Plus que jamais, les auteurs de menaces exploitent l’écosystème publicitaire en ligne pour discrètement répandre leurs malwares ; découvrez comment vous en protéger.
Le malvertising (ou publicités malveillantes) refait surface, une fois encore.
Depuis les débuts d’Internet, il apparaît et disparaît de manière cyclique. Vous vous souvenez de cette époque où les bannières publicitaires infectées et les barres d’outils pleines de virus remplissaient les premiers navigateurs ?
De tout temps, à chaque fois que les publicités malveillantes apparaissaient, l’industrie publicitaire en ligne, menée par Google, se dressait contre elles afin d’enrayer le fléau et de le maintenir à un niveau acceptable.
Pourtant, le malvertising n’a jamais été aussi dynamique, furtif et persistant qu’aujourd’hui ! Voici ce que vous devez savoir sur cette menace en ligne qui refuse de disparaître :
Exploitation de l’écosystème
Le malvertising est à présent entremêlé avec l’écosystème en ligne hautement dynamique que nous sommes habitués à utiliser, notamment au niveau de la publicité, des achats et des transactions bancaires. Pour cela, il a profité de l’accessibilité des navigateurs sur nos appareils informatiques, à savoir nos smartphones et nos ordinateurs.
Le code des publicités malveillantes circule souvent via de minuscules « iframe », des éléments HTML qui permettent à des objets d’apparaître sur une page sans modifier celle-ci. Ce code malveillant se déplace librement, passant même sur des sites Web connus qui bénéficient d’un trafic élevé, en se mêlant au flux des publicités placées sur les sites de manière dynamique par les réseaux publicitaires en ligne, dont Google est le principal représentant.
Les acteurs du malvertising exploitent cet écosystème de plusieurs façons. Ils disposent d’une infinité de méthodes pour pirater directement les sites Web et les réseaux publicitaires. Les portes et les fenêtres des applications logicielles sont laissées grandes ouvertes, à cause d’un développement trop rapide pour assurer la prise en charge d’un nombre toujours plus important de fournisseurs offrant des services de panier d’achat, des plateformes de gestion des données, des systèmes de reciblage, etc.
« Les pirates ajoutent subrepticement leur code malveillant à celui qui est envoyé sur l’appareil de la victime lors de la validation de l’achat », explique Chris Olson, PDG de Media Trust, un éditeur de solutions de sécurité pour les sites Web basée à McLean (Virginie). « Lorsque vous vous rendez sur un grand site de shopping en ligne, vous pouvez avoir 100 ou 150 entreprises tierces qui accèdent à votre appareil. De manière générale, personne ne pense vraiment à la sécurité de toutes ces applications tierces. Et elles ne sont que peu surveillées. »
Une autre tactique appréciée des pirates consiste à ouvrir leur propre réseau publicitaire indépendant, puis à gagner patiemment la confiance des gens en ayant un comportement irréprochable. Une fois qu’il ont acquis une bonne réputation, ils se mettent à glisser des publicités malveillantes dans le flux quotidien de l’écosystème.
Des attaques à la pointe de la technologie
Une attaque nommée PayLeak a récemment ciblé les consommateurs qui utilisent le navigateur de leur smartphone pour accéder aux sites Web de journaux et magazines payants sur lesquels du malvertising a été ajouté.
Quiconque se rendait sur l’un de ces sites recevait un kit d’exploit qui vérifiait si l’appareil compromis était de type Android ou iPhone, déterminait s’il était protégé par un antivirus et mémorisait s’il était à la verticale ou posé à plat.
PayLeak redirigeait ensuite les utilisateurs Android vers un site de phishing en leur faisant miroiter une carte-cadeau Amazon gratuite. Les utilisateurs d’iPhone recevaient pour leur part plusieurs notifications successives : d’abord une alerte de mise à jour, puis des fausses instructions pour mettre à jour leur compte Apple Pay.
Il y a peu, dans le cadre d’une autre cyberattaque de pointe, des cybercriminels ont ciblé des petits revendeurs en ligne avec un malware furtif nommé CartThief, conçu pour exploiter les failles des sites qui utilisent la plateforme d’e-commerce open source Magento.
CartThief entrait en action dès qu’un utilisateur cliquait sur la page de validation des achats et effectuait un paiement en ligne. Le malware copiait alors les informations personnelles et financières de la transaction, avant de les chiffrer et de les transmettre au serveur de commande et de contrôle de l’attaquant.
Pour réussir cette attaque, l’attaquant affichait une superposition sur l’appareil de la victime pour la tromper et l’inciter à divulguer ses informations personnelles. Le propriétaire du site Web ne voyait rien de tout cela, et il en était de même pour l’institution financière. La transaction était réellement effectuée. Le pirate pouvait alors prendre possession des données personnelles sans que le consommateur, l’éditeur du site Web et la banque ne s’en aperçoivent !
Il pouvait ensuite vendre en gros les données volées au meilleur prix sur le marché noir. De nos jours, le malvertising est extrêmement efficace pour exploiter des outils comme les cookies, le suivi des données et le codage des superpositions : en somme, tous les logiciels utilisés couramment et librement au sein de l’écosystème publicitaire en ligne.
Des campagnes comme PayLeak et CartThief soulignent à quel point il est important que les consommateurs prennent conscience du fait que les sites qu’ils visitent peuvent être infestés de pièges invisibles, et qu’il revient à chacun de réduire son empreinte numérique.
Protégez-vous
Voici quelques mesures de bon sens pour vous protéger du malvertising :
- Achetez un antivirus robuste pour vos smartphones et vos ordinateurs et mettez-le régulièrement à jour. Un logiciel antivirus détectera et bloquera les kits d’exploit, et analysera vos appareils pour repérer toute nouvelle infection.
- Dans vos navigateurs, désactivez les plug-ins que vous n’utilisez pas vraiment, Modifiez également les paramètres de ceux que vous utilisez pour qu’ils ne se lancent pas automatiquement (mode « click-to-play »). Les criminels savent tout sur les plug-ins et ajustent leurs kits d’exploit en permanence afin de trouver ceux qui sont les plus utiles pour conduire des activités malveillantes. Utiliser des paramètres manuels peut certes être moins pratique, mais ils rendent aussi la tâche plus difficile pour les attaquants.
- Appliquez l’ensemble des mises à jour et correctifs disponibles pour les systèmes d’exploitation, navigateurs et plug-ins que vous utilisez, sur vos smartphones comme sur vos PC. Si vous les utilisez en ligne, ils constituent des cibles de choix. De nouvelles vulnérabilités sont découvertes chaque jour et, si vous tardez à vous protéger, les kits d’exploit vous trouveront !
- Envisagez de vous doter d’un bloqueur de publicité. L’utilisation de ces outils peut être délicate et nécessite une certaine prudence : ils peuvent réduire les risques, mais aussi dégrader votre expérience utilisateur, parfois jusqu’à un niveau intolérable. Ils s’améliorent continuellement, mais les pourvoyeurs de publicités malveillantes sont capables de les contourner. Ceci étant dit, les criminels sont des opportunistes, qui cherchent des cibles faciles à atteindre. Utiliser un bloqueur de publicité vous rend donc moins susceptible d’être pris pour cible. Par exemple, Avast propose un excellent bloqueur de publicité intégré à son produit gratuit Avast Secure Browser.
Les moteurs qui sous-tendent le cycle actuel du malvertising sont puissants et complexes. Google l’a bien compris, et a mis toutes ses forces dans la bataille. Cependant, trop d’éditeurs de sites Web, de petits réseaux publicitaires et de fournisseurs tiers semblent ne pas appréhender pleinement la prolifération des vulnérabilités de l’écosystème actuel, et encore moins ce qu’ils doivent faire pour compliquer la tâche des pirates.
Un jour, ils réaliseront la situation, et le cycle actuel sera enrayé. En attendant, les consommateurs individuels devront s’occuper eux-mêmes de leur protection, sous peine d’en subir les conséquences.
Que pensez-vous des publicités malveillantes ? Rejoignez la conversation avec Avast sur Facebook et Twitter.
À bientôt pour d’autres discussions !
Byron Acohido est un blogueur invité sur le blog Avast. Avast est leader mondial en matière de cybersécurité, en protégeant des centaines de millions d'utilisateurs à travers le monde avec un antivirus gratuit primé et en préservant la confidentialité de leurs activités en ligne avec VPN et d'autres produits concernant la confidentialité.