La semaine dernière a été un peu tendue pour beaucoup d’abonnés à Spotify. Un utilisateur a signalé dans le forum de support que la version gratuite du service affichait des publicités malveillantes. Peu de temps après, une avalanche de rapports similaires est apparue sur place et sur les réseaux sociaux. La question a suscité l’indignation, bien sûr : comment une entreprise de cette taille peut-elle laisser une telle chose se produire ? La vérité est que si ce n’était qu’avec Spotify, tout irait bien.
Sommaire
Malvertising
Les publicités malveillantes sur Internet sont un vieux problème, à tel point qu’il a acquis un nom : la malversation. Pour résumer, une publicité malveillante n’est rien d’autre qu’une publicité qui diffuse des logiciels malveillants. Mais aujourd’hui, ce type de publicité est suffisamment évolué pour servir plusieurs objectifs distincts, notamment pour saisir des données, appliquer des escroqueries et commercialiser des produits illégaux.
Il n’est pas difficile d’identifier les publicités malveillantes. Les plus classiques, pour ainsi dire, disent que vous recevrez un prix pour avoir été le numéro 1 million de visiteurs de cette page, ils disent que votre ordinateur est infecté par un virus e ils proposent une formule magique pour vous permettre de gagner de l’argent pendant votre sommeil, pour ne donner que quelques exemples.
Ces publicités sont généralement diffusées sur des sites de qualité douteuse, comme ceux qui proposent des contenus pour adultes ou qui distribuent des liens vers des téléchargements illégaux. Le problème est que personne ne s’attend à ce que des publicités malveillantes apparaissent sur des sites ou des services ayant une bonne réputation. Mais de temps en temps, ils apparaissent.
Spotify n’est que le dernier cas en date. Yahoo, Google, Microsoft (avec le portail MSN) ont également connu des problèmes similaires. Sur Facebook, des publicités sur de faux magasins apparaissent chaque jour. À maintes reprises, le Twitter affiche également des publicités dangereuses. Il existe de nombreux mécanismes de contrôle, mais aucun site web qui fonctionne avec annonces est immunisé contre la malversation.
Comment les publicités malveillantes y parviennent-elles ?
Les publicités que vous trouvez sur le web, les réseaux sociaux et autres services en ligne sont presque toujours contrôlées par des réseaux publicitaires qui gèrent beaucoup de trafic. Les entreprises responsables fixent généralement des critères de sécurité et de qualité stricts pour éviter que les publicités ne soient utilisées pour diffuser des logiciels malveillants, promouvoir des produits interdits, répandre des stratagèmes frauduleux, etc.
Il existe un dicton qui dit qu’une règle est censée être enfreinte, ce qui indique que un ensemble rigide de critères ne suffit pas pour combattre la malversation. Les mécanismes de contrôle sont tout aussi importants. L’obstacle le plus efficace est l’analyse humaine, mais il n’est pas possible de maintenir une gigantesque armée de personnes pour approuver (ou désapprouver) chaque publicité, aussi les réseaux publicitaires emploient-ils également des technologies de filtrage.
Avec des services comme AdWords et DoubleClick, Google contrôle la plupart des annonces diffusées sur Internet, soit sur ses propres services, soit sur des sites partenaires. La société affirme avoir bloqué 780 millions de publicités malveillantes rien qu’en 2015 grâce à la combinaison d’algorithmes sophistiqués et aux efforts d’une équipe de plus d’un millier d’analystes.
Dans d’autres réseaux, ce type de contrôle existe également, mais comme la quantité de publicités qui apparaissent chaque jour est gigantesque, de nombreuses publicités malveillantes finissent par passer à travers les filtres. Sans compter que les responsables de ces publicités s’améliorent également : l’une des nombreuses astuces qu’ils ont récemment utilisées pour obtenir l’approbation est d’enregistrer les domaines expirés qui appartenaient autrefois à des sociétés de publicité.
Mais le pire problème, je le crains, est la “cécité intentionnelle” : il n’est pas rare qu’un réseau publicitaire ou un véhicule ferme les yeux sur des publicités malveillantes dans l’espoir d’être bien payé. Il existe également des entreprises du secteur qui ont simplement des règles moins strictes, ce qui rend les publicités potentiellement dangereuses techniquement légitimes.
En France, un exemple remarquable d’annonce nuisible mais techniquement légitime est celui de Neon Eletro. Entre 2012 et 2013, le magasin a diffusé des publicités sur la page d’accueil d’UOL pour promouvoir des produits électroniques dont les prix étaient bien inférieurs à la moyenne. Les publicités du magasin ne diffusaient pas de logiciels malveillants et ne tentaient pas de saisir les données des utilisateurs. Mais les prix irréalistes proposés ne pouvaient indiquer qu’une seule chose : la fraude.
C’était vraiment une fraude, à tel point que le site a été mis hors service peu après que Gizmodo France ait détaillé l’affaire. Mais comme les annonces étaient affichées sur un grand portail (en plus d’autres véhicules, comme le SBT), beaucoup de gens ont cru aux offres. Personne ne s’attend à ce que de grands et sérieux véhicules exposent leurs visiteurs à ce genre de risque.
Mauvais pour l’industrie, pire pour l’utilisateur
Dans le cas de Spotify, les annonces ? désactivées après signalement ? sont presque toujours dirigées vers des pages qui diffusent des logiciels malveillants. C’est l’objectif le plus fréquent. Les logiciels malveillants peuvent être utilisés pour diffuser un logiciel qui capture des données sensibles ou appliquer des paramètres qui font pointer le navigateur vers un faux magasin en ligne, par exemple.
Souvent, il n’est pas nécessaire de cliquer sur l’annonce. La pièce peut contenir du code qui exploite une vulnérabilité dans le navigateur ou le système d’exploitation. Ainsi, le simple affichage peut suffire pour l’infection.
La variété qui favorise la fraude est également fréquente, tout comme celles qui exposent l’utilisateur à des produits illégaux ou douteux, comme les médicaments qui promettent une perte de poids rapide ou qui commercialisent des articles contrefaits.
Pour le secteur de la publicité, les effets de la publicité malveillante sont également terribles. Selon l’IAB, l’une des plus importantes associations pour les questions de publicité en ligne, ce segment perd plus de 8 milliards de euros par an rien que par des activités frauduleuses.
Ce n’est pas difficile à comprendre. Outre la perte liée au remboursement, aux paiements impayés et autres, les publicités malveillantes contestent l’espace avec la publicité légitime. Comme la plupart des réseaux paient les annonceurs pour qu’ils diffusent des annonces dans un système d’enchères, les coûts pour les annonceurs augmentent avec ce litige.
Autre sujet de préoccupation : les publicités malveillantes sont l’un des facteurs qui contribuent à l’utilisation accrue des bloqueurs de publicité. C’est pourquoi l’industrie s’est efforcée d’améliorer et de développer des technologies pour lutter contre la malversation.
Mais tout porte à croire que cela restera un combat entre le chat et la souris. De ce fait, les conseils de sécurité déjà classiques sont toujours valables : se méfier des offres miraculeuses, maintenir le système d’exploitation et les applications (principalement les navigateurs) à jour et redoubler de prudence avec les réseaux Wi-Fi publics sont un bon moyen de traiter le problème.
Peut-être que ces lignes directrices sont insignifiantes pour vous. Dans ce cas, vous devez donner des instructions à vos proches qui ne sont pas si familiers avec l’internet. Ils sont les premières victimes des publicités malveillantes.
