L'Internet Crime Complaint Center du FBI (IC3) vient d'émettre un « message d'intérêt public » au sujet du « malvertising » et des publicités trompeuses visant à promouvoir le téléchargement de logiciels malveillants pouvant contenir des rançongiciels.
L'Internet Crime Complaint Center du FBI (IC3) a pour mission de « fournir au public un mécanisme de signalement fiable et pratique pour soumettre des informations » au sujet des « activités criminelles présumées facilitées par Internet », mais également de « développer des alliances efficaces avec les forces de l'ordre et les partenaires industriels ».
Dans un « message d'intérêt public » (« Public Service Annoucement », en VO) qu'il vient de publier, l'I3C explique que des cybercriminels « utilisent les services de publicité des moteurs de recherche pour se faire passer pour des marques et diriger les utilisateurs vers des sites malveillants qui hébergent des ransomwares et volent les identifiants de connexion et autres informations financières » :
« Les cybercriminels achètent des publicités qui apparaissent dans les résultats de recherche sur Internet en utilisant un domaine similaire à une entreprise ou un service réel. Lorsqu'un utilisateur recherche cette entreprise ou ce service, ces publicités apparaissent tout en haut des résultats de recherche, avec une distinction marginale entre une publicité et un résultat de recherche réel. Ces publicités renvoient à une page web qui ressemble à s'y méprendre à la page web officielle de l'entreprise usurpée. »
Or, ce genre de pages web frauduleuses « contient un lien vers le téléchargement d'un logiciel qui est en réalité malveillant », d'autant que la page de téléchargement semble légitime, et que « le téléchargement lui-même porte le nom du programme que l'utilisateur avait l'intention de télécharger ».
Ces publicités « ont également été utilisées pour usurper l'identité de sites web financiers, notamment des plateformes d'échange de crypto-monnaies ». Ces sites malveillants « se présentent comme de véritables plateformes d'échange invitant les utilisateurs à saisir des identifiants de connexion et des informations financières », ce qui leur permet d'accéder et de voler leurs fonds et données :
« Bien que les publicités des moteurs de recherche ne soient pas malveillantes par nature, il est important de faire preuve de prudence lorsqu'on accède à une page web par un lien publicitaire. »
Attention aux URLs
Le FBI recommande dès lors aux particuliers de prendre les précautions suivantes :
- avant de cliquer sur une publicité, vérifiez l'URL pour vous assurer que le site est authentique. Un nom de domaine malveillant peut ressembler à l'URL prévue, mais avec des fautes de frappe ou une lettre mal placée ;
- plutôt que de rechercher une entreprise ou une institution financière, entrez son URL dans la barre d'adresse d'un navigateur Internet pour accéder directement à son site officiel ;
- utilisez une extension de blocage des publicités lorsque vous effectuez des recherches sur Internet.
Le FBI recommande par ailleurs aux entreprises de prendre les précautions suivantes :
- utilisez des services de protection de domaine pour être alerté lorsque des noms de domaines similaires sont enregistrés afin d'éviter l'usurpation de domaine ;
- sensibiliser vos utilisateurs aux sites Web usurpés et à l'importance de vérifier l'exactitude des URL de destination ;
- indiquez aux utilisateurs où trouver les téléchargements légitimes des programmes fournis par notre organisme.
Le « malvertising » existe depuis (au moins) 2007
Ce n'est pas la première fois que les autorités américaines recommandent de bloquer les publicités. En mai 2018, la NSA expliquait (.pdf) ainsi que « le blocage sélectif du contenu (par exemple, le blocage des publicités par le biais d'une extension de navigation ou via le réseau) doit être utilisé pour empêcher la communication avec des scripts et des domaines malveillants » :
« Les bloqueurs sélectifs de contenu correctement configurés peuvent avoir un impact très faible sur la navigation quotidienne sur le Web et offrir des avantages significatifs en termes de sécurité et de convivialité. »
En juillet de cette même année, elle consacrait un mémo dédié (.pdf) expliquant comment « bloquer les contenus web publicitaires inutiles », au motif, là encore, que « les cyber-attaquants peuvent exploiter les publicités malveillantes ("malvertising") pour installer des logiciels malveillants » :
« Malgré la nature bénigne de la plupart des contenus publicitaires, la publicité est un vecteur connu de distribution de logiciels malveillants depuis plus de dix ans. Cette attaque [...] permet à un acteur malveillant de cibler les utilisateurs en fonction de leur localisation, de leurs centres d'intérêt, de leurs habitudes de navigation et d'identifiants spécifiques au système, tels que les versions des logiciels. »
En 2007, l'Internet Storm Center (ISC) du SANS Institute qualifiait en effet le malvertising de « méthode criminelle en ligne relativement récente qui semble axée sur l'installation de logiciels indésirables ou carrément malveillants par le biais de réseaux de médias publicitaires sur Internet ».
À l'époque, il reposait principalement sur des fichiers Adobe Flash SWF contenant du Flash ActionScript codé de manière malveillante.
Attention aux faux adblockers
La NSA précisait qu'« en outre, le blocage de ce type de contenu peut réduire le trafic à la frontière du réseau, ce qui simplifie l'analyse des incidents et améliore les performances du réseau ».
Elle soulignait cela dit que certaines des extensions de navigateur bloquant les publicités « adoptent un modèle commercial gratuit qui génère des revenus en collectant des informations sur l'utilisateur et des données de navigation ».
Or, « comme les extensions de navigateur fonctionnent à un niveau privilégié dans l'environnement du navigateur, elles ont accès à la plupart des données qui entrent et sortent du navigateur ». L'installation d'une extension de blocage des publicités devrait dès lors se faire « avec une grande prudence ».
S'il s'agissait d'une extension elle-même malveillante, elle pourrait en effet « compromettre davantage la sécurité du réseau qu'une attaque de publicité malveillante, même si elle était installée à partir de magasins d'applications de navigateur réputés ».
La NSA rappelait par ailleurs que le recours à de telles extensions pourrait restreindre l'accès à certains contenus légitimes et utiles, en bloquant certaines dépendances, et qu'il fallait dès lors pouvoir utiliser des mécanismes de listes blanches et d'exceptions au principe de blocage.
La CNIL, de son côté, rappelait en 2020 que la version mobile de Brave dispose d'une fonctionnalité native de blocage des annonces publicitaires.
