Une semaine toujours placée sous le signe du malware et de la publicité. Après l’article de Neil Krawetz (Hacker Factor) qui déplorait les pratiques de plusieurs médias refusant les lecteurs protégés par un logiciel de blocage de publicité, (voir CNIS-Mag « Les pratiques douteuses de la réclame en ligne » ), c’est au tour de Graham Clueley de dresser le bilan désastreux des méthodes des cyber-publicitaires. Clueley cite notamment une étude du Guardian qui estime à 9 millions le nombre de sujets de sa Gracieuse Majesté utilisant des « ad-blockers ». L’anti fils de pub archétypal se situe entre 18 et 24 ans, fatigué par la lente dégradation des performances des accès Internet, par les scripts écrits à la diable et les pop-up vantant les mérites d’un dentifrice, d’une automobile ou d’un appareil électroménager.
En réaction, de plus en plus nombreux sont les sites qui détectent la présence des filtres de blocage et exigent de leurs visiteurs la désactivation du logiciel en question.
Mais il y a pire. Le coup de grâce est porté par Randy Westergren, dont les récentes recherches laissent entendre que les principaux médias en ligne (cbsnews, nbcnews, newyorktimes.com, msn.com, washingtonpost.com, bbc.com etc.) et sites de vente servent littéralement de vecteurs de « diffusion de vulnérabilités ». Lorsque la publicité en ligne se transforme en usine à XSS, que peut bien faire la victime ? Peu, très peu de choses explique le chercheur en sécurité. Tout d’abord parce que les publicités statiques n’existent plus depuis belle lurette. La position géographique, les sites « référents », le sexe ou l’âge de la cible sont autant de paramètres qui font qu’une réclame affichée à l’écran n’est jamais deux fois la même, et peut très bien n’être vue que par un nombre restreint de personnes. Ce qui rend très difficile la détection des publicités vulnérables. Et l’on ne peut également exiger du site « diffuseur » (le journal, le site de vente) de filtrer ces publicités. Non seulement parce que celles-ci ne sont que rarement stockées sur les serveurs dudit média, mais en outre parce que les contrats liant régies et diffuseurs interdisent généralement toute ingérence dans le contenu du message. Et par conséquent tout sandboxing et analyse.
Il ne reste alors qu’un seul espoir, c’est que les régies fassent elles-mêmes ce nettoyage, un appel à une sorte d’Owasp du pop-up mercantile. Certaines accepteront de travailler plus proprement, d’autres continueront de se moquer comme d’une guigne de la sécurité de leurs « cibles », pour ne pas dire leurs « victimes ». Peu est aujourd’hui fait, au sein même des grandes régies, pour que le marché des « ad-blockers » ne se développe pas, résultat la publicité en ligne deviendra de plus en plus insupportable, et l’image de marque des annonceurs se dégradera du fait même du manque de contrôle de ces pratiques.