Se protéger du malvertising
En 2007, des pirates ont commencé à se servir de la publicité online pour infiltrer des éléments téléchargeables malveillants sur les navigateurs des clients. La bonne nouvelle, c’est que les éditeurs peuvent prendre des mesures pour réduire cette menace. Quelques conseils pour se protéger efficacement.
Dans le secteur de la publicité online, nous avons l'habitude d'envisager la sécurité en termes de problèmes qui impactent les résultats des annonceurs, mais qui bien souvent n'affectent pas directement les internautes. Or tout a changé en 2007, lorsque des pirates ont commencé à se servir de la publicité online pour infiltrer des éléments téléchargeables malveillants sur les navigateurs des clients. Nous devons donc désormais nous impliquer encore davantage que par le passé.
Ces bannières publicitaires malveillantes sont souvent vendues directement à l'équipe commerciale de l'éditeur Web, ou parfois par le biais de régies publicitaires. Généralement, l'éditeur est approché par une personne se réclamant d'une agence de publicité. Celle-ci propose des créations publicitaires de marques célèbres, même si, en réalité, elle ne représente pas ces annonceurs. De plus, il y a de fortes chances pour que vous n'ayez jamais entendu parler de cette agence auparavant. La création publicitaire est remise à l'éditeur sans ad-serving tiers. Enfin, ces agences demanderont à payer par carte de crédit et contactent souvent les éditeurs par le biais de services webmail gratuits.
Pour le moment, l'infiltration de logiciels malveillants s'effectue généralement par des fichiers Flash secondaires appelés fichiers SWF mais également via des publicités non-Flash. Une fois téléchargées, ces applications activent une URL externe qui libère le logiciel malveillant dans l'ordinateur. Une fenêtre apparaît alors pour informer le client que son ordinateur a été infecté par un spyware (logiciel espion) et pour lui proposer un nettoyage moyennant des frais payables par carte de crédit. Ce genre d'expériences extrêmement déplaisantes peut dissuader à jamais un client de se rendre sur votre site Web, voire affecter, de façon plus globale, la relation entre les internautes et la publicité online.
La bonne nouvelle, c'est que les éditeurs peuvent prendre dès à présent des mesures pour réduire cette menace de manière significative. Nous aidons notamment nos clients à enquêter sur leur régie publicitaire en cas de doute sur une infiltration de logiciel malveillant dans leur site. Il est en effet possible d'en extraire les éléments permettant d'identifier l'origine des dits logiciels puis analyser le fichier impliqué pour comprendre le mécanisme de livraison et mettre ainsi en place des moyens efficaces de prévention.
Pour autant, les vendeurs de systèmes de sécurité sur Internet, polarisés sur les ordinateurs personnels et les réseaux d'entreprise, ne proposent pas, aujourd'hui, de systèmes de sécurité de grande envergure capables de scanner suffisamment rapidement les millions de créations publicitaires qui entrent et sortent constamment des ad servers pour identifier les publicités malveillantes et les stopper avant leur diffusion.
Fort de ce constat, il nous a été nécessaire de déployer des compétences dans le domaine de la sécurité tel que le fait de pouvoir scanner toutes les créations publicitaires hébergées dans nos ad servers (ainsi que tous les liens de redirection et fichiers externes activés par ces créations) 24 heures sur 24, afin d'arrêter les créations malveillantes avant qu'elles ne soient diffusées dans le système.
Cependant, comme avec toutes les applications de sécurité en ligne, il se peut que ces personnes mal attentionnées prennent de l'avance pendant une courte période. Même si des solutions sont ponctuellement trouvées, il est nécessaire de ne pas relâcher l'attention et d'anticiper de futures attaques potentielles pour être prêt à les contrer, lorsqu'elles auront évolué.
Enfin, l'ensemble de la profession doit se mobiliser et veiller à sensibiliser les clients. En effet, si le système de sécurité est performant, tout le monde en sera bénéficiaire, aussi bien les utilisateurs, les développeurs qui mettent en place nos applications, que les spécialistes de la sécurité. Car lorsque des logiciels malveillants sont introduits par le biais de notre industrie, c'est toute la chaîne qui en souffre : la perception qu'ont de notre activité les internautes devient négative et le blocage des publicités en ligne pourraient être plus fréquent. Il nous faut donc agir ensemble pour sécuriser cette industrie.
Quelques conseils pour se protéger efficacement :
1 - S'assurer que son prestataire d'ad-serving dispose d'un système de protection fiable contre les logiciels malveillants et demander des précisions pour évaluer exactement le niveau de sécurité du serveur de publicité. Toutes les créations publicitaires sont-elles scannées en temps réel pour pouvoir être stoppées dans le système avant leur diffusion ? Les fichiers externes sont-ils scannés ?
2 - Ne pas faire confiance aux nouveaux annonceurs sans avoir préalablement vérifié leur réputation et sensibiliser son équipe commerciale. Les éditeurs qui réussissent le mieux à contrer ces attaques sont ceux qui exigent une adresse postale : ils envoient alors un formulaire au nouvel annonceur et n'acceptent de signer le contrat qu'après que le formulaire a bien été reçu.
3 - Ne jamais accepter de paiement par carte de crédit.
4 - Ne pas répondre aux requêtes des «agences» entrant en contact par le biais d'adresses e-mail non professionnelles.
5 - Bannir les créations publicitaires intégrant des redirections à partir de fichiers SWF Flash externes.
6 - Procéder à un contrôle de qualité sur toutes les nouvelles créations publicitaires pour s'assurer qu'elles ne sont pas infectées et se concentrer plus particulièrement sur les créations provenant de nouveaux annonceurs.
7 - S'assurer que les régies publicitaires avec lesquelles vous travaillez disposent de protections contre les logiciels malveillants fiables et qu'elles sont prêtes à agir immédiatement en cas de problème.