Le malvertising désigne une technique d’attaque cybernétique qui consiste à diffuser des publicités légitimes en apparence, mais contenant du code malveillant, via des réseaux publicitaires légitimes (Google Ads, Taboola, etc.) ou des plateformes de médias.
Contrairement au phishing ou aux logiciels malveillants téléchargés directement, le malvertising n’exige aucune action active de la victime : il suffit parfois de charger une page web pour être infecté.
Comment ça marche ?
- Injection : un attaquant soumet une bannière ou un script publicitaire à un réseau d’affichage (ad network).
- Validation trompée : la publicité passe les filtres automatisés (elle semble inoffensive).
- Redirection silencieuse : une fois affichée sur un site légitime (ex. : journal, blog), elle redirige l’utilisateur vers un kit d’exploitation (exploit kit) sans clic.
- Infection : le navigateur exploite une vulnérabilité (plugin obsolète, JavaScript malveillant) pour installer :
- Ransomware
- Spyware
- Cryptojacker
- Faux antivirus
Particularité : le site hôte est innocent — il n’a pas été piraté. C’est la chaîne publicitaire qui est compromise.
Risques majeurs
- Atteinte à la réputation : un média légitime devient vecteur d’attaque.
- Perte de confiance : les utilisateurs fuient les sites « à risque ».
- Exposition RGPD : si des données sont exfiltrées via le malvertising.
- Infection silencieuse : même les internautes prudents sont vulnérables.
Mesures de protection
- Mettre à jour navigateurs et plugins (désactiver Flash, Java, etc.)
- Utiliser un bloqueur de publicités (uBlock Origin, Brave)
- Déployer un pare-feu applicatif (WAF) côté serveur
- Auditer les réseaux publicitaires intégrés à son site
- Privilégier les formats statiques (images PNG/SVG) plutôt que les scripts publicitaires dynamiques
Synonymes / termes associés
- Publicité malveillante
- Annonce infectée
- Campagne publicitaire compromise
- Vectorisation publicitaire