UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE La plupart des services gratuits web que nous utilisons aujourd’hui -des moteurs de recherche aux emails, de la consultation de cartes et d’itinéraires jusqu’aux réseaux sociaux et même aux sites vidéos et jeux en lignes- restent et demeurent gratuits grâce au financement par la publicité en ligne. La publicité en ligne est un énorme marché de plusieurs milliards d’euros, s’appuyant sur une infrastructure, un modèle et un réseau déjà éprouvé. Cette puissance et cette efficacité ne sert pas que les industries légitimes, mais également les organisations dites cyber criminelles. En effet, dans le dernier rapport sur Les Menaces Web 2011 par Blue Coat Systems, la pub-illicité (publicité-illicite) a surgit de nulle part en se plaçant directement en troisième position dans le top 10 des nouvelles méthodes d’attaques sur le web en 2010. Jetons un œil sur le fonctionnement de ce nouveau phénomène et sur la façon de l’appréhender et de s’en protéger. LE MODELE DE LA PUBLICITE EN LIGNE La publicité en ligne repose sur un modèle marketing d’affiliation, où les annonceurs lancent une campagne dont les frais d’annonces sont liés à des systèmes de référencements ou par des actions mesurables qui vont générer du trafic vers l’annonceur. La complexité du réseau d’affiliation repose sur l’interaction entre les medias en ligne et leurs programmes d’affiliation, c'est-à-dire à la popularité, au faire venir et au trafic généré par une page sur laquelle se placera l’annonce. L’infrastructure est vaste et complexe, avec un nombre colossal de transactions ainsi qu’une interpénétration des liens basés sur des relations de liens directs ou indirects (pertinence et cohérence en relation avec le sujet), de relations commerciales ou de popularité. Il arrive que certaines régies publicitaires reconnues et réputées externalisent et pointent vers des domaines plus petits et moins sécurisés ; par le jeu des liens et des multiples degrés de séparation, d’automatisation entre la société d’achat d’espaces publicitaires et le lien réel ou sera posté l’annonce, la réputation et la confiance sont parfois mises de côté. Les cyber criminels adorent s’appuyer sur la confiance et la réputation, ainsi que sur l’infrastructure liée-pour distiller leurs logiciels malveillants au plus grand nombre possible. L’introduction d’une « publ-illicité » au sein d’un réseau réputé et légitime permet au cybercriminel d’avoir une audience beaucoup plus large et ce, en toute discrétion. Les 2 actions possibles par les cyber criminels sont les suivantes: Créer une publicité fiable et sans danger qui - une fois les défenses affaiblies par une réputation établiese transforme en quelque chose de beaucoup plus dangereux Infecter une publicité dont la réputation est déjà solide en utilisant les mêmes méthodes que pour l’infection d’un site légitime renommé. Anatomie d’une attaque Voici une attaque typique qui a récemment touchée l’Inde et qui a été observée par les Laboratoires de Blue Coat. Comme la plupart des sites d’informations gratuits, l’un des premiers sites indien d’informations et de divertissementsscreenindia.com-est financé par la publicité. Un des liens pour une publicité en ligne pointait vers doubleclick.net, une société respectée et connue dans le domaine de la publicité Depuis doubleclick.net, quelques scripts Java menaient vers daniton.com qui apparaissait comme un affilié de confiance au sein du réseau. Lors de la première visite sur daniton.com rien ne se produisait. Lors de la seconde visite, un script Java conséquent et encrypté était installé Le Java Script depuis daniton procédait par l’injection d’une balise HTML dans la page originale hôte La balise demandait silencieusement au navigateur de l’utilisateur d’appeler un logiciel malicieux (qui, de manière intéressante, changeait d’emplacement quotidiennement) et permettait ainsi de télécharger un fichier PDF corrompu. A noter également, une des fonctions de cette balise HTML était d’identifier quelle version d’Acrobat Reader était utilisée afin de mieux investir la faille. Une campagne de promotion criminelle en ligne se déroule de la même façon qu’une campagne réelle, à la différence que, soudainement et silencieusement, la publicité va se réveiller et renvoyer vers un site illicite. Ce site va alors infecter le poste de l’utilisateur, volant des mots de passe et identifiants ou bien encore des données au sein d’une entreprise. Etudions maintenant comment l’annonce en ligne arrive sur la page web par le réseau d’affiliation et comment les cyber-criminels tirent parti de cette infrastructure. Typiquement, le propriétaire d’un site web vend une partie de son espace à une régie publicitaire avec laquelle il a déjà l’habitude de travailler. Tout est automatisé, c'est-à-dire que lorsqu’un article est posté sur un site, les mots clés de cet article sont remontés vers le logiciel de la régie de manière automatique. Par exemple, avec les mots clés « Golf », « Cote d’azur » et « Luxe », nous voulons cibler la vente de séjour/golf de luxe sur la Cote d’Azur. Le logiciel, côté régie, va trouver les publicités adéquates et pertinentes en rapport avec l’article. Si aucune campagne de promotion en rapport avec le contenu n’est trouvée, le logiciel est programmé pour placer une publicité au sein du réseau d’affiliation du partenaire avec un rapport plus éloigné et un coût plus faible. Si, au sein de ce réseau, il n’y pas de campagne appropriée ou le coût n’est pas accepté par l’annonceur, le logiciel opte alors pour une publicité encore plus générique et moins chère auprès d’un autre affilié et ainsi de suite. Clairement, cet enchevêtrement d’accords, grand flou sur les responsabilités entre affiliés et sous affiliés/partenaires, offre une opportunité considérable pour une pub-illicité. Maintenant, comme toute publicité en ligne classique, les pub-illicité peuvent être ciblées et ajustées (par des mots clés comme « protection des données » ou « banque en ligne ») afin d’accroitre leur efficacité. Elles peuvent ainsi créer une dynamique de liens permettant d’attirer uniquement un certain type de visiteurs. LA PATIENCE COMME ATOUT POUR CONTOURNER LES DEFENSES Une notion clé des publicités malveillantes est que le démarrage va se faire de manière innocente, permettant de franchir à de nombreuses reprises les logiciels de sécurité en acquérant par la même, une solide et honnête réputation. A l’instar d’un espion dormant dans les romans d’espionnage, la patience paie. Prendre son temps afin d’établir une réputation de confiance grâce aux mêmes barrières censées nous protéger des ces menaces, et se dévoiler au moment opportun est très efficace. Quand le dormeur se réveille, il affiche alors un élément différent ou pointe alors vers une autre url malicieuse profitant de la pleine confiance des moteurs antivirus et autres outils de filtrage web. Le jour suivant, l’ensemble du processus a disparu. Les attaques cyber criminelles ont tendance à se dérouler le week -end lorsque les ressources IT sont moins nombreuses et que les logiciels attendent une mise à jour programmée. Souvenez vous que la défense classique du web est articulée autour de cycle de mise à jour, une nouvelle base de donnée de signatures doit être appliquée afin que la menace soit prise en compte. LES TECHNIQUES ESSENTIELLES POUR SE PROTEGER Les cyber-criminels patientent souvent des mois afin d’établir une légitimité au sein des infrastructures publicitaires et de frapper ainsi au moment le plus opportun. Il est donc clair que face à la publ-illicité, vos dispositifs de sécurité sont inefficaces car basés sur un système de blocage par réputation. Nous devons donc nous appuyer sur des techniques de sécurité basées sur une analyse en temps réel. De la même façon, nous ne pouvons pas nous appuyer sur l’attente d’une mise à jour pour que notre pc soit protégé de manière optimale. Si votre système de sécurité dispose d’une fonction « cliquez ici pour mettre à jour vos définitions de virus », nous pouvons certainement déduire que c’est là une faiblesse et une porte ouverte pour les cyber criminels et ce, spécialement le week end. La protection des utilisateurs, qu’ils soient à domicile, sur la route ou au sein de leurs entreprises, doit être constamment mise à jour en temps réel et c’est là une des fonctions clés d’une offre sécurité Cloud en temps réel. LE TEMPS REEL ET LE PARTAGE COMME SEULE PARADE POSSIBLE Le partage d’information est un élément absolument clé. Les éditeurs d’antivirus ou les constructeurs comme Blue Coat reçoivent, à tout moment, des informations sur une nouvelle attaque quelque part dans le monde. Contre ces nouvelles menaces dynamiques, la parade est d’avoir un « super cerveau » qui reçoit l’ensemble des informations et qui traite, informe et agit en temps réel avec la totalité des utilisateurs sur la planète. C’est le principe du cloud. Des centres de données sont dispersés sur plusieurs continents et collectent en temps réel les informations, traitent ou bloquent les menaces et partagent le résultat avec l’ensemble des utilisateurs. Bien sur, plus le nombre d’utilisateurs est important, plus le traitement est optimal et efficace. La solution Cloud Securité par Blue Coat dispose de plus de 75 millions d’utilisateurs. Et nous ne sommes pas seuls, des éditeurs comme Mac Affee, Kaspersky, Trend Micro ou Sophos participent à la mise en commun des informations et traitement. Ou que vous soyez dans le monde avec une solution Blue Coat, vous êtes protégés en temps réel grâce à notre offre sécurité Cloud et ce quelque soit l’ancienneté ou la virulence de l’attaque. Dave Ewart EMEA Product Marketing Director Blue Coat Systems QUELQUES CHIFFRES CLES Pub-illicité = 100% de croissance entre le 3eme et 4eme trimestre 2010 Plus d’un million de sites web infectés au 4eme trimestre 2010 La probabilité d’une infection après 3 mois de surf en moyenne est de 95% Les pub-illicités privilégient les réseaux sociaux par le jeu de génération de contenu dynamiques en fonction des profils des personnes ILLUSTRATION OPTIONNELLE Figure 1 Les analyses des menaces par les laboratoires Blue Coat sont illustrées par des représentations visuelles des multiples liens des serveurs de pub-illicité, et les sites innocents (et moins innocents) qui piègent les victimes. Voici l’ exemple d’un graphique qui illustre comment les pub-illicités sont hautement efficaces à travers un parcours guidé. Les sites malicieux sont les 2 nœuds identifiés en rouge en bas du graphique. Les niveaux supérieurs sont des publicités qui ont pour objectif de diriger et de générer du trafic vers les 2 premiers niveaux et qui participent à la bonne réputation et à l’acceptation des flux pour les systèmes de sécurité existants. Les nœuds roses montrent le nombre colossal de lien entrants depuis des sites légitimes amenés par l’annonce publicitaire.