Suivez-nous

Internet

Un milliard de publicités malveillantes étaient en ligne cet été

De fausses publicités redirigeant vers des sites malveillants ont fleuri sur Chrome et Safari. Les smartphones et ordinateurs d’Apple étaient concernés par la faille.

Il y a

  

le

 
Faille informatique Apple
© Pixabay / Kropekk_pl

Pendant plus de 6 semaines, pas moins d’un milliard de publicités sur le web ont été utilisées de façon mal intentionnée afin de rediriger les internautes vers des pages web malveillantes. Un éditeur appelé eGobbler a exploité une faille informatique zero-day pendant une majeure partie de l’été, avant que celle-ci soit repérée par la société de sécurité Confiant.

La vulnérabilité est référencée depuis le 7 août dernier sous le nom de code de CVE-2019-8771. A cette date, Confiant a contacté les entreprises concernées, à savoir Apple et Google, pour leur informer l’existence de la faille sur leur moteur de recherche respectif, à savoir Safari et Chrome. Selon le rapport qui en résulte du problème et qui vient d’être révélé sur la toile, la vulnérabilité aurait été utilisée sur les iPhone et Mac de la marque à la pomme.

Une vulnérabilité zero-day utilisait les publicités sur Apple

Depuis plus de deux mois après que Google et Apple aient été mis au courant, des corrections ont été apportées. Mais entre le 7 août et la sortie d’iOS 13 et de Safari 13.01, censés apporter des mises à jour de sécurité, il aura tout de même fallu attendre plus d’un mois. Cela a donc laissé à la vulnérabilité le temps de rester longtemps sur la toile, à exploiter une faille informatique.

Cette dernière est de nature au code JavaScript et au code HTML des sites. L’éditeur eGobbler a découvert qu’une faille existait lorsque qu’un utilisateur tapait sur le clavier de son iPhone ou de son Mac. Dans les balises HTML liées aux publicités, les liens de redirections échappaient à la barrière de la « sandbox », un outil permettant à l’origine de bloquer les redirections malveillantes aux utilisateurs.

Selon le rapport de Confiant, la plupart des publicités utilisées renvoyaient ainsi vers des pages de pishing (hameçonnage), autrement dit, vers des pages cherchant à récupérer vos informations confidentielles.

Qu’est-ce qu’une vulnérabilité « zero-day » ?

Comment eGobber a-t-il réellement pu profiter de la faille informatique touchant plus d’un milliard de publicités aussi longtemps ? Si la vulnérabilité n’a pas été détectée pendant plus de 6 semaines, c’est notamment du fait de sa nature « zero-day ». Dans le monde de l’informatique, cette classification des bugs sur le web évoque les cas où aucun correctif n’est connu, et qu’un « exploit » – autrement dit une combinaison permettant d’exploiter cette vulnérabilité – est disponible et utilisé.

A l’heure actuelle, face à un nombre grandissant d’exploits permettant de profiter des plusieurs fragilités du web, l’importance de se doter d’un antivirus sur son ordinateur est grandissante. Pour vous aider dans votre choix et répondre à vos interrogations, nous vous proposons de lire notre comparatif logiciel des meilleurs antivirus.

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans 🔥

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests