Malvertising

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le malvertising (un mot Mot-valise formé de malicious [malicieuse] et advertising [publicité]) est l'utilisation de la publicité en ligne pour diffuser des logiciels malveillants[1].

Le malvertising consiste à injecter des logiciels malveillants dans des régies publicitaires légitimes et des pages Web[2]. Les publicités en ligne sont une excellente plate-forme pour la diffusion de logiciels malveillants en raison des efforts importants déployés pour attirer les internautes dans le but d'annoncer ou de vendre divers produits[3]. Comme les publicités malveillantes peuvent être insérées dans des sites populaires de bonne réputation, le malvertising fournit aux malfaiteurs l'occasion de pousser leurs attaques à des internautes qui pourraient ne pas les voir autrement, en raison de pare-feu ou d'autres précautions de sécurité[4],[5]. Le malvertising est attrayant pour les malfaiteurs parce qu'il permet de transmettre des logiciels malveillants au moyen de nombreux sites légitimes sans que les malfaiteurs aient à percer la sécurité de ces sites[6].

Le malvertising est un concept relativement nouveau pour la diffusion de logiciels malveillants et il est difficile à combattre, car il peut faire son chemin dans une page Web et se propager à l'ordinateur d'un internaute à son insu : « La chose intéressante à propos des infections livrées par malvertising est que ces infections ne nécessitent aucune action de l'internaute (comme un clic) pour compromettre un ordinateur et elles n'ont pas à exploiter des vulnérabilités sur le site ou le serveur où elles transitent ... les infections livrées par malvertising voyagent silencieusement à travers des pages Web légitimes à l'insu de leurs propriétaires. »[7]. Le malvertising est capable d'exposer à des logiciels malveillants des millions d'utilisateurs, même les plus prudents, et le phénomène se développe rapidement : « les experts estiment qu'en 2012 près de 10 milliards d'impressions publicitaires ont été compromises par le malvertising »[2]. Les attaques de malvertising ont une très large portée et sont en mesure d'atteindre un très grand nombre d'internautes par le biais des régies publicitaires. Les entreprises et les sites Web n'ont pas réussi à réduire le nombre d'attaques de malvertising, qui « donne à penser que ce vecteur d'attaque n'est pas susceptible de disparaître bientôt »[6].

Histoire[modifier | modifier le code]

2007/2008 : La première observation enregistrée de malvertising remonte à la fin de 2007 ou au début de 2008. Cette menace était basée sur une vulnérabilité dans Adobe Flash et affectait plusieurs sites, incluant MySpace, Excite et Rhapsody.

2009 : The New York Times Magazine a publié une annonce qui faisait partie d'une fraude au clic et qui a servi à créer le réseau de botnets Bahama qui a été utilisé pour réaliser de la fraude au clic sur des annonces sur tout le web[8]. Une bannière publicitaire fournie par le magazine durant la fin de semaine du 11 au 14 septembre était malicieuse et générait un message avisant le lecteur que son ordinateur était infecté et recommandant le téléchargement d'un correctif qui était en fait un virus. Selon la porte-parole du magazine Diane McNulty, le fraudeur a approché le journal en se présentant comme un annonceur national et il avait fourni des annonces apparemment légitimes durant une semaine, puis les annonces légitimes ont été remplacées par des publicités malveillantes. Informé de la situation, le New York Times Magazine a alors suspendu les publicités de tiers pour analyser et résoudre le problème. Le magazine a même publié des conseils sur le sujet du malvertising sur son blogue sur la technologie[9].

2010 : Le malvertising décolle vraiment. La publication marketing ClickZ (en) a indiqué que la Online Trust Alliance (OTA) avait identifié des milliards d'annonces diffusant des logiciels malveillants sur 3500 sites[10]. La même année, la Online Trust Alliance a formé comité de travail anti-malvertising[11].

2011 : Spotify a été victime d'une attaque de malvertising utilisant le Blackhole exploit kit (en) - ce fut l'un des premiers exemples d'un drive-by download (en) où un utilisateur n'a même pas besoin de cliquer sur une annonce pour être infecté par des logiciels malveillants. Selon un rapport de Blue Coat Systems (en), 2011 a vu une augmentation de 240 % du nombre de sites diffusant du malvertising[12].

2012 : Symantec, dans son rapport Internet Security Threat 2013 qui résume les faits saillants du domaine de la sécurité de 2012, consacre une section au malvertising. Symantec a utilisé un logiciel de balayage sur une série de sites Web et a détecté que la moitié d'entre eux étaient infectés par du malvertising[13]. En 2012, le Los Angeles Times a été frappé par une attaque massive de malvertising utilisant le Blackhole exploit kit (en) pour infecter les internautes. Cette attaque faisait partie d'une campagne générale de malvertising qui a frappé les grands portails d'information - dans les années suivantes, des attaques semblables ont frappé The Huffington Post et le New York Times.

2013 : Une importante campagne de malvertising a été menée contre yahoo.com, une des plus grandes plates-formes publicitaires du web avec 6,9 milliards de visites mensuelles. Le malware était basé sur une attaque couramment utilisée, le Cross Site Scripting (XSS), numéro trois dans le top 10 des types d'attaques identifiées par le projet Open Web Application Security[14] (OWASP). Les attaques ont infecté les ordinateurs des utilisateurs avec le rancongiciel (ransomware) CryptoWall, un malware qui extorque de l'argent aux utilisateurs en cryptant leurs données, puis en leur demandant une rançon allant jusqu'à 1000 $ en bitcoins, à être versée en 7 jours, pour décrypter les données.

2014 : L'année du malvertising avec une augmentation de 325 % des attaques selon le cabinet de sécurité Cyphort[15]. Des attaques majeures ont visé les régies publicitaires Google DoubleClick and Zedo (en). Des portails d'information comme le Times of Israel et le Hindustan Times ont aussi été touchés. Comme lors de précédentes attaques, le ransongiciel CryptoWall a été utilisé pour extorquer de l'argent aux internautes infectés[16].

2015 : L'épidémie de malvertising continue sans relâche. En 2015, le malvertising a vraiment atteint les appareils mobiles. McAfee a identifié, dans son rapport de menaces de février 2015 que le malvertising se développe rapidement sur les plates-formes mobiles et devrait continuer à y croître rapidement[17]. Des attaques importantes ont atteint eBay, answers.com, talktalk.co.uk, wowhead.com (en) et d'autres sites majeurs. Des régies publicitaires comme DoubleClick et Engage:BDR ont été frappées. Une première campagne de malvertising politique a été montée par des militants prorusses qui, au moyen d'un botnet, ont dirigé des internautes vers des sites bidon qui ont généré des revenus publicitaires pour leur cause. Les internautes ont aussi été exposés à des vidéos de propagande pro-russes.

Références[modifier | modifier le code]

  1. (en) William Salusky, « Malvertising », SANS ISC, (consulté le 5 août 2010)
  2. a et b (en) Online Trust Alliance, « Anti-Malvertising Resources », Online Trust Alliance, (consulté le 25 mai 2013)
  3. (en) Aditya Sood et Enbody, Richard, « Malvertising - exploiting web advertising », Computer Fraud and Security,‎ , p. 11–16 (lire en ligne)
  4. (en) Bobbie Johnson, « Internet companies face up to 'malvertising' threat », The Guardian, (consulté le 5 août 2010)
  5. (en) « The rise of malvertising and its threat to brands », Deloitte,
  6. a et b (en) Lenny Zeltser, « Malvertising: Some Examples of Malicious Ad Campaigns », Lenny Zeltser on Information Security (consulté le 22 mars 2013)
  7. (en) « Five-month malvertising campaign serves up silent infections », Infosecurity, Reed Exhibitions (consulté le 18 mars 2013)
  8. Article intitulé Bahama, le botnet spécialisé dans la fraude aux clics
  9. (en) Aimee Picchi, « Malvertising hits The New York Times », The Daily Finance,‎ (lire en ligne)
  10. http://www.clickz.com/clickz/news/2025413/billions-web-ads-carried-malware-2010
  11. https://www.reuters.com/article/2010/09/08/idUS124679+08-Sep-2010+MW20100908
  12. « https://www.bluecoat.com/sites/default/files/editor_files/BC_2012_Security_Report-v1i-optimized.pdf »(ArchiveWikiwixArchive.isGoogleQue faire ?)
  13. http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf
  14. https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  15. http://go.cyphort.com/rs/181-NTN-682/images/Malvertising-Report-15-RP.pdf
  16. http://www.pcworld.com/article/2600543/cryptowall-held-over-halfamillion-computers-hostage-encrypted-5-billion-files.html
  17. http://www.mcafee.com/uk/resources/reports/rp-quarterly-threat-q4-2014.pdf « Copie archivée » (version du 4 mars 2016 sur l'Internet Archive)

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]