La publicité en ligne permet au créateur du site internet de rentabiliser financièrement son site tout en publiant gratuitement du contenu. Cette stratégie est devenue la forme la plus commune de rémunération pour les blogueurs et journalistes sur internet.
Malheureusement, le marché de la publicité en ligne, qui génère plus de 56 milliards de dollars rien qu’aux Etats-Unis, devient de plus en plus attrayant pour les hackeurs, qui connaissent deux façons d’en abuser.
Le détournement de la publicité :
Certains malwares et virus modifient les publicités que vous voyez lors de votre navigation sur internet et détournent donc le revenu du propriétaire du site web vers des tiers.
La transmission des virus (malvertising) :
C’est sur cette menace que nous allons nous attarder aujourd’hui.
Les publicités qui apparaissent sur un site web sont généralement gérées par un broker, tel que Adsense (Google), qui connaît le profil des visiteurs et le contenu de la page afin d’afficher une publicité « pertinente » et « adaptée » au visiteur. Ces publicités sont créées par les annonceurs dont leur contenu n’est pas systématiquement correctement vérifié par les brokers, ce qui risque donc d’infecter les visiteurs avec des malwares ; cela s’appelle le malvertising.
Par exemple, la semaine dernière, le New York Times, BBC, MSN, AOL et Answers.com, ont tous été victimes de malvertising. En allant naviguer sur ces sites, des dizaines de milliers de visiteurs ont été infectés, soit en regardant les publicités (en utilisant une vulnérabilité dans flash par exemple), soit en cliquant dessus.
La technique utilisée par les hackeurs lors de cette dernière attaque est spécialement bien pensée. Effectivement, les grands sites comme le NYT ne vendent pas de places publicitaires au premier venu. Pour contourner cette règle, les hackeurs ont acheté des noms de domaines abandonnés par Brentsmedia (une compagnie de marketing qui a cessé ses activités début 2016), pour ainsi pouvoir placer leur malvertising. Avant de déployer le malware, le hackeur va vérifier si l’ordinateur des visiteurs est capable ou non de détecter l’attaque, le cas échéant, le virus se déploie. Dans ce cas, les personnes sont redirigées vers un site contenant le Angler Exploit Kit (AEK) qui installe Bedep Trojan and TeslaCrypt Ransomware et ouvre un backdoor sur l’ordinateur.
Ce problème malvertising vient s’ajouter à la polémique actuelle concernant les adblockers : est-ce éthique de bloquer la publicité ?
Effectivement, le business-model d’internet repose sur les articles gratuits sponsorisés par la publicité. Les adblockers sont des extensions qui bloquent les publicités sur les sites web, ce qui implique la non-rémunération des blogueurs et journalistes, leur faisant ainsi perde leur rentabilité.
Les utilisateurs d’internet sont face à un dilemme : naviguer avec des publicités parfois oppressantes, mais permettant de rémunérer le créateur du contenu, ou naviguer sans publicités avec les pages qui s’affichent jusqu’à quatre fois plus rapidement et moins de risques de se faire infecter. Cette question se pose surtout d’un point de vue moral et éthique ; déjà plus 200 millions de personnes ont décidé de choisir la sécurité, infligeant ainsi une perte de plus de 21 milliards de dollars en 2015.
Comment peut-on envisager le futur ?
Une manière pour les brokers d’empêcher les Adblockers de fonctionner correctement, serait de demander au propriétaire du site d’afficher directement le contenu publicitaire depuis son domaine plutôt que depuis un domaine tiers (tel qu‘un JavaScript venant de doubleclick.com). Le problème est que si une publicité tierce est émise depuis le domaine visité, la protection du « Same-Origine Policy » ne fonctionnera plus, et toute l’activité du visiteur pourra être espionnée par le créateur de la publicité. On verrait ainsi apparaître un malvertising encore plus dangereux.
Alors comment se protéger contre le malwaretising ?
Premièrement, il faut absolument garder tous ses logiciels à jour et avoir les derniers correctifs de sécurité.
Deuxièmement, il faut diminuer la surface d’attaque en désinstallant, par exemple, Flash, Java ou Silverlight.
Troisièmement, si vous le souhaitez, vous pouvez utiliser un adblocker (nous recommandons ublock-origin)
Pour finir, les firewalls utilisés dans ZEN360 utilisent un IPS mis à jour plusieurs fois par jour contenant, entre autres, les listes des domaines dangereux. Ainsi, tous les appareils de votre infrastructure sont protégés contre ce genre d’attaque automatiquement.
Vous pouvez aussi opter pour une solution de micro-virtualisation qui bloque automatiquement toutes les attaques pouvant venir d’un navigateur web et de ces add-ons.
