Détecter et Éviter le Malvertising
Découvrez comment fonctionne le malvertising ou publicité malveillante, comment il infecte vos appareils sans clic, et comment vous en protéger.

Le web moderne est en grande partie financé par la publicité numérique. Au quotidien, nous sommes exposés à des bannières, des annonces de recherche et des pop-ups sur des sites d'actualité, des blogs et des réseaux sociaux. Cependant, cet immense écosystème publicitaire est devenu l'un des vecteurs d'infection les plus redoutables en cybersécurité : le malvertising, ou publicité malveillante.
Contrairement aux virus classiques qui exigent que l'utilisateur télécharge volontairement un fichier suspect, le malvertising exploite des réseaux publicitaires légitimes pour propager des codes malicieux. Cela signifie que vous pouvez infecter votre machine en visitant simplement un site web de confiance, sans même interagir avec une publicité.
Qu'est-ce que le Malvertising et comment fonctionne-t-il ?
Le terme malvertising est un mot-valise combinant malicious (malveillant) et advertising (publicité). Cette technique d'attaque consiste à soumettre des publicités infectées par du code malveillant à des régies publicitaires légitimes (comme Google Ads, des réseaux d'achat d'espaces en temps réel ou des plateformes d'enchères RTB).
Une fois que la régie valide l'annonce (souvent parce que l'attaquant camoufle le code malveillant lors de la phase d'audit initiale), celle-ci est automatiquement diffusée sur des milliers de sites web légitimes. Le déroulement de l'attaque suit généralement ces étapes :
- Injection de code : L'attaquant insère des scripts malveillants (généralement en JavaScript) au sein d'une bannière publicitaire d'apparence inoffensive.
- Distribution automatisée : Les régies publicitaires diffusent la bannière sur les différents portails web partenaires.
- Chargement dans le navigateur : Lorsque vous consultez l'un de ces portails partenaires, la publicité est chargée par votre navigateur web.
- Exécution de l'exploit : Le code malveillant s'exécute en arrière-plan, à la recherche de failles de sécurité non corrigées dans votre navigateur ou votre système d'exploitation. S'il en trouve une, il télécharge du malware à votre insu (attaque dite drive-by download).
[Attaquant] ──(Publicité infectée)──> [Régie Publicitaire Légitime]
│ (Distribution)
▼
[Utilisateur] ──(Visite un site sain)──> [Serveur Web du Portail]
[Utilisateur] <──(Charge la pub infectée)──────┘
│
└───> Exploite une faille de navigateur ──> Télécharge le Malware
Méthodes courantes de diffusion du malvertising
Les cybercriminels déploient plusieurs techniques pour tromper la vigilance des régies et optimiser le taux d'infection. Les tactiques les plus fréquentes sont répertoriées dans le tableau suivant :
| Technique de Diffusion | Fonctionnement | Objectif de l'Attaquant |
|---|---|---|
| Redirections Forcées | Le script JavaScript de la publicité prend le contrôle du navigateur et redirige l'utilisateur vers de fausses pages de support technique. | Extorquer de l'argent en incitant l'utilisateur à appeler un faux numéro de dépannage informatique. |
| Téléchargements Furtifs (Drive-by) | L'annonce exploite une vulnérabilité de type zero-day du navigateur pour exécuter du code sans intervention de l'utilisateur. | Installer discrètement des chevaux de Troie d'accès distant (RAT) ou des ransomwares. |
| Injection de Scripts | Exploitation de failles de sécurité dans des scripts tiers de régies publicitaires. | Modifier le comportement de la page web pour injecter des keyloggers invisibles et voler des données. |
| Fausses Campagnes de Recherche | Achat d'annonces sponsorisées sur les moteurs de recherche imitant des sites de téléchargement officiels (ex. VLC, WinRAR). | Diffuser des installateurs altérés contenant des logiciels espions ou des voleurs de mots de passe (infostealers). |
Comment analyser le réseau à la recherche de scripts publicitaires malveillants
Pour les développeurs web, les administrateurs système et les analystes en sécurité, il est indispensable de surveiller les scripts externes qui s'exécutent sur leurs sites web. L'analyse des requêtes réseau est une méthode courante pour identifier le trafic suspect vers des régies publicitaires douteuses.
Détection via la console des outils de développement
Vous pouvez inspecter les domaines externes chargés par une page web en exécutant ce script d'analyse dans la console de développement (F12) de votre navigateur afin d'isoler les requêtes ne provenant pas de votre domaine d'origine :
// Lister les ressources externes chargées sur la page web actuelle
const resources = window.performance.getEntriesByType("resource");
const currentDomain = window.location.hostname;
console.log("=== Analyse des connexions externes ===");
resources.forEach((resource) => {
const url = new URL(resource.name);
if (url.hostname !== currentDomain && !url.hostname.includes("trusted-cdn")) {
console.warn(`Domaine externe identifié : ${url.hostname} -> Type : ${resource.initiatorType}`);
}
});
Ce simple code JavaScript permet de détecter si une bannière publicitaire effectue des appels HTTP secondaires vers des serveurs inconnus non spécifiés dans votre politique de sécurité de contenu (CSP - Content Security Policy).
Mesures pratiques pour se prémunir du malvertising
La protection contre la publicité malveillante repose sur une stratégie de défense en profondeur, associant des logiciels adaptés et de bonnes pratiques de navigation :
- Utiliser un bloqueur de publicités robuste : Des extensions de navigateur open source telles que uBlock Origin bloquent le chargement des régies publicitaires, coupant ainsi l'attaque à la racine.
- Maintenir à jour son navigateur et son système : Les attaques par téléchargement furtif ciblent presque exclusivement des vulnérabilités déjà corrigées par les éditeurs de logiciels dans leurs dernières versions.
- Désactiver la lecture automatique des plugins : Configurez votre navigateur pour qu'il demande une validation manuelle avant de lancer des modules ou du contenu multimédia interactif.
- Implémenter une politique de sécurité CSP stricte : Si vous administrez un site web, limitez rigoureusement les serveurs tiers autorisés à exécuter des scripts sur vos pages.
- Vérifier les redirections suspectes : Si un lien sponsorisé sur un moteur de recherche vous semble anormal, analysez l'URL de destination sur notre Vérificateur d'URL afin de vérifier si le domaine figure sur des listes de serveurs de spam ou de phishing.
Pour approfondir vos connaissances sur le suivi publicitaire et la collecte de données en ligne, n'hésitez pas à lire notre dossier complet sur les Cookies et Fingerprint. Mieux comprendre comment les annonceurs ciblent votre profil vous permettra d'ajuster vos paramètres de confidentialité pour limiter l'exposition aux campagnes de malvertising ciblées.
Conclusion
Le malvertising prouve que les règles de prudence traditionnelles (comme le fait de ne pas télécharger de fichiers sur des sites suspects) ne suffisent plus à garantir la sécurité. L'introduction de scripts malveillants dans des réseaux publicitaires réputés expose n'importe quel internaute à des risques d'infection.
La parade repose sur l'utilisation combinée d'un bloqueur de publicités, de mises à jour régulières de vos applications et d'analyses de sécurité ponctuelles. Des outils comme le Vérificateur d'URL de TecnoCrypter vous accompagnent au quotidien pour assurer une navigation sereine et sans scripts espions.
Sources et lectures recommandées :
- OWASP Top 10 : Vulnérabilités des applications web — Référentiel mondial pour la sécurisation du code JavaScript côté client.
- NIST SP 800-83 - Guide de prévention et de gestion des incidents liés aux malwares — Normes du National Institute of Standards and Technology des États-Unis.
- Article associé sur TecnoCrypter : Le danger des liens courts sur les réseaux sociaux
- Article associé sur TecnoCrypter : Cookies et Fingerprint : comment protéger sa vie privée en ligne


