Le big hold up des faux streams

Les chiffres du CNM sur les faux streams ne montrent que la face émergée de l'iceberg. La réalité de la fraude est bien plus profonde. Enquête sur les bas fonds de la manipulation des écoutes.

Le streaming musical est une machine à générer des liquidités facile à détourner, qui ne pouvait pas laisser les pirates indifférents. C’est ce qu’on découvre un peu benoîtement à la lecture de l‘étude du Centre national de la musique (CNM) sur la manipulation des écoutes en ligne parue le 17 janvier 2023

¹

. Le constat dressé par le CNM n’est pas des plus alarmants - avec seulement 1 à 3 % de faux streams signalés par les plateformes participantes -, mais il met toute la filière musicale en émoi.

Et pour cause, puisque ces 1 à 3 % de faux streams détectés ne sont que la pointe émergée de l’iceberg. “Il s’agit uniquement des comportements anormaux détectés par les plateformes et non de la réalité effective des manipulations de streams, qui est nécessairement supérieure”, reconnaît le Syndicat national de l’édition phonographique (SNEP) dans un communiqué

²

. “Si les chiffres paraissent faibles en première lecture par rapport aux 7 % qui circulent dans les médias, il faut noter que la fraude est très difficilement identifiable (toutes les formes ne le sont pas) et les méthodes de détection en constante évolution”, relèvent de leur côté, dans un communiqué de presse commun, la Fédération nationale des labels indépendants (Félin) et le Syndicat des musiques actuelles (SMA)

³

.

“Difficile de dire quelle est l’ampleur réelle de la fraude, car aucune plateforme ne peut prétendre filtrer 100 % des ‘fake streams’”, confirme pour sa part Ludovic Pouilly, vice-président en charge des relations avec les labels chez Deezer, en réponse aux questions de l’agence de presse Newstank

⁴

. Selon lui, l’étude du CNM permet malgré tout “de dédramatiser le phénomène. Car jusqu’ici personne ne voulait en parler. […] Elle apporte donc de la transparence et évite que l’on dise n’importe quoi sur [son] ampleur”.

Le gendarme et le voleur

Pour prendre la mesure réelle de la fraude, encore faut-il évaluer la partie immergée de l’iceberg, c’est à dire le volume réel de faux streams non détectés, qui passent entre les mailles des filets lancés au petit bonheur la chance par les plateformes. “Les plateformes interrogées dans le cadre de l’étude indiquent disposer des ressources technologiques nécessaires pour identifier la fraude. Certaines sont plus actives sur le sujet que d’autres. Quelques distributeurs ont quant à eux développé des dispositifs d’alerte pour détecter des comportements anormaux sur leur catalogue”, indique le CNM.

Mais pour l’heure, ces moyens de détection, qui sont essentiellement génériques - il s’agit d’algorithmes permettant de détecter des comportements inhabituels ou suspicieux ; ou l’évolution anormale voire inconhérente de certains indicateurs -, restent très embryonnaires, disparates, peu documentés et certainement perfectibles. Deezer, qui utilise depuis un an un nouveau système de détection basé sur de l’apprentissage machine, a vu le nombre de faux streams détectés multiplié par trois depuis, confie Ludovic Pouilly à Newstank, et le nombre d’utilisateurs concernés par 4,5. C’est ce qui explique, probablement, que le taux de faux streams détectés atteigne 2,6 % chez Deezer dans l’étude du CNM, contre 1,6 % chez Qobuz, et seulement 1,1 % chez Spotify, qui est pourtant la plateforme de prédilection des pirates.

“Entre plateformes et fraudeurs, la course à l’armement est permanente. Nous développons des algorithmes qui vont identifier des “patterns” (ou schémas de comportement caractéristiques, comme le fait d’écouter en boucle le même titre pendant 31 secondes 24h/24, ndr). Ensuite, les fraudeurs vont être plus malins et trouver un moyen de contourner les algorithmes”, confie Thomas Bouadca, directeur Data Science chez Deezer, sur le plateau de la chaîne Youtube Monte le son !

⁵

.

De plus en plus de bots (robots logiciels générant des faux streams) simulent le comportement humain pour déjouer la détection algorithmique - ce qui est susceptible de générer un plus grand nombre de “faux positifs”, dont certains artistes ont déjà fait les frais

⁶

. On peut s’attendre à assister un jour, en la matière, à une bataille rangée entre intelligences artificielles. Dans ce type d’activités criminelles, puisqu’il faut bien qualifier la fraude aux streams comme telle, les voleurs ont toujours un temps d’avance sur les gendarmes. Comme en matière de piratage informatique, ou encore de trafic de drogues.

Panier percé

Certains indicateurs de la lutte contre le trafic de drogues à l’international peuvent donner une idée du rapport de force susceptible de s’installer dans la durée. Selon l’ONU, les saisies de cocaîne ont représenté 42 % de la production mondiale en 2018

⁷

. En se basant sur un taux similaire de détection des faux streams par les algorithmes des plateformes, la part de fraude non détectée se situerait, au delà des 1 à 3 % de faux streams détectés et comptabilisés par le CNM, entre 1,3 et 4,1 % des écoutes - soit un volume global de faux streams (détectés ou non) de 2,3 à 7,1 %. C’est dans cette fourchette "raisonnable" que se situent les estimations non vérifiées qui circulent sur la toile.

“Mes sources estiment que trois à quatre pour cent des streams sont illégitimes", confiait en 2019 à Rolling Stone Louis Posen, le fondateur d’un label indépendant californien historique, Hopeless Records, qui venait de tomber lui-même sur des aberrations dans les stats d’un de ses artistes, comme ce titre passé subitement de 3000 à 35 000 écoutes par jour sur Spotify, ce qui l’a conduit à mener quelques investigations

⁸

. "Cela représente environ 300 millions de dollars de pertes de revenus potentiels pour les streams légitimes", calculait-il alors, sur la base d'un chiffre d'affaires du streaming de 8,9 milliards de dollars dans le monde en 2018, selon l’IFPI, qui a presque doublé depuis, de même que le montant potentiel de la fraude.

En retenant l’hypothèse d’une efficacité à 42 % des algorithmes de détection des plateformes, et d’un taux de faux streams non détectés de 1,3 à 4,1 % des écoutes, le montant du hold up des faux streams se situerait en 2021, avec un chiffre d’affaires du streaming de 16,9 milliards de dollars selon l’IFPI, entre 220 et 690 millions de dollars au niveau mondial, et entre 6 et 19 millions de dollars en France (de 5,6 à 17,6 M€). L’économie du streaming est un véritable panier percé. Rien ne garantit, en outre, que les algorithmes des plateformes aient déjà atteint ce degré d’efficacité.

Avec un taux de détection des faux streams comparable à celui des saisies d’héroine, qui est bien moins élevé que pour la cocaïne (23 % de la production mondiale saisie en 2018 selon l’ONU), la fraude pèserait entre 4,3 et 13 % des écoutes, soit 726 millions à 2,2 milliards de dollars au niveau mondial en 2021, et 20 à 60 millions de dollars en France (18,5 à 56 M€).

Une mafia bien organisée

Derrière la fraude presque bon enfant d’un manager d’artiste planqué derrière son écran d’ordinateur, qui cède à la tentation d’acheter un million d’écoutes sur Spotify pour 6000 € - avec l’espoir de booster le développement de carrière d’un des ses poulains, et au risque de détruire sa réputation -, se cachent des réseaux criminels bien organisés, qui ont tissé leur toile sur Internet

⁹

, et dont les "fermes à clics" constituent l'infrastructure de base.

“Principalement basées dans les économies en développement de l'Asie du Sud et du Sud-Est, les ‘fermes à clics’ sont des entreprises qui recrutent des travailleurs précaires et mal payés, engagés pour effectuer des tâches répétitives [comme] créer des comptes sur les réseaux sociaux, modérer du contenu pour les plateformes, cliquer sur des publicités en ligne, aimer ou évaluer des articles et, bien sûr, générer des fausses écoutes sur les services de streaming”, explique le musicologue américain Eric Drott, de l'Université du Texas à Austin, dans un article sur le sujet publié par la revue American Music en 2020

¹⁰

.

Ces devices farms génèrent des écoutes à partir de vrais faux comptes “ouverts à l’aide de cartes bleues périmées, volées ou virtuelles”, indique le CNM dans sa classification des différentes techniques de fraude utilisées, mais aussi de comptes premium dédiés à la manipulation ou piratés. En amont, des vols massifs de données personnelles, comme celui dont a été victime Deezer en 2019 chez l’un de ses partenaires

¹¹

, même s’ils se limitent à des informations basiques (230 millions d'adresses e-mail avec nom, prénom et date de naissance dans ce cas précis), permettent aux fraudeurs de lancer des campagnes de hameçonnage (phishing) pour récupérer les mots de passe, et de prendre le contrôle de toute une flotte de comptes actifs, à partir desquels ils peuvent lancer à loisir des écoutes en batterie.

Les pirates du streaming ne se contentent pas d’appâter le chalan en mal de notoriété artificielle, mais exploitent également le système pour leur propre compte, à des fins de gains financiers ou de blanchiment d’argent. Les plateformes de distribution directe, dites Do It Yourself (DIY), sans aucune barrière à l’entrée ou presque, leur servent de passerelle, et constituent de ce point de vue le véritable talon d’Achille du système. Les données fournies par le distributeur français Believe au CNM, dans le cadre de l’étude sur les faux streams, n’incluaient pas celles concernant sa plateforme de distribution directe Tunecore, ni celles d’aucun autre distributeur DIY, ce qui peut constituer un angle mort dans l’analyse du phénomène.

“Une multitude d’artistes indépendants produit de la bonne musique et le modèle de distribution DIY sur abonnement leur bénéficie vraiment. […] Malheureusement, il existe aussi une petite minorité […] qui produit de la musique de mauvaise qualité, souvent de courte durée (les fameuses pistes de 31 secondes), dont la création demande peu de compétences et qui utilise un motif répétitif, raconte Nick Dunn, le PDG et fondateur d’Horus Music, compagnie anglaise fondée en 2006, qui offre des services de distribution directe et de marketing en ligne aux artistes, et est confrontée depuis longtemps au problème

¹²

. Ces albums de fausses pistes sont ensuite écoutés en boucle par des bots de manière à générer des revenus.

Des pirates du streaming

“Contrairement aux artistes indépendants qui connaissent un succès légitime, ces créateurs ne sont pas intéressés par l'engagement et la constitution d'une base de fans - mais ils ont la capacité, à un niveau industriel, d'utiliser plusieurs adresses IP et comptes d'utilisateurs pour manipuler le système de paiement au pro-rata du streaming à leur avantage”, poursuit celui qui est devenu, après avoir longtemps préché dans le désert, un des leaders du mouvement anti-fraude. Les faux streamers tirent souvent des revenus substantiels de leur activité, observe t-il : “A nos débuts, avant que nous ayons compris comment de tels stratagèmes étaient mis en place, nous avons constaté, à partir de nos propres données analytiques, que ces faux artistes pouvaient facilement gagner 10 000 dollars et bien plus chaque mois grâce aux plateformes de streaming”.

Au fil du temps, Horus s’est perfectionné dans l'identification des "artistes" ayant recours à ce genre de stratagème, mais lorsque la compagnie a commencé à vouloir faire le ménage dans son catalogue, la situation a empiré. “Nous avons découvert, en procédant à nos propres vérifications d'identité sur les personnes fournissant ce type de contenu, que les documents fournis étaient faux”, raconte son PDG. Dès que ses équipes ont tenté de régler le problème, elles ont reçu des menaces de mort : “Nous avons rapidement compris que les personnes derrière la plupart de ces contenus étaient des gangs”.

En Allemagne, où les têtes d’affiche locales du rap s’accusent mutuellement d’acheter des tonnes de faux streams

¹³

, le journaliste Ilhan Coskun, de la chaîne Youtube indépendante Y-Kollectiv, est allé en 2019 à la rencontre de Kaï, un expert autoproclamé des réseaux sociaux qui se présente sous ce pseudonyme et supervise un petit gang de faux streamers. “Je prends les commandes et les distribue”, confie t-il, masqué devant la caméra

¹⁴

. "Nous nous concentrons sur la manipulation des charts du streaming, explique t-il. C’est super facile de rentrer dans les classements en sortant de nulle part. Je peux faire de toi une star”.

Son fond de commerce, c’est le rap business. Il confie contrôler 150 000 à 250 000 comptes allemands sur Spotify, qui peuvent écouter en boucle les chansons qu’il leur soumet. “Je crée des playlists, quantité de playlists qu’ils suivent. Chacune de mes playlists a des milliers de followers”, explique t-il. Pour déjouer la détection algorithmique, il les agrémente de tubes d’artistes phares du moment, et peut ouvrir automatiquement jusqu’à 500 onglets dans son navigateur pour lancer leur écoute en batterie par 500 utilisateurs différents.

De l’argent sale investi dans la fraude

Kaï revendique d’avoir travaillé pour le top 5 allemand des artistes sans que ces derniers le sachent, et être derrière le succès de plusieurs nouveaux jeunes rappeurs inconnus jusque là. La plupart du temps, les artistes eux-mêmes ou leur maison de disques ne sont pas au courant de la manipulation. L’initiative d’acheter des faux streams peut venir d’un manager qui agit dans le dos de l’artiste, ou d’une agence de marketing en ligne qui veut gonfler artificiellement la mesure d’impact de ses campagnes. Le business est bien rodé. “Des managers viennent me voir et me demandent ce que je peux faire avec 50 000 dollars”, confie le pirate. C’est suffisant, selon lui, pour obtenir un disque d’or.

Ilhan Coskun a testé lui-même le dispositif, avec une chanson de rap d’à peine plus de 2 minutes enregistrée à la va vite dans un studio grâce à la complicité de producteurs de rap professionnels, sous le nom d’artiste Error281, en ne lésinant pas sur l’autotune pour corriger sa voix. Quelques jours après sa mise en ligne, le clip vidéo bon marché tourné pour l’occasion avec peu de moyens avait franchi la barre des 235 000 fausses vues sur Youtube, principalement en provenance d’Inde et d’Allemagne.

En l’espace d’un mois, la chanson a atteint les 100 000 écoutes sur Spotify. Elle a rapporté 220 euros sur la période, dont 200 euros sur Spotify, soit 0,0038 euros par écoute. A ce stade, Error281 a commencé à attirer l’attention : “Mon compte Instagram et mes stories sont suivies par des managers d’artistes en major ; une agence de publicité vient de m’adresser un message ; et quelqu’un m’a proposé un million de vues par de vrais allemands sur Youtube pour 12 000 €“, témoigne le journaliste dans son reportage. Il a retiré sa chanson de rap des plateformes à l’issue du tournage, et s’est refusé à encaisser le moindre argent.

Son complice Kaï confie avoir aussi des commanditaires beaucoup moins fréquentables, qui se servent des plateformes de streaming musical pour blanchir de l’argent sale en l’investissant dans la fraude. Il suffit de produire de faux albums à moindre coût, de les poster sur ces plateformes, et de lancer de fausses écoutes en boucle pour se retrouver avec de l’argent propre à la sortie, sous forme de royalties. Combien tout cela lui rapporte t-il ? “Dans le mois ? Jusqu’à 100 000 euros si je veux”, confie le pirate. Ce qui lui permet de rémunérer son réseau, et d’encaisser de juteux bénéfices.

1

Manipulation des écoutes en ligne, année 2021, CNM, 17 janvier 2023

2

Etude du CNM : Le SNEP salue une étape importante dans la lutte contre les manipulations de streams, communiqué de presse, SNEP, 16 janvier 2023

3

Vers la fin de l’ère des manipulations des écoutes en ligne, communiqué de presse, Félin et SMA, 18 janvier 2023

4

Streaming : “L’ampleur de la fraude reste assez relative” (Ludovic Pouilly, Deezer), Newstank Culture, 15 janvier 2023

5

Les créateurs des algorithmes de Deezer nous disent tout (recherche, recommandation, fakestream...), Monte le son !, 26 janvier 2023

6

Indie Band Gets 79,000 Streams In a Month, Spotify Bans Them for Life, Digital Music News, 15 novembre 2017

7

World Drug Report 2020, UNODC

8

“100% des écoutes provenaient de six playlists […], explique Louis Posen. Cela ne pouvait pas être plus suspect : [elles] avaient été créées récemment et gagné un tas de followers en une semaine ; elles n'ont jamais gagné un autre follower depuis ; et toutes les écoutes se sont concentrées sur trois jours." (Cf. Fake Streams Could Be Costing Artists $300 Million a Year, Rolling Stone, 18 juin 2019)

9

How to Buy Spotify Plays: The Good, the Bad, and the Costly, Headphonesty, 4 septembre 2022

10

Fake Streams, Listening Bots, and Click Farms: Counterfeiting Attention in the Streaming Music Economy, American Music, 2020

11

Third Party Data Breach, Deezer, novembre 2022

12

Sir Lucian Grainge’s royalty payout letter was a ‘hallelujah moment’ for streaming’s anti-fraud movement, Music Business Worldwide, 17 janvier 2023

13

Are Real MCs in Germany Getting Fake Streams?, Billboard, 3 décembre 2021

14

Der Rap Hack: Kauf Dich in die Charts! Wie Klickzahlen manipuliert werden, Y-Kollektiv, 23 mai 2019