Les pirates utilisent les sites que vous visitez pour vous attaquer — comment vous protéger

Contexte rapide

Récemment, des réseaux publicitaires ont servi des annonces malveillantes sur des sites très fréquentés, notamment New York Times, BBC, MSN, Answers.com et AOL, et des milliers d’autres domaines. Des dizaines de milliers d’utilisateurs qui ont cliqué sur ces publicités ont été redirigés vers des pages exploitant des failles du navigateur via l’Angler exploit kit. Ce kit installe ensuite soit le rançongiciel TeslaCrypt, soit le cheval de Troie Bedep, entraînant verrouillage de fichiers ou infection multiple.

Définitions rapides:

• Exploit kit — un ensemble d’outils qui recherche et exploite les failles d’un navigateur ou de ses plugins.
• Rançongiciel — logiciel qui chiffre vos fichiers et demande une rançon pour les débloquer.
• Cheval de Troie — programme malveillant déguisé en logiciel légitime ou caché dans d’autres fichiers.

Comment ces attaques fonctionnent

Les attaquants ont acheté des domaines expirés appartenant à de vraies sociétés de marketing. Ils ont ensuite créé des comptes « légitimes » et acheté des espaces publicitaires sur de nombreuses régies (DoubleClick, AppNexus, Rubicon, etc.). Les annonces contenaient un code malveillant. Ce code vérifiait la présence d’antivirus spécifiques et évitait l’infection si certains outils étaient détectés. Sinon, il cherchait des points faibles : navigateur obsolète, versions anciennes d’Adobe Flash, Java, Silverlight et autres plugins.

Important: ces attaques exploitent la chaîne publicitaire (supply chain) plutôt que le site hôte lui‑même, ce qui rend la menace difficile à arrêter uniquement côté éditeur.

Mesures immédiates pour vous protéger

1. Mettez à jour

• Installez toutes les mises à jour de votre système d’exploitation et de votre navigateur. Les correctifs comblent des failles exploitées automatiquement.
• Mettez à jour vos solutions antivirus et leurs définitions.

2. Gérez les plugins

• Désinstallez Flash et Java si vous n’en avez pas besoin.
• Configurez les plugins restants en « click‑to‑play » (exécution sur demande).

3. Utilisez un compte non administrateur

• Travaillez au quotidien avec un compte standard. Selon des diagnostics publiés, cela bloque une grande partie des installations malveillantes ; le texte d’origine mentionne une réduction d’environ 86 % des menaces installées automatiquement.

4. Renforcez votre navigateur

• Activez le blocage des pop‑ups et le filtrage des sites dangereux.
• Installez un bloqueur de scripts ou de publicités de confiance (par ex. uBlock Origin) et réglez‑le en mode strict si nécessaire.
• Activez les fonctionnalités de protection intégrées (sandboxing, site isolation) si disponibles.

5. Sauvegardez régulièrement

• Conservez des sauvegardes hors ligne ou dans un service cloud chiffré. En cas de rançongiciel, restaurez plutôt que payer.

6. Filtrage réseau et outils supplémentaires

• Utilisez un DNS sécurisé qui bloque les domaines malveillants.
• Sur les réseaux d’entreprise, placez des proxys filtrants et des solutions EDR (Endpoint Detection and Response).

Playbook rapide après une infection suspectée

• Déconnectez immédiatement l’ordinateur du réseau.
• Ne payez aucune rançon sans avis professionnel.
• Démarrez en mode sans échec et lancez une analyse antivirus complète.
• Si vous avez des sauvegardes récentes, restaurez depuis une copie propre après avoir nettoyé le système.
• Si des données sensibles ont été exposées, suivez votre procédure d’incident (changer mots de passe, notifier les personnes concernées).

flowchart TD
  A[Démarrage: page suspecte / pop-up] --> B{Le navigateur a bloqué la page ?}
  B -- Oui --> C[Fermer l'onglet et nettoyer le cache]
  B -- Non --> D{Comportement anormal ?}
  D -- Oui --> E[Déconnecter du réseau, analyser]
  D -- Non --> F[Mettre à jour navigateur et plugins]
  E --> G[Restaurer depuis sauvegarde si nécessaire]
  F --> H[Activer bloqueurs et surveillance]

Checklist par profil

• Utilisateur domestique

  • Mettre à jour OS et navigateur
  • Supprimer Flash/Java
  • Sauvegarder fichiers importants
  • Utiliser compte standard

• Administrateur IT

  • Imposer mises à jour centralisées
  • Déployer filtrage DNS et proxys
  • Surveiller les campagnes publicitaires entrant via partenaires
  • Mettre en place EDR et SSO avec MFA

Quand ces protections peuvent échouer

• Attaques ciblées avec zéro‑day non corrigé.
• Hameçonnage (phishing) convaincant qui pousse l’utilisateur à exécuter un fichier.
• Compromission d’un fournisseur de contenu ou d’une régie publicitaire de confiance.

Face à ces cas, la détection comportementale et les sauvegardes immuables restent vos meilleures protections.

Faits clés

• Sites touchés: médias majeurs (New York Times, BBC, MSN, Answers.com, AOL) et des milliers d’autres domaines.
• Mécanisme: achat de domaines expirés + compte publicitaire « légitime » + code malveillant dans les annonces.
• Risques: rançongiciels (TeslaCrypt), chevaux de Troie (Bedep) et infections secondaires.

Protection avancée et bonnes pratiques

• Segmentez le réseau et restreignez les droits d’exécution de fichiers téléchargés.
• Activez la mise à jour automatique pour les logiciels critiques.
• Formez les utilisateurs : ne cliquez pas sur des annonces ou pièces jointes inattendues.
• Audit régulier des plugins et extensions du navigateur.

Notes confidentialité et conformité

Si des données personnelles ont pu être compromises, conservez les journaux et suivez vos obligations légales locales (par ex. notification des personnes concernées). Les sauvegardes chiffrées et la gestion des accès minimisent le risque de fuite de données.

1‑ligne glossaire

• Malvertising — publicité en ligne utilisée pour distribuer des logiciels malveillants.

Résumé

• Les campagnes de malvertising exploitent la chaîne publicitaire pour infecter massivement.
• Les mesures simples (mises à jour, comptes standards, suppression de plugins) réduisent fortement le risque.
• Sauvegardes et plans de réponse aux incidents sont essentiels pour limiter l’impact.

Important: la sécurité est en couches — combinez mises à jour, configurations utilisateur sûres, filtres réseau et sauvegardes pour une protection réelle.