Le 11 juillet le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a, pour la première fois de son histoire, imposé des sanctions pour lutter contre l’installation de logiciels malveillants au moyen de publicités en ligne. Cette décision a été prise en vertu des des dispositions de la Loi canadienne anti-pourriel (LCAP), qui est en vigueur depuis le 1er juillet 2014. Des procès-verbaux ont été envoyés à Datablocks et à Sunlight Media pour avoir prétendument facilité l’installation de logiciels malveillants, au moyen de la diffusion de publicités en ligne. Les deux entreprises sont soumises à des pénalités de 100 000 $ et de 150 000 $, respectivement.
Matthieu Faou, chercheur en logiciel malveillant d’ESET, est un spécialiste de la fraude à la publicité en ligne. Cette question était d’ailleurs le sujet de son mémoire de maîtrise en génie informatique de l'École Polytechnique de Montréal.
Il explique que, dans le cas présent, ces deux entreprises servent d’intermédiaires pour la publicité en ligne. « Elles mettent en relation des annonceurs, soit des personnes ou des entreprises payant pour afficher des annonces avec des éditeurs, c’est-à-dire des sites web qui s’enrichissent avec l’affichage de publicité à leurs visiteurs. »
Datablocks propose un service d'enchères en temps réel (RTB). « Lorsqu'un visiteur arrive sur le site Web d'un éditeur, l'espace publicitaire sur ce site Web pour ce visiteur particulier est mis aux enchères sur la plateforme de RTB. Les annonceurs participent automatiquement à cette vente aux enchères et celui qui offre le montant le plus élevé paie. Alors, sa publicité est affichée en temps réel au visiteur. »
Quant à Sunlight Media, cette entreprise exploite un réseau publicitaire et agit à titre de courtier entre les annonceurs et les éditeurs (ou leurs représentants respectifs) au moyen du système d’enchères en temps réel de Datablocks.
Les activités commerciales de Datablocks et de Sunlight Media sont intégrées verticalement : les deux entreprises sont étroitement liées, par exemple, à travers la propriété, les administrateurs et les membres de la direction, ainsi que par leur emplacement physique. Sunlight Media est l’un des principaux utilisateurs des services de Datablocks et bénéficie de tarifs considérablement réduits pour l’utilisation de ces services.
Ces types de service est très courant dans l'industrie. Cependant, ces plateformes sont à risque d'être utilisées abusivement par des annonceurs malveillants. Ces derniers peuvent tenter de pousser les plateformes à accepter une publicité qui contient un code destiné à répandre des logiciels malveillants. Normalement, les plateformes ne sont pas tenues pour responsables de tels abus de la part de clients abusant de leurs services; elles sont néanmoins tenues de protéger leur réseau et de bannir les acteurs responsables dès qu'un comportement malveillant est observé.
Dans le cas présent cependant, le CTRC juge que Datablocks et Sunlight Media ont en fait facilité de tels abus, par exemple en permettant aux annonceurs d'utiliser leur service de façon anonyme.
Steven Harroun, cadre en chef de la conformité et des enquêtes, CRTC, explique l’importance de la décision : « Datablocks et Sunlight Media n’ayant pas mis en œuvre les mesures de protection fondamentales, le simple fait de voir certaines publicités en ligne peut avoir mené à l’installation de logiciels malveillants et indésirables. Nos mesures d’application envoient un message clair aux entreprises dont le modèle d’affaires peut permettre ce genre d’activités. Les entreprises doivent s’assurer que leurs activités commerciales ne compromettent pas la sécurité en ligne des Canadiens.
Les deux entreprises ne vérifiaient pas l’identité de leurs nouveaux clients et permettaient le paiement par cryptomonnaie, notamment. Les acteurs malveillants ont ensuite utilisé la plateforme publicitaire pour distribuer des logiciels malveillants. Qui plus est, les deux entreprises ont été averties des lacunes dans leurs politiques à plusieurs reprises (d’abord en 2015 par des chercheurs en cybersécurité, et en 2016 par le CRTC), mais n’ont pas mis en place les mesures de protection fondamentales qui sont bien connues dans l’industrie.
Plus précisément, les annonceurs malhonnêtes se sont servis de la plateforme afin de rediriger automatiquement les utilisateurs du site Web d’un éditeur légitime vers un exploit-kit, par exemple Magnitude, ou Angler. Il s'agit de sites Web visant à exploiter les internautes, en utilisant un exploit pour Adobe Flash par exemple, dans le but d'installer des logiciels malveillants dans l'ordinateur de l'utilisateur sans exiger aucune action ou consentement de leur part.
Les logiciels malveillants installés comprennent des chevaux de Troie de fraude publicitaire. Ce sont des logiciels malveillants qui abusent de l'écosystème publicitaire du côté de l'éditeur. Ces chevaux de Troie visent à forcer l’appareil des victimes à cliquer automatiquement sur les publicités sur les sites Web des attaquants pour générer des revenus publicitaires.
La chaîne de redirection à partir du site Web d’un éditeur légitime peut être très longue. Ceci s’explique par le fait que les agences de publicité revendent le trafic en temps réel à d'autres agences de publicité. Ainsi, de nombreuses sociétés publicitaires différentes peuvent être impliquées dans une seule redirection malveillante.
Si cette amende de la CRTC constitue une première au Canada, ce type de menaces n’est pas une première. Un des chevaux de Troie de ce type les plus notoires est Boaxxe. Si vous désirez en savoir plus sur Boaxxe et sur ce type d’attaques, WeLiveSecurity a publié une analyse détaillée sur ce logiciel publicitaire malveillant.