Sécurité Le « malvertising », qu’est-ce que c’est ?

Malvertising. Que se cache-t-il derrière ce terme pour le moins abscons ? Une fois de plus, cette expression vient d’outre-Atlantique et signifie « Malicious Banner Advertissements », soit bannières de publicité « infectées » ou malicieuses. Cette expression décrit en fait une nouvelle ruse mise en place par des pirates qui opèrent sur le Net afin de détourner des internautes vers des pages Web truquées grâce à de fausses bannières de publicité. Plus précisément, cette opération consiste à intégrer quelques lignes de code dans une bannière de publicité qui apparaît sur un site Web grand public, afin de rediriger les internautes qui cliquent sur cette dernière vers un site créé pour l’occasion et hébergeant un ou des virus de type « Trojan » chargés soit de voler des informations personnelles, soit de rechercher d’autres « Trojans » sur le Web ou de détourner des recherches en pointant par exemple sur de faux antivirus. Mais comment le malvertising fonctionne-t-il ? Très concrètement, le site support qui distribue la bannière malicieuse ne sait pas que cette dernière est infectée. Tout se passe à son insu. Il n’est que l’intermédiaire involontaire entre l’internaute et les pirates. Cela est rendu possible grâce aux nouvelles possibilités offertes par la publicité comportementale. Dans le cadre de partenariats ou d’accords publicitaires, de plus en plus de sites Web 2.0, tels que les réseaux sociaux ou encore les sites de téléchargement de musique ou de vidéos, laissent sur leurs pages des espaces libres pour des campagnes de publicité ciblées en fonction des préférences de leurs utilisateurs. En échange de quoi, ils peuvent faire la même chose sur les sites de leurs partenaires. C’est cet espace ouvert et donc moins contrôlé que les pirates utilisent pour insérer des bannières infectées à l’insu des sites grand public visés. Une ruse difficile à repérer, car la bannière apparaît tout à fait normale. Parfois même, elle l’est. Seul le lien qu’elle intègre est malicieux et renvoie vers un site qui héberge une ou de nouvelles bannières ou liens qui eux sont infectés. Seul indice possible pour la détecter sans cliquer : son message. Son objectif sera d’attirer l’attention de l’utilisateur par l’usage de certaines couleurs, animations ou mots-clés percutants. Les sites visés En raison de la technique utilisée par les pirates, les principaux sites visés par le malvertising sont des sites de type Web 2.0 tels que des réseaux sociaux, des sites de téléchargement et de partage de musique ou de vidéos. Ce qui ne veut pas dire que tous sont potentiellement concernés par ce problème et qu’il ne concerne pas les autres types de sites. Deux critères supplémentaires viennent également s’y ajouter : les sites choisis par les pirates doivent leur permettre de toucher beaucoup d’utilisateurs, ils vont donc privilégier les sites à forte audience ; les sites ayant un niveau de sécurité insuffisant afin que leur subterfuge ait le moins de chance possible d’être détecté. Ce qui n’empêche pas certains grands noms d’avoir été touchés. Parmi ceux-ci figure Windows Live Messenger qui, en 2007, a distribué involontairement des bannières vantant les mérites d’une suite complète de logiciels de sécurité. Même chose pour Myspace, mais aussi pour le moteur de recherche Excite.com ou encore plus récemment (janvier 2008) pour Rhapsody, le site de téléchargement de RealNetworks, l’agence de voyage en ligne Expedia.com, ou encore le magazine Blick.ch. Comment se protéger ? Première solution : le contrôle par les sites supports des bannières dans le cadre de campagnes de publicité comportementales. Étant donné que c’est le lien qui est infecté ou qui redirige vers un site qui héberge des bannières ou des liens malicieux, un simple clic sur ces bannières pourrait suffire pour vérifier où elles renvoient. Mais concrètement, cette solution est difficile à mettre en œuvre car elle exige de faire des contrôles répétitifs longs et fastidieux. Par ailleurs, ces bannières étant directement générées par les algorithmes utilisés par des ad-servers, leur contrôle par les sites supports devient relativement difficile. Deuxième solution : contrôler la réputation des sites partenaires et filtrer les URL. Le contrôle de la réputation des sites partenaires peut soit s’effectuer au cas par cas par les équipes en charge des partenariats, soit s’appuyer sur des logiciels qui testent automatiquement, par rapport à des bases de données régulièrement mises à jour, la réputation de tel ou tel site, et en en interdisent l’accès si le nom de domaine vers lequel il redirige la bannière est litigieux.