Malvertising
Le « malvertising » (un mot-valise formé de « malicious » [malicieuse] et « advertising » [publicité]) est l'utilisation de la publicité en ligne pour diffuser des logiciels malveillants[1].
Le « malvertising » consiste à injecter des logiciels malveillants dans des régies publicitaires légitimes et des pages Web[2]. Les publicités en ligne sont une excellente plate-forme pour la diffusion de logiciels malveillants en raison des efforts importants déployés pour attirer les internautes dans le but d'annoncer ou de vendre divers produits[3]. Comme les publicités malveillantes peuvent être insérées dans des sites populaires de bonne réputation, le « malvertising » fournit aux malfaiteurs l'occasion de pousser leurs attaques auprès d'internautes qui pourraient ne pas les voir autrement, en raison de pare-feu ou d'autres précautions de sécurité[4] - [5]. Le « malvertising » est attrayant pour les malfaiteurs parce qu'il permet de transmettre des logiciels malveillants au moyen de nombreux sites légitimes sans que les malfaiteurs aient à percer la sécurité de ces sites[6].
Le « malvertising » est un concept relativement nouveau pour la diffusion de logiciels malveillants et il est difficile à combattre, car il peut faire son chemin dans une page Web et se propager à l'ordinateur d'un internaute à son insu : « La chose intéressante à propos des infections livrées par « malvertising » est que ces infections ne nécessitent aucune action de l'internaute (comme un clic) pour compromettre un ordinateur et elles n'ont pas à exploiter des vulnérabilités sur le site ou le serveur où elles transitent ... les infections livrées par « malvertising » voyagent silencieusement à travers des pages Web légitimes à l'insu de leurs propriétaires. »[7]. Le « malvertising » est capable d'exposer à des logiciels malveillants des millions d'utilisateurs, même les plus prudents, et le phénomène se développe rapidement : « les experts estiment qu'en 2012 près de 10 milliards d'impressions publicitaires ont été compromises par le « malvertising » »[2]. Les attaques de « malvertising » ont une très large portée et sont en mesure d'atteindre un très grand nombre d'internautes par le biais des régies publicitaires. Les entreprises et les sites Web n'ont pas réussi à réduire le nombre d'attaques de « malvertising », ce qui « donne à penser que ce vecteur d'attaque n'est pas susceptible de disparaître bientôt »[6].
Histoire
2007/2008 : La première observation enregistrée de « malvertising » remonte à la fin de 2007 ou au début de 2008. Cette menace était basée sur une vulnérabilité dans Adobe Flash et affectait plusieurs sites, incluant MySpace, Excite et Rhapsody.
2009 : The New York Times Magazine a publié une annonce qui faisait partie d'une fraude au clic et qui a servi à créer le réseau de botnets Bahama qui a été utilisé pour réaliser de la fraude au clic sur des annonces sur tout le web[8]. Une bannière publicitaire fournie par le magazine durant la fin de semaine du 11 au était malicieuse et générait un message avisant le lecteur que son ordinateur était infecté et recommandant le téléchargement d'un correctif qui était en fait un virus. Selon la porte-parole du magazine Diane McNulty, le fraudeur a approché le journal en se présentant comme un annonceur national et il avait fourni des annonces apparemment légitimes durant une semaine, puis les annonces légitimes ont été remplacées par des publicités malveillantes. Informé de la situation, le New York Times Magazine a alors suspendu les publicités de tiers pour analyser et résoudre le problème. Le magazine a même publié des conseils sur le sujet du « malvertising » sur son blogue sur la technologie[9].
2010 : Le « malvertising » décolle vraiment. La publication marketing ClickZ (en) a indiqué que la « Online Trust Alliance » (OTA) avait identifié des milliards d'annonces diffusant des logiciels malveillants sur 3500 sites[10]. La même année, la « Online Trust Alliance » a formé comité de travail anti-malvertising[11].
2011 : Spotify a été victime d'une attaque de « malvertising » utilisant le Blackhole exploit kit (en) - ce fut l'un des premiers exemples d'un téléchargement furtif où un utilisateur n'a même pas besoin de cliquer sur une annonce pour être infecté par des logiciels malveillants. Selon un rapport de Blue Coat Systems (en), 2011 a vu une augmentation de 240 % du nombre de sites diffusant du « malvertising »[12].
2012 : Symantec, dans son rapport « Internet Security Threat 2013 » qui résume les faits saillants du domaine de la sécurité de 2012, consacre une section au « malvertising ». Symantec a utilisé un logiciel de balayage sur une série de sites Web et a détecté que la moitié d'entre eux étaient infectés par du « malvertising »[13]. En 2012, le Los Angeles Times a été frappé par une attaque massive de « malvertising » utilisant le Blackhole exploit kit (en) pour infecter les internautes. Cette attaque faisait partie d'une campagne générale de « malvertising » qui a frappé les grands portails d'information - dans les années suivantes, des attaques semblables ont frappé The Huffington Post et le New York Times.
2013 : Une importante campagne de malvertising a été menée contre yahoo.com, une des plus grandes plates-formes publicitaires du web avec 6,9 milliards de visites mensuelles. Le malware était basé sur une attaque couramment utilisée, le Cross Site Scripting (XSS), numéro trois dans le top 10 des types d'attaques identifiées par le projet Open Web Application Security[14] (OWASP). Les attaques ont infecté les ordinateurs des utilisateurs avec le rançongiciel (« ransomware ») CryptoWall, un « malware » qui extorque de l'argent aux utilisateurs en cryptant leurs données, puis en leur demandant une rançon allant jusqu'à 1000 $ en bitcoins, à verser en 7 jours, pour décrypter les données.
2014 : L'année du « malvertising » avec une augmentation de 325 % des attaques selon le cabinet de sécurité Cyphort[15]. Des attaques majeures ont visé les régies publicitaires Google DoubleClick et Zedo (en). Des portails d'information comme le Times of Israel et le Hindustan Times ont aussi été touchés. Comme lors de précédentes attaques, le rançongiciel CryptoWall a été utilisé pour extorquer de l'argent aux internautes infectés[16].
2015 : L'épidémie de « malvertising » continue sans relâche. En 2015, le malvertising a vraiment atteint les appareils mobiles. Dans son rapport de menaces de , McAfee a identifié que le « malvertising » se développe rapidement sur les plates-formes mobiles et devrait continuer à y croître rapidement[17]. Des attaques importantes ont atteint eBay, answers.com, talktalk.co.uk, wowhead.com (en) et d'autres sites majeurs. Des régies publicitaires comme DoubleClick et Engage:BDR ont été frappées. Une première campagne de malvertising politique a été montée par des militants prorusses qui, au moyen d'un botnet, ont dirigé des internautes vers des sites bidons qui ont généré des revenus publicitaires pour leur cause. Les internautes ont aussi été exposés à des vidéos de propagande pro-russes.
Références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Malvertising » (voir la liste des auteurs).
- (en) William Salusky, « Malvertising », SANS ISC, (consulté le )
- (en) Online Trust Alliance, « Anti-Malvertising Resources », Online Trust Alliance, (consulté le )
- (en) Aditya Sood et Enbody, Richard, « Malvertising - exploiting web advertising », Computer Fraud and Security, , p. 11–16 (lire en ligne, consulté le )
- (en) Bobbie Johnson, « Internet companies face up to 'malvertising' threat », The Guardian, (consulté le )
- (en) « The rise of malvertising and its threat to brands », Deloitte,
- (en) Lenny Zeltser, « Malvertising: Some Examples of Malicious Ad Campaigns », Lenny Zeltser on Information Security (consulté le )
- (en) « Five-month malvertising campaign serves up silent infections », Infosecurity, Reed Exhibitions (consulté le )
- Article intitulé Bahama, le botnet spécialisé dans la fraude aux clics
- (en) Aimee Picchi, « Malvertising hits The New York Times », The Daily Finance, (lire en ligne, consulté le )
- (en) « Billions of Web Ads Carried Malware in 2010 - ClickZ », sur ClickZ, (consulté le ).
- « reuters.com/article/2010/09/08… »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?).
- « https://www.bluecoat.com/sites/default/files/editor_files/BC_2012_Security_Report-v1i-optimized.pdf »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)
- http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf
- (en) « OWASP Top Ten », sur owasp.org (consulté le ).
- http://go.cyphort.com/rs/181-NTN-682/images/Malvertising-Report-15-RP.pdf
- (en) http://www.pcworld.com/article/2600543/cryptowall-held-over-halfamillion-computers-hostage-encrypted-5-billion-files.html
- http://www.mcafee.com/uk/resources/reports/rp-quarterly-threat-q4-2014.pdf « Copie archivée » (version du 4 mars 2016 sur Internet Archive)