une nouvelle menace : la pub-illicite ou quand la publicite sert de
UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA
CYBER CRIMINALITE
La plupart des services gratuits web que nous utilisons aujourd’hui -des moteurs de recherche aux emails, de la
consultation de cartes et d’itinéraires jusqu’aux réseaux sociaux et même aux sites vidéos et jeux en lignes- restent
et demeurent gratuits grâce au financement par la publicité en ligne.
La publicité en ligne est un énorme marché de plusieurs milliards d’euros, s’appuyant sur une infrastructure, un
modèle et un réseau déjà éprouvé. Cette puissance et cette efficacité ne sert pas que les industries légitimes, mais
également les organisations dites cyber criminelles.
En effet, dans le dernier rapport sur Les Menaces Web 2011 par Blue Coat Systems, la pub-illicité (publicité-illicite)
a surgit de nulle part en se plaçant directement en troisième position dans le top 10 des nouvelles méthodes
d’attaques sur le web en 2010. Jetons un œil sur le fonctionnement de ce nouveau phénomène et sur la façon de
l’appréhender et de s’en protéger.
LE MODELE DE LA PUBLICITE EN LIGNE
La publicité en ligne repose sur un modèle marketing d’affiliation, où les annonceurs lancent une campagne dont
les frais d’annonces sont liés à des systèmes de référencements ou par des actions mesurables qui vont générer du
trafic vers l’annonceur. La complexité du réseau d’affiliation repose sur l’interaction entre les medias en ligne et
leurs programmes d’affiliation, c'est-à-dire à la popularité, au faire venir et au trafic généré par une page sur
laquelle se placera l’annonce.
L’infrastructure est vaste et complexe, avec un nombre colossal de transactions ainsi qu’une interpénétration des
liens basés sur des relations de liens directs ou indirects (pertinence et cohérence en relation avec le sujet), de
relations commerciales ou de popularité.
Il arrive que certaines régies publicitaires reconnues et réputées externalisent et pointent vers des domaines plus
petits et moins sécurisés ; par le jeu des liens et des multiples degrés de séparation, d’automatisation entre la
société d’achat d’espaces publicitaires et le lien réel ou sera posté l’annonce, la réputation et la confiance sont
parfois mises de côté.
Les cyber criminels adorent s’appuyer sur la confiance et la réputation, ainsi que sur l’infrastructure liée-pour
distiller leurs logiciels malveillants au plus grand nombre possible. L’introduction d’une « publ-illicité » au sein d’un
réseau réputé et légitime permet au cybercriminel d’avoir une audience beaucoup plus large et ce, en toute
discrétion.
Les 2 actions possibles par les cyber criminels sont les suivantes:
Créer une publicité fiable et sans danger qui - une fois les défenses affaiblies par une réputation établie-
se transforme en quelque chose de beaucoup plus dangereux
Infecter une publicité dont la réputation est déjà solide en utilisant les mêmes méthodes que pour
l’infection d’un site légitime renommé.
Une campagne de promotion criminelle en ligne se déroule de la même
façon qu’une campagne réelle, à la différence que, soudainement et
silencieusement, la publicité va se réveiller et renvoyer vers un site
illicite. Ce site va alors infecter le poste de l’utilisateur, volant des mots
de passe et identifiants ou bien encore des données au sein d’une
entreprise.
Etudions maintenant comment l’annonce en ligne arrive sur la page web
par le réseau d’affiliation et comment les cyber-criminels tirent parti de
cette infrastructure.
Typiquement, le propriétaire d’un site web vend une partie de son
espace à une régie publicitaire avec laquelle il a déjà l’habitude de
travailler. Tout est automatisé, c'est-à-dire que lorsqu’un article est
posté sur un site, les mots clés de cet article sont remontés vers le
logiciel de la régie de manière automatique. Par exemple, avec les mots
clés « Golf », « Cote d’azur » et « Luxe », nous voulons cibler la vente de
séjour/golf de luxe sur la Cote d’Azur. Le logiciel, côté régie, va trouver
les publicités adéquates et pertinentes en rapport avec l’article. Si
aucune campagne de promotion en rapport avec le contenu n’est
trouvée, le logiciel est programmé pour placer une publicité au sein du
réseau d’affiliation du partenaire avec un rapport plus éloigné et un coût
plus faible. Si, au sein de ce réseau, il n’y pas de campagne appropriée
ou le coût n’est pas accepté par l’annonceur, le logiciel opte alors pour
une publicité encore plus générique et moins chère auprès d’un autre
affilié et ainsi de suite.
Clairement, cet enchevêtrement d’accords, grand flou sur les
responsabilités entre affiliés et sous affiliés/partenaires, offre une
opportunité considérable pour une pub-illicité.
Maintenant, comme toute publicité en ligne classique, les pub-illicité
peuvent être ciblées et ajustées (par des mots clés comme « protection
des données » ou « banque en ligne ») afin d’accroitre leur efficacité.
Elles peuvent ainsi créer une dynamique de liens permettant d’attirer
uniquement un certain type de visiteurs.
LA PATIENCE COMME ATOUT POUR CONTOURNER LES
DEFENSES
Une notion clé des publicités malveillantes est que le démarrage va se
faire de manière innocente, permettant de franchir à de nombreuses
reprises les logiciels de sécurité en acquérant par la même, une solide et
honnête réputation.
A l’instar d’un espion dormant dans les romans d’espionnage, la
patience paie. Prendre son temps afin d’établir une réputation de
Anatomie d’une attaque
Voici une attaque typique qui a
récemment touchée l’Inde et qui a
été observée par les Laboratoires
de Blue Coat.
Comme la plupart des sites
d’informations gratuits, l’un des
premiers sites indien d’informations
et de divertissements-
screenindia.com-est financé par la
publicité.
Un des liens pour une publicité
en ligne pointait vers
doubleclick.net, une société
respectée et connue dans le
domaine de la publicité
Depuis doubleclick.net, quelques
scripts Java menaient vers
daniton.com qui apparaissait
comme un affilié de confiance
au sein du réseau.
Lors de la première visite sur
daniton.com rien ne se
produisait. Lors de la seconde
visite, un script Java conséquent
et encrypté était installé
Le Java Script depuis daniton
procédait par l’injection d’une
balise HTML dans la page
originale hôte
La balise demandait
silencieusement au navigateur
de l’utilisateur d’appeler un
logiciel malicieux (qui, de
manière intéressante, changeait
d’emplacement
quotidiennement) et permettait
ainsi de télécharger un fichier
PDF corrompu.
A noter également, une des
fonctions de cette balise HTML
était d’identifier quelle version
d’Acrobat Reader était utilisée
afin de mieux investir la faille.
confiance grâce aux mêmes barrières censées nous protéger des ces menaces, et se dévoiler au moment opportun
est très efficace. Quand le dormeur se réveille, il affiche alors un élément différent ou pointe alors vers une autre
url malicieuse profitant de la pleine confiance des moteurs antivirus et autres outils de filtrage web. Le jour
suivant, l’ensemble du processus a disparu.
Les attaques cyber criminelles ont tendance à se dérouler le week -end lorsque les ressources IT sont moins
nombreuses et que les logiciels attendent une mise à jour programmée. Souvenez vous que la défense classique du
web est articulée autour de cycle de mise à jour, une nouvelle base de donnée de signatures doit être appliquée
afin que la menace soit prise en compte.
LES TECHNIQUES ESSENTIELLES POUR SE PROTEGER
Les cyber-criminels patientent souvent des mois afin d’établir une légitimité au sein des infrastructures
publicitaires et de frapper ainsi au moment le plus opportun. Il est donc clair que face à la publ-illicité, vos
dispositifs de sécurité sont inefficaces car basés sur un système de blocage par réputation. Nous devons donc
nous appuyer sur des techniques de sécurité basées sur une analyse en temps réel.
De la même façon, nous ne pouvons pas nous appuyer sur l’attente d’une mise à jour pour que notre pc soit
protégé de manière optimale. Si votre système de sécurité dispose d’une fonction « cliquez ici pour mettre à jour
vos définitions de virus », nous pouvons certainement déduire que c’est là une faiblesse et une porte ouverte pour
les cyber criminels et ce, spécialement le week end. La protection des utilisateurs, qu’ils soient à domicile, sur la
route ou au sein de leurs entreprises, doit être constamment mise à jour en temps réel et c’est là une des
fonctions clés d’une offre sécurité Cloud en temps réel.
LE TEMPS REEL ET LE PARTAGE COMME SEULE PARADE POSSIBLE
Le partage d’information est un élément absolument clé. Les éditeurs d’antivirus ou les constructeurs comme Blue
Coat reçoivent, à tout moment, des informations sur une nouvelle attaque quelque part dans le monde. Contre ces
nouvelles menaces dynamiques, la parade est d’avoir un « super cerveau » qui reçoit l’ensemble des informations
et qui traite, informe et agit en temps réel avec la totalité des utilisateurs sur la planète.
C’est le principe du cloud. Des centres de données sont dispersés sur plusieurs continents et collectent en temps
réel les informations, traitent ou bloquent les menaces et partagent le résultat avec l’ensemble des utilisateurs.
Bien sur, plus le nombre d’utilisateurs est important, plus le traitement est optimal et efficace. La solution Cloud
Securité par Blue Coat dispose de plus de 75 millions d’utilisateurs. Et nous ne sommes pas seuls, des éditeurs
comme Mac Affee, Kaspersky, Trend Micro ou Sophos participent à la mise en commun des informations et
traitement. Ou que vous soyez dans le monde avec une solution Blue Coat, vous êtes protégés en temps réel grâce
à notre offre sécurité Cloud et ce quelque soit l’ancienneté ou la virulence de l’attaque.
Dave Ewart
EMEA Product Marketing Director Blue Coat Systems
QUELQUES CHIFFRES CLES
Pub-illicité = 100% de croissance entre le 3eme et 4eme trimestre 2010
Plus d’un million de sites web infectés au 4eme trimestre 2010
La probabilité d’une infection après 3 mois de surf en moyenne est de 95%
Les pub-illicités privilégient les réseaux sociaux par le jeu de génération de contenu dynamiques en
fonction des profils des personnes
ILLUSTRATION OPTIONNELLE
Figure 1
Les analyses des menaces par les laboratoires Blue Coat sont illustrées par des représentations visuelles des
multiples liens des serveurs de pub-illicité, et les sites innocents (et moins innocents) qui piègent les victimes. Voici
l’ exemple d’un graphique qui illustre comment les pub-illicités sont hautement efficaces à travers un parcours
6
1
/
6
100%
