Selon le dernier rapport Nielsen, les dépenses publicitaires sur Internet dépassent tous les autres médias. Le marché mondial de la publicité en ligne à travers le web, l’Internet mobile et les applications a augmenté de 32, 4 % en 2013 – de loin la plus forte augmentation parmi tous les médias. Mis à part le fait que la publicité sur Internet puisse être ennuyeuse pour les utilisateurs, elle permet aux internautes de consommer librement sur l’ensemble du web. Si ce modèle venait à changer ou si les consommateurs devaient cesser de faire confiance à la publicité sur Internet, les conséquences économiques pour les annonceurs pourraient être très importantes. Mais, comme les annonceurs, les hackers voient d’énormes opportunités dans la publicité en ligne.
De plus en plus répandues, les vraies publicités infectées (ou « malvertising ») sont des publicités en ligne utilisées pour diffuser des malwares. Supportés par l’économie de la cybercriminalité, il est devenu de plus en plus facile pour les hackers d’avoir accès aux outils dont ils ont besoin pour lancer ces campagnes très ciblées. Par exemple, un malvertiser qui veut cibler une population spécifique à un moment donné – tels que les fans de football pendant la Coupe du Monde – peut se tourner vers le marché publicitaire légitime pour atteindre ses objectifs. Tout comme les autres annonceurs, il contactera les agences en charge de la vente des espaces publicitaires et leur demandera de mettre en ligne la publicité aussi rapidement que possible, laissant peu ou pas de temps pour que le contenu de la publicité soit vérifié.
Les victimes du malvertising sont infectées par des malwares au cours de leur navigation sur Internet, sans même avoir cliqué sur la publicité et donc, sans avoir aucune idée sur comment ni où ils ont été infectés. Ces attaques perfectionnées à l’aide de publicités infectées qui visent les internautes, sur des sites web légitimes, sont pratiquement impossibles à détecter pour les utilisateurs. Les internautes sont redirigés en toute transparence vers des sites web qui hébergent des packs logiciels contenant des programmes malveillants que le hacker a loué ou acheté. Ces kits d’Exploit se répandent au compte-gouttes sur les systèmes des utilisateurs et infectent les systèmes vulnérables. Non seulement leurs méthodes d’infiltration sont furtives mais retrouver la source est quasi impossible car la publicité qui a livré le malware disparaît rapidement.
Alors, comment les professionnels de la sécurité peuvent prévenir la réussite de ces attaques ? Les passerelles de sécurité web sont devenues une composante importante dans toute stratégie de cybersécurité. Cependant, les passerelles de sécurité web classiques fonctionnent à un instant T – en une seule fois pour détecter et stopper le trafic. Or les attaques ciblées ne se produisent pas à un moment précis dans le temps, et bien que la visibilité et le blocage au niveau du point d’entrée soient importants, ce n’est pas suffisant. Les attaques avancées se produisent dans la durée et requièrent un contrôle continu. Lors de l’évaluation des passerelles de sécurité web, les professionnels de la sécurité doivent identifier des solutions qui incluent une série de contrôles dans le continuum d’attaque complet – avant, pendant et après une attaque – pour une protection plus efficace.
Avant une attaque : Les responsables de la sécurité ont besoin d’une visibilité et d’une connaissance complète pour mettre en œuvre des politiques et des contrôles pour défendre leur environnement. Le filtrage d’URL et la réputation web sont les premiers éléments de ce processus. Avec le filtrage URL, les administrateurs système peuvent définir des règles pour bloquer les sites malveillants connus mais peuvent également bloquer des catégories d’URL en fonction du contenu, permettant par exemple d’autoriser les sites d’actualités mais de bloquer les publicités. Semblable au fait de donner une note à un site web, la réputation web fournit une autre couche de protection. Elle s’appuie sur une grande quantité d’information, y compris le temps pendant lequel le domaine n’était pas infecté, pour attribuer une réputation à une URL. Lorsqu’un utilisateur demande une page web, la réputation est demandée et selon des règles prédéfinies, une décision est prise sur la façon dont il doit être géré. En travaillant ensemble, le filtrage d’URL et la réputation web permettent de bloquer les attaques de malvertising dès le point d’entrée. Mais ces attaques sont incroyablement furtives et peuvent encore passer à travers.
Pendant une attaque : Les responsables de la sécurité doivent être en mesure de détecter et de bloquer les malwares en continu. Si le contenu web demandé par l’utilisateur a passé le filtrage URL et la réputation web, la surveillance en temps réel des logiciels malveillants prend fin. Avant que le contenu ne soit délivré à l’utilisateur, le fichier est analysé selon différents paramètres, y compris sur la base des dernières menaces connues, et bloqué s’il s’agit d’un malware. Si un doute subsiste, le fichier est placé dans un sandbox, un environnement strictement contrôlé, et on observe si le fichier a un comportement malveillant ou suspect. S’il s’agit d’un fichier malicieux, l’administrateur est averti pour qu’il puisse prendre les mesures nécessaires et les défenses sont mises à jour pour protéger l’entreprise contre les futures publicités similaires. La technologie de sandbox peut limiter le risque mais ne l’élimine pas complètement ; les attaques étant conçues pour échapper à la technique de sandbox.
Après une attaque : Parce que certaines menaces ciblées continuent de pénétrer les réseaux, les équipes en charge de la sécurité ont besoin d’une protection qui inclut la sécurité rétrospective. Celle-ci permet de continuer à suivre les fichiers et à analyser leur comportement selon les informations connues sur la menace mondiale et en temps réel. Si un fichier est identifié par la suite comme malveillant, la sécurité rétrospective peut également déterminer la portée de l’attaque afin que les responsables de la sécurité puissent rapidement contenir la menace et y remédier. Les différentes couches de sécurité sont ensuite mises à jour avec le dernier niveau de connaissance de sorte qu’une future attaque de malvertising similaire sera bloquée.
Le malvertising affecte tous les internautes et agit comme un perturbateur dans l’économie d’Internet. Il souligne la complexité de l’économie de la cybercriminalité moderne en matière de division du travail, de coopération et de spécialisation dans le continuum d’attaque. Cela souligne également la nécessité d’une approche de la sécurité qui répond au continuum d’attaque complet. Avec une visibilité et un contrôle permanent, et des mises à jour complètes et continues, les professionnels de la sécurité peuvent prendre des mesures pour stopper la propagation inévitable.
___________
Cyrille Badeau est Directeur Europe du Sud Cyber Security Group de Cisco.