, et qu’on te mette automatiquement en prison sans aucune enquête / jugement, et que le tord revienne à la personne qui a porté plainte…


alex.d. Abonné
Il y a 2 semaines

eglyn a dit:


En gros c’est comme si quelqu’un portait plainte contre toi, et qu’on te mette automatiquement en prison sans aucune enquête / jugement, et que le tord revienne à la personne qui a porté plainte…




Mais celui qui a porté plainte contre toi a quand même commis l’infraction de dénonciation calomnieuse.


potn Abonné
Il y a 2 semaines

Ce qui m’étonne, c’est qu’il n’y ai pas un système de “signalants de confiance” pour lesquels le signalement serait traité à posteriori, et pour les cas de signalement “normaux” on fait une vérification manuelle à priori.


B1gBr0ther Abonné
Il y a 2 semaines

est-ce que l’argent gagné a servi à racheter des actions Google au moins ?


eliumnick Abonné
Il y a 2 semaines

menace de ternir la marque de confiance de Google




Google le fait très bien lui même ca ^^


Winderly Abonné
Il y a 2 semaines

En lisant le titre j’ai cru que Google voulait déréférencer 620 000 URL.
Du coup j’apprend l’expression “DMCA bombing”.


Vader_MIB Abonné
Il y a 2 semaines

Nota Bene (créateur de contenu sur l’histoire, super bien) avait fait une vidéo il y a un moment expliquant les galères sur les musiques qu’il met en fond de ses vidéos. Alors qu’il paye les droits, des requêtes DMCA sont parfois envoyées et c’est lui qui doit galérer, parfois sans succès, pour récupérer ses droits…
Le système est vraiment pourri.


hwti Abonné
Il y a 1 semaine

Il y a aussi les claims abusifs, par exemple pour 5s d’audio ou de vidéo, qui sont permises par le doit de citation en France (et le faire use aux USA).
Mais Google a tout intérêt à rester en bons termes avec les ayants droits, et faire des vérifications ça coûte cher…



Et parfois des chaînes TV diffusent des extraits de vidéos YouTube (souvent sans demander l’autorisation), ensuite le robot considère que ça leur appartient et vient sanctionner l’auteur original.


ericse Abonné
Il y a 2 semaines

eglyn a dit:


En même temps si Google ne vérifie pas… je ne vois pas en quoi c’est illégal d’envoyer n’importe quoi comme demande, c’est plutôt à Google de faire le tri…




C’est la loi qui est comme cela : Google a l’obligation d’agir vite, mais aucune obligation d’agir juste.



C’est un peu le principe de toute “justice” automatisée, perso je n’aime pas trop, mais beaucoup de gouvernements (dont le notre) en raffolent.


hwti Abonné
Il y a 1 semaine

ericse a dit:


C’est la loi qui est comme cela : Google a l’obligation d’agir vite, mais aucune obligation d’agir juste.



C’est un peu le principe de toute “justice” automatisée, perso je n’aime pas trop, mais beaucoup de gouvernements (dont le notre) en raffolent.




C’est tellement systématique que je ne peux que voire que le poids des lobbies derrière : un gros demande, on force un autre gros à agir mais d’une façon qui ne lui coutera pas trop d’argent, quitte à léser plein de petits.