Nouvelles

La fraude via le 'malvertising'

15 octobre 2019

Le malvertising désigne un logiciel malveillant (malware) qui se propage  par le biais de fausses publicités diffusées sur les sites que vous visitez. Comment cela se passe-t-il  réellement et comment se protéger ?

Le malvertising ou fausse publicité : une nouvelle forme de fraude

Les cybercriminels font preuve d’une ingéniosité sans cesse croissante. Chaque fois, ils trouvent de nouvelles manières de perpétrer leurs actes frauduleux. Leur dernière trouvaille consiste à attaquer via le 'malvertising': les criminels utilisent les pubs en ligne avec un contenu nuisible par le biais duquel ils diffusent des maliciels ou contaminent des systèmes.

Exemple: si vous avez visité récemment un site populaire comme tweedehands.be ou buienradar.be, vous avez vu soudain s’afficher une pub pour un opérateur télécom connu, emballée dans un pop-up. Si vous avez cliqué sur le pop-up, vous êtes arrivé sur un site parfaitement semblable à celui de l’opérateur, où l’on vous demandait de compléter vos données sous prétexte d’une enquête.

L’opérateur en question n’avait rien à voir avec ces publicités, qui étaient en réalité disséminées par des cybercriminels via un réseau d’annonceurs. Les pubs contenaient le logo et le look de l’opérateur, parfaitement imités pour mieux vous induire en erreur.

Les sites web où apparaissaient ces pubs n’étaient pas au courant. Comme de nombreux autres sites, ils travaillent avec un réseau d’annonceurs et mettent donc certains espaces de leur site à sa disposition. Si vous visitez le site, le réseau affiche automatiquement une pub issue de son portefeuille et adaptée à votre profil.

Comment ça marche ?

Le malvertising a pour but de propager des maliciels ou d’usurper des données personnelles. C’est ce second but qui était poursuivi lors de la vague récente de malvertising, où le nom et le logo de l’opérateur Telenet ont été usurpés.  Il est toutefois beaucoup plus fréquent que de véritables maliciels soient disséminés par le biais du malvertising.

Comment ça marche ? Les cybercriminels cachent un morceau de code dans une pub apparemment inoffensive, souvent via un iFrame, sorte de cadre invisible qui vous amène discrètement vers d’autres pages.  Si vous cliquez sur la pub, vous êtes dirigé vers un serveur contrôlé par les cybercriminels.

Dans la plupart des cas, cette première phase est suivie d’un 'exploit kit', sorte de maliciel qui évalue votre ordinateur et vérifie s’il y a des failles dans vos programmes et système d’exploitation. Il utilise ensuite ces failles pour installer un maliciel sur votre ordinateur, dérober des données financières ou d’autres informations sensibles ou verrouiller votre machine (ransomware).

Votre ordinateur peut également être étiqueté comme 'zombie-computer' dans un 'botnet' – un grand nombre de machines compromises utilisées par les cybercriminels lors d’attaques DDoS de grande envergure. Ces attaques inondent les serveurs de sites connus de fausses demandes de consultation au point de provoquer un engorgement du trafic, de rendre les sites visés inaccessibles et même de bloquer les serveurs.

Tout cela se passe en arrière-plan, sans que l’on puisse rien remarquer ni réagir.

Pourquoi le malvertising est-il si tenace ?

Comme nous l’avons déjà dit, la plupart des (grands) sites web travaillent aujourd’hui avec un réseau d’annonceurs qui se charge d’afficher des pubs.

Dans de nombreux cas, il s’agit même de vastes réseaux mondiaux comptant un très grand nombre de sites, d’annonceurs et de publicités.

Ces réseaux d’annonceurs ne parviennent donc pas ou très difficilement à analyser en détail chaque publicité avant de l’inclure dans le réseau. Ils ne réagissent généralement qu’après qu’une plainte a été déposée contre l’annonce d’un groupe ou d’une entreprise donné. Ce n’est qu’à ce moment que l’annonce ou l’annonceur est passé au crible.

L’automatisation poussée de pubs comme le real time bidding a encore un autre effet secondaire : les experts en cybersécurité estiment qu’il est extrêmement difficile d’identifier quelles annonces contiennent un maliciel. Parce que les réseaux publient sans cesse de nouvelles annonces, personnalisées en fonction du visiteur. Lorsque deux visiteurs surfent sur le même site, un peut être contaminé et l’autre pas…

Comment se protéger contre le malvertising

Suivez ces conseils :

  • Vérifiez quels plug-ins, add-ons et extensions sont actifs dans votre navigateur . Sur Firefox: cliquez sur le menu hamburger en haut à droite et choisissez add-ons
    • Vous avez le plug-in Flash ? Nous vous conseillons de le désactiver. Cette technologie était autrefois souvent utilisée pour des animations sur des sites, mais elle était une cible facile pour les fraudeurs cherchant à propager des maliciels. Désactivez Flash dans votre navigateur. Si vous visitez un site qui ne fonctionne pas sans Flash, vous pouvez toujours réactiver temporairement ce plug-in. Vous constaterez par ailleurs que Flash est de moins en moins utilisé.
    • Vous voyez aussi le plug-in Java ? Nous vous conseillons de le supprimer. Cette technologie était souvent utilisée autrefois pour des sites d’entreprise (banque en ligne par exemple). Mais elle a aussi ses lacunes et n’est donc pratiquement plus jamais utilisée sur les sites web. Si un site requiert malgré tout Java, nous vous conseillons la méthode des 2 navigateurs : visitez ce site avec un navigateur où Java est activé et visitez tous les autres sites avec un autre navigateur.
  • Supprimez les extensions, add-ons et plug-ins installés mais que vous n’utilisez pas.
  • Tenez votre navigateur à jour. Installez les mises à jour dès que vous êtes informé qu’une nouvelle version est disponible. Cela vaut aussi pour tous les logiciels installés sur votre appareil ainsi que pour le système d’exploitation (Windows, Chrome, iOS, …). Vous éviterez ainsi les 'zero-day exploits' où le fraudeur tire directement parti d’une faille dans un logiciel avant qu’un correctif soit disponible.
  • Lorsque vous surfez : fermez les onglets que vous n’utilisez pas. Vous limiterez ainsi le nombre de pubs tournant en arrière-plan et vous réduirez en même temps le risque.
  • Commencez toujours par regarder l’adresse qui se cache derrière un lien web avant de cliquer dessus. Déplacez le curseur sur le lien pour voir apparaître l’URL.
  • Analysez bien le nom de domaine : bankieren.kbc.be.xyz n’est pas une adresse web de kbc.be, mais bien de be.xyz!
  • Vous êtes titulaire de votre nom de domaine mais vous avez cessé vos activités? Conservez votre nom de domaine. Vous éviterez ainsi tout abus par des tiers dans une campagne de malvertising. La petite somme que vous payez annuellement pour cet enregistrement n’est rien en comparaison de ce que peut vous coûter une fraude !

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.