Qu'est-ce que la publicité malveillante ?
Le malvertising ou publicité malveillante est une technique de cyberattaque relativement récente qui consiste à injecter un code malveillant dans des publicités en ligne. Difficiles à détecter tant par les internautes que par les publicitaires eux-mêmes, ces publicités infectées sont généralement présentées aux utilisateurs par le biais de réseaux publicitaires légitimes. Comme les publicités apparaissent à l'ensemble des visiteurs du site web, toute personne qui consulte la page est exposée à un risque d'infection.
Comment fonctionne une publicité malveillante ?
Les attaques par publicité malveillante sont complexes par nature, car elles recourent à de nombreuses autres techniques pour atteindre leur objectif. En règle générale, le cyberattaquant commence par compromettre un serveur tiers, ce qui lui permet d'injecter un code malveillant dans une annonce publicitaire ou un élément de celle-ci, comme une bannière, une image ou un contenu vidéo.
Une interaction d'un visiteur du site web avec l'élément compromis déclenche l'installation par le code corrompu d'un logiciel malveillant ou d'un adware sur l'ordinateur du visiteur. Le cyberattaquant peut également rediriger ce dernier vers un site web malveillant et utiliser des techniques d'usurpation ou d'ingénierie sociale pour poursuivre son attaque.
Les attaques par publicité malveillante peuvent également exécuter un kit d'exploit, un type de logiciel malveillant conçu pour analyser le système et en exploiter les vulnérabilités ou les faiblesses.
Une fois installé, le malware distribué dans le cadre de l'attaque par publicité malveillante fonctionne comme n'importe quel autre type de logiciel malveillant. Il peut endommager des fichiers, rediriger le trafic Internet, surveiller l'activité de l'utilisateur, voler des données sensibles ou installer des portes dérobées en vue d'offrir un accès au système. Il peut également être utilisé pour supprimer, bloquer, modifier, voler ou copier des données, qui pourront ensuite être revendues à l'utilisateur en échange d'une rançon ou sur le Dark Web.
Bien que cette pratique soit moins courante, il est possible de mener une attaque par publicité malveillante sans inciter l'utilisateur à interagir avec la publicité. Ce type d'attaque peut prendre les formes suivantes :
- Un téléchargement furtif, qui exploite les vulnérabilités du navigateur afin d'installer des fichiers infectés sur le système tandis que l'utilisateur regarde passivement la publicité
- La redirection forcée du navigateur vers un site malveillant
- L'exécution de JavaScript ou de Flash pour afficher une publicité indésirable ou un contenu malveillant.
Publicité malveillante et adware : quelle différence ?
Les termes publicité malveillante et adware sont parfois utilisés de manière interchangeable, alors qu'il s'agit de deux réalités très différentes.
Contrairement à la publicité malveillante, qui consiste à lancer une attaque via une publicité infectée, l'adware est un programme utilisé pour suivre l'activité d'un utilisateur sur Internet afin d'afficher sur son écran des publicités pertinentes ou personnalisées. Si les publicités malveillantes sont considérées comme néfastes par nature, certaines formes d'adwares sont en revanche incluses dans des packs logiciels légitimes. Les adwares suscitent souvent certaines préoccupations en termes de confidentialité et de sécurité des données, mais ne permettent pas aux cybercriminels de prendre le contrôle du système ni de modifier, d'exfiltrer ou de supprimer des données.
Exemples de publicités malveillantes
Nombreuses sont les entreprises de bonne réputation, telles que le New York Times, la BBC, Spotify, Forbes et NFL, qui ont été ciblées par des attaques par publicité malveillante ces dernières années. Dans la plupart des cas, l'attaque provenait d'un réseau publicitaire compromis, mettant l'entreprise dans une situation où il lui était pratiquement impossible d'identifier les risques.
Voici quelques exemples d'attaques spécifiques :
- Kit d'exploit Angler : lors de cette attaque, un téléchargement furtif a été utilisé pour rediriger automatiquement les visiteurs vers un site web malveillant où un kit d'exploit était en mesure d'exploiter les vulnérabilités d'extensions web courantes, telles qu'Adobe Flash, Microsoft Silverlight et Oracle Java.
- RoughTed est une campagne de publicité malveillante qui a réussi à contourner deux bloqueurs de publicités et de nombreuses solutions antivirus grâce à une série d'URL dynamiques. Les cybercriminels à l'origine de l'attaque RoughTed ont exploité un réseau complexe de bourses de publicités ainsi que l'infrastructure cloud d'Amazon et son réseau de diffusion de contenus pour commettre leur méfait.
- Ks Clean est une campagne qui cible les publicités malveillantes sur les applications mobiles. Une fois téléchargé, le logiciel malveillant affiche une notification dans l'application qui avertit l'utilisateur d'un problème de sécurité et l'invite à mettre à jour l'application. En procédant à la mise à jour, l'utilisateur finalise en fait le processus d'installation du logiciel malveillant et octroie aux cybercriminels des privilèges d'administration sur son appareil mobile.
Comment éviter les publicités malveillantes ?
Les publicités malveillantes sont extrêmement difficiles à détecter et à éviter, tant pour les consommateurs que pour les publicitaires. Cela s'explique notamment par le nombre incroyable de publicités en ligne créées et par la rapidité à laquelle elles circulent dans les bourses d'annonces numériques. En d'autres termes, les publicitaires eux-mêmes ne sont pas toujours en mesure de superviser directement le processus de vérification et d'évaluation des annonces publicitaires.
Il est également très difficile pour les experts en cybersécurité d'identifier avec précision les publicités malveillantes dans la mesure où les publicités affichées sur une page web changent constamment. En outre, la plupart des attaques par publicité malveillante nécessitent une interaction de l'utilisateur avec la publicité infectée. Cela veut dire que tous les visiteurs du site web ne seront pas infectés par la publicité malveillante, ce qui complique d'autant plus son identification.
Prévenir une infection par une publicité malveillante n'est pas chose aisée, mais les utilisateurs peuvent limiter les risques en prenant une série de mesures :
- Maintenir tous les logiciels et leurs extensions, navigateurs web compris, à jour
- Installer un logiciel antivirus et des bloqueurs de publicité afin de réduire le risque d'exécution d'une publicité malveillante
- Éviter d'utiliser Flash et Java ou de permettre à ces programmes de s'exécuter automatiquement en cas de navigation sur le Web
Les publicitaires ont également un rôle à jouer dans la protection des visiteurs contre les publicités malveillantes. Ils peuvent notamment prendre les mesures suivantes :
- Évaluer en profondeur les réseaux publicitaires tiers responsables de la sélection, de la vérification et de l'affichage des publicités
- Analyser les composants publicitaires destinés à être affichés afin d'identifier tout logiciel malveillant ou code indésirable
- Éviter d'utiliser JavaScript ou Flash dans les publicités
- Faire appel à un partenaire de cybersécurité de confiance afin qu'il fasse des recommandations personnalisées en fonction de l'activité publicitaire en ligne de l'entreprise