Dans le même temps, HTML5 est indiqué comme l’avenir pour les annonces. Le nouveau standard du web s'est vanté d’offrir une expérience multimédia plus intégrée avec des temps de chargement plus courts et une faible consommation d’énergie. Par rapport à Flash, il est également annoncé comme étant la solution pour des annonces plus sures qui pourraient empêcher la diffusion de malware. On peut en effet se souvenir qu’en août dernier, Yahoo! a été victime d'une vaste campagne de publicités malveillantes, dans laquelle les attaquants auraient exploité une vulnérabilité dans Flash. Mais il ne s’agit pas d’un cas isolé.
Il semble cependant que l’industrie de la publicité ait accusé Flash à tort, du moins, en ce qui concerne les campagnes de publicités malveillantes. C’est ce qu’indique une étude de GeoEdge, un fournisseur de solutions de sécurité pour les annonces dans l’industrie de la publicité en ligne et mobile. GeoEdge révèle que Flash ne serait pas la cause profonde des campagnes de malvertising et que le passage à HTML5 ne pourra pas protéger les internautes contre cette menace. Le fournisseur de solutions de sécurité pour l’industrie de la publicité souligne en effet que les vulnérabilités exploitées viendraient des plateformes de publicité elles-mêmes ainsi que des normes de publicité.
Basant son étude sur les annonces vidéo, GeoEdge révèle que les attaquants qui diffusent des annonces malveillantes ne reposent pas vraiment sur le fait que l’annonce soit en HTML5 ou Flash, mais sur la vulnérabilité des normes de publicité vidéo en ligne, notamment VAST (Video Ad Serving Template) et VPAID (Video Player-Ad Interface Definition).
VAST et VPAID sont les règles du jeu en ce qui concerne la publicité vidéo en ligne. Ces normes sont d’une grande utilité pour les éditeurs qui souhaitent exécuter une variété d'annonces vidéo tierces. Si les réseaux publicitaires tiers prennent en charge les formats VAST et VPAID, les éditeurs ne devraient pas alors avoir à modifier leur implémentation pour jouer l'annonce.
VAST est le format normalisé de l'IAB (Interactive Advertising Bureau) applicable au suivi des annonces vidéo. Il peut être vu comme script pour la publicité vidéo. Tout ce que VAST fait, c’est de donner des instructions cohérentes à votre lecteur vidéo sur la façon de gérer une annonce. Il indique par exemple à votre lecteur vidéo ce que l'annonce devrait faire, comment le faire, combien de temps l’annonce devrait être affichée, si oui ou non, celle-ci est désactivable, où trouver l'annonce (le serveur de publicité), l’URL de suivi, etc. En ce qui concerne VPAID, il s’agit d’une norme qui permet la communication entre une annonce vidéo et un lecteur vidéo. Celle-ci ajoute à VAST un niveau d’interactivité.
Pour revenir aux campagnes de malvertising avec Flash, GeoEdge en distingue deux scénarios. Comme le montre la figure suivante, le premier consiste pour le créateur d’annonce à insérer un code malveillant directement dans son annonce Flash. C’est dans ce cas de figure qu’il serait recommandé de limiter l’utilisation de Flash.
Attaque de malvertising via une annonce Flash malveillante
Mais, il existe également un autre scénario, qui selon GeoEdge serait le principal facteur des campagnes de malvertising. Un attaquant pourrait injecter du code malveillant dans les paramètres VAST afin de détourner une annonce Flash légitime. Il pourrait par exemple stocker une URL de suivi malveillante dans les paramètres VAST, qui va alors rediriger les internautes vers des pages piégées ou installer des malwares. Dans ce cas, aucune interaction de l’utilisateur ne sera nécessaire pour que sa machine soit infectée. Ce scénario est illustré par la figure suivante.
Attaque de malvertising en détournant une annonce Flash légitime
GeoEdge affirme que HTML5 est certainement plus sûr que Flash, en termes de sécurité, et peut de ce fait limiter les menaces. C’est le cas plus précisément dans le premier scénario où l’attaquant utilise des failles dans la technologie utilisée pour créer l’annonce (Flash ou HTML5). Mais dans le deuxième scénario exploitant les standards VAST/VPAID, le créateur de l’annonce malveillante ne se soucie pas du fait que celle-ci soit en Flash ou HTML5. Et cela reste malheureusement le facteur fondamental de diffusion de publicités malveillantes, d’après GeoEdge. Le fournisseur de solutions de sécurité pour les annonces estime donc que le standard HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité en ligne.
Attaque de malvertising : les deux scénarios avec HTML5
L’étude s’est basée sur les annonces vidéo, mais la même chose pourrait être valable pour les annonces statiques, et encore, peu importe qu’elles soient en Flash ou HTML5.
Source : Security Aspects of Flash, HTML5, and Video in the Ad Tech Industry
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Forum Webmarketing
Forum Sécurité