+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 378
    Points : 38 319
    Points
    38 319
    Billets dans le blog
    2

    Par défaut Campagnes de publicités malveillantes : Flash aurait-il été accusé à tort ?

    Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède
    aux problèmes de sécurité dans l’industrie de la publicité

    Il fut un temps où la technologie Flash d’Adobe était incontournable pour la création de médias riches sur le web. Mais ces dernières années, notamment l’année 2015, ont été éprouvantes pour la technologie d’Adobe. Accusé d’être à l’origine de nombreux problèmes de sécurité en ligne, notamment des campagnes de publicités malveillantes (malvertising), l’industrie de la publicité a décidé d’un commun accord de tirer un trait sur Flash.

    Dans le même temps, HTML5 est indiqué comme l’avenir pour les annonces. Le nouveau standard du web s'est vanté d’offrir une expérience multimédia plus intégrée avec des temps de chargement plus courts et une faible consommation d’énergie. Par rapport à Flash, il est également annoncé comme étant la solution pour des annonces plus sures qui pourraient empêcher la diffusion de malware. On peut en effet se souvenir qu’en août dernier, Yahoo! a été victime d'une vaste campagne de publicités malveillantes, dans laquelle les attaquants auraient exploité une vulnérabilité dans Flash. Mais il ne s’agit pas d’un cas isolé.

    Il semble cependant que l’industrie de la publicité ait accusé Flash à tort, du moins, en ce qui concerne les campagnes de publicités malveillantes. C’est ce qu’indique une étude de GeoEdge, un fournisseur de solutions de sécurité pour les annonces dans l’industrie de la publicité en ligne et mobile. GeoEdge révèle que Flash ne serait pas la cause profonde des campagnes de malvertising et que le passage à HTML5 ne pourra pas protéger les internautes contre cette menace. Le fournisseur de solutions de sécurité pour l’industrie de la publicité souligne en effet que les vulnérabilités exploitées viendraient des plateformes de publicité elles-mêmes ainsi que des normes de publicité.

    Basant son étude sur les annonces vidéo, GeoEdge révèle que les attaquants qui diffusent des annonces malveillantes ne reposent pas vraiment sur le fait que l’annonce soit en HTML5 ou Flash, mais sur la vulnérabilité des normes de publicité vidéo en ligne, notamment VAST (Video Ad Serving Template) et VPAID (Video Player-Ad Interface Definition).

    VAST et VPAID sont les règles du jeu en ce qui concerne la publicité vidéo en ligne. Ces normes sont d’une grande utilité pour les éditeurs qui souhaitent exécuter une variété d'annonces vidéo tierces. Si les réseaux publicitaires tiers prennent en charge les formats VAST et VPAID, les éditeurs ne devraient pas alors avoir à modifier leur implémentation pour jouer l'annonce.

    VAST est le format normalisé de l'IAB (Interactive Advertising Bureau) applicable au suivi des annonces vidéo. Il peut être vu comme script pour la publicité vidéo. Tout ce que VAST fait, c’est de donner des instructions cohérentes à votre lecteur vidéo sur la façon de gérer une annonce. Il indique par exemple à votre lecteur vidéo ce que l'annonce devrait faire, comment le faire, combien de temps l’annonce devrait être affichée, si oui ou non, celle-ci est désactivable, où trouver l'annonce (le serveur de publicité), l’URL de suivi, etc. En ce qui concerne VPAID, il s’agit d’une norme qui permet la communication entre une annonce vidéo et un lecteur vidéo. Celle-ci ajoute à VAST un niveau d’interactivité.

    Pour revenir aux campagnes de malvertising avec Flash, GeoEdge en distingue deux scénarios. Comme le montre la figure suivante, le premier consiste pour le créateur d’annonce à insérer un code malveillant directement dans son annonce Flash. C’est dans ce cas de figure qu’il serait recommandé de limiter l’utilisation de Flash.


    Attaque de malvertising via une annonce Flash malveillante

    Mais, il existe également un autre scénario, qui selon GeoEdge serait le principal facteur des campagnes de malvertising. Un attaquant pourrait injecter du code malveillant dans les paramètres VAST afin de détourner une annonce Flash légitime. Il pourrait par exemple stocker une URL de suivi malveillante dans les paramètres VAST, qui va alors rediriger les internautes vers des pages piégées ou installer des malwares. Dans ce cas, aucune interaction de l’utilisateur ne sera nécessaire pour que sa machine soit infectée. Ce scénario est illustré par la figure suivante.


    Attaque de malvertising en détournant une annonce Flash légitime

    GeoEdge affirme que HTML5 est certainement plus sûr que Flash, en termes de sécurité, et peut de ce fait limiter les menaces. C’est le cas plus précisément dans le premier scénario où l’attaquant utilise des failles dans la technologie utilisée pour créer l’annonce (Flash ou HTML5). Mais dans le deuxième scénario exploitant les standards VAST/VPAID, le créateur de l’annonce malveillante ne se soucie pas du fait que celle-ci soit en Flash ou HTML5. Et cela reste malheureusement le facteur fondamental de diffusion de publicités malveillantes, d’après GeoEdge. Le fournisseur de solutions de sécurité pour les annonces estime donc que le standard HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité en ligne.


    Attaque de malvertising : les deux scénarios avec HTML5

    L’étude s’est basée sur les annonces vidéo, mais la même chose pourrait être valable pour les annonces statiques, et encore, peu importe qu’elles soient en Flash ou HTML5.

    Source : Security Aspects of Flash, HTML5, and Video in the Ad Tech Industry

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Forum Webmarketing
    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Avatar de RyzenOC
    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 078
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 078
    Points : 2 977
    Points
    2 977
    Billets dans le blog
    8

    Par défaut

    Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

    Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

    HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

    Il y'a une différence quand même, avant fallait mettre a jour le plugin pour combler les failles, aujourd'hui faut mettre à jour le navigateur.


    Soyons objectif, comparons les failles (leurs nombres+leurs dangerosité) que google chrome colmate à chaque version, et les failles que colmate flash.
    Le phénomène prendra de l'ampleur à plus flash sera délaissé.
    =>Comment jouer sur xbox one à moindre coût ?
    Achetez un notebook de 2010 à 50€ sur leboncoin, installez steam, connectez le pc à un écran, branchez une manette xbox au pc
    Enjoy

  3. #3
    Membre éclairé
    Ingénieur de recherche
    Inscrit en
    novembre 2008
    Messages
    222
    Détails du profil
    Informations professionnelles :
    Activité : Ingénieur de recherche

    Informations forums :
    Inscription : novembre 2008
    Messages : 222
    Points : 780
    Points
    780

    Par défaut

    Flash est aussi délaissé pour sa lourdeur.

    Mais il faut aussi être clair, pour le grand public, flash est associé aux pubs, aux trucs qui clignotent dans tous les sens etc, plus qu'aux failles de sécurité. Et dans ce domaine HTML5 ne résout rien, mais Flash reste le seul pointé du doigt.

  4. #4
    Membre confirmé
    Homme Profil pro
    nop
    Inscrit en
    mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2015
    Messages : 436
    Points : 620
    Points
    620

    Par défaut

    html5 a un gros inconvénient : il facilite le profusion des vidéos de publicités en splashscreen ou background ou banners.

    donc plus il y a de content media html5 qui passe, plus ça sent l'arnaque et l'abus et les failles.

    pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).

  5. #5
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 103
    Points : 0
    Points
    0

    Par défaut

    La seule méthode qui n'a pas été utilisé est de transmettre un profil de "navigation" aux serveurs pour faire le filtrage de se qui sera téléchargé à la source.

    Une fois arrivé au navigateur web c'est une zone de texte accueillant une U.R.L. et une zone affichant l'interprétation du code H.T.M.L. reçu avec tous les autres "add-on".

    Se qui veux aussi dire que si les sources sont pas "saines", alors faut pas s'attendre à des niveaux de sécurités corrects.

  6. #6
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 368
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 368
    Points : 8 265
    Points
    8 265

    Par défaut

    Salut,

    Merci pour cet article qui explique les principes d'injection de malware sur les pub vidéos. Indirectement, flash sert donc encore à quelque chose...

    Après pour répondre au titre de l'annonce, que flash soit accusé plus ou moins à tort, ça ne change pas grand chose à la donne. C'est voué à disparaître pour le web puisqu'on peut faire suffisamment avec html5/javascript sans passer par une technologie propriétaire. Combien de développeurs web se préoccupent encore aujourd'hui de la technologie flash pour des projets futurs ou en cours... ?

  7. #7
    Membre émérite
    Avatar de Voïvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    433
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 433
    Points : 2 482
    Points
    2 482

    Par défaut

    Citation Envoyé par Michael Guilloux Voir le message
    Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité.
    Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.

  8. #8
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 103
    Points : 0
    Points
    0

    Par défaut

    Citation Envoyé par Voïvode Voir le message
    ... c’est la suppression de la publicité.
    Je donne la même adresse courriel a des commerces et a des proches (amis, parents et autres). Je reçois au moins trois courriels publicitaires par jour. C'est pas pour autant que je me précipiterais en magasins, ni même que changerais mes habitudes.

    Accès à l'alimentaire et bricolage de première nécessité ou pour résoudre des urgences à la distance la plus courte, bricolage et outillage de confort un peu plus loin.

    P.S.: l'étude de cas confirme ta conclusion. Même ci se sont les sapeurs-pompiers, agents de polices et autres métiers de la fonction public qui travaillent avec des roulements pour arriver à 24h/24h et 7j/7j. Se n'est pas toujours le cas des plombiers par exemple. Les médecins de gardes sont plutôt simples a trouver pour peu d'avoir accès à l’information et aux pharmacies de gardes, ainsi qu'aux services d'infirmiers à domicile.

  9. #9
    Membre éclairé
    Profil pro
    Inscrit en
    février 2013
    Messages
    347
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2013
    Messages : 347
    Points : 862
    Points
    862

    Par défaut

    Citation Envoyé par MichaelREMY Voir le message
    html5 a un gros inconvénient : ...

    pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).
    C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.

  10. #10
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 488
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 488
    Points : 8 060
    Points
    8 060

    Par défaut

    Citation Envoyé par sazearte Voir le message
    Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

    Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...
    Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

    Citation Envoyé par sazearte Voir le message
    HTML5 devient que c'est devenue les ActivX, applets Java et Flash.
    HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
    Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.

  11. #11
    Membre émérite
    Avatar de RyzenOC
    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 078
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 078
    Points : 2 977
    Points
    2 977
    Billets dans le blog
    8

    Par défaut

    Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.
    Les failles dans les navigateurs sa existe...
    Il y'avait une faille dans IE10, qui en utilisant localstorage (une fonctionnalité de l'html5) on pouvait remplir le disque dur de l'utilisateur par exemple.
    Il n'y a d’ailleurs pas que le navigateur dont il faut s’inquiéter, mais aussi les extensions qu'on à installé dessus qui peuvent apporter des failles.


    HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
    Techniquement sa n'a rien à voir, mais sa suit le même chemin d'évolution, on lui donne de plus en plus de fonctionnalités potentiellement dangereuse.

    Une techno permissive et ultra connecté sa ne peut rien sortir de bon niveau sécurité.
    =>Comment jouer sur xbox one à moindre coût ?
    Achetez un notebook de 2010 à 50€ sur leboncoin, installez steam, connectez le pc à un écran, branchez une manette xbox au pc
    Enjoy

  12. #12
    Membre chevronné
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 206
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 206
    Points : 1 956
    Points
    1 956

    Par défaut

    Le local storage est sous IE11 limité à 5 mb, il me semble

    Citation Envoyé par 23JFK Voir le message
    C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.
    y a pas d'addin qui fait ça???

    Citation Envoyé par Voïvode Voir le message
    Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.
    et la suppression d'internet pour tout ce qui est connecté.
    On veut nous l'imposer (le connecté) => on bloque son accès


    Citation Envoyé par Haseo86 Voir le message
    Flash est aussi délaissé pour sa lourdeur.
    pour moi Flash c'était les jeux
    Si la réponse vous a aidé, pensez à cliquer sur +1

  13. #13
    Nb
    Nb est déconnecté
    Membre régulier
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 40
    Points : 93
    Points
    93

    Par défaut

    Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.
    Oui c'est le propre d'un standard ouvert, ca supprime toute une couche de tiers dont on était dépendants auparavant. Mais en l’occurrence ca ne supprime pas le fait que les 3 ou 4 gros éditeurs de navigateurs implémentent ca comme ils veulent. Sachant que par exemple l'un d'eux est le plus gros publicitaire du monde ben ca vend pas du reve non plus
    HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
    Ca ne change rien sur le long terme. Si c'est rentable son utilisation sera massivement détournée et son implémentation sera oscultée à la loupe pour trouver et utiliser des failles.

    Bref ca améliore ce qu'un standard peut améliorer mais ne change en rien le reste.

Discussions similaires

  1. Yahoo! victime d’une vaste campagne de publicités malveillantes
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 8
    Dernier message: 18/08/2015, 10h02
  2. Réponses: 8
    Dernier message: 22/09/2014, 15h05
  3. Réponses: 33
    Dernier message: 03/04/2013, 15h52
  4. publicités en flash
    Par tophe33 dans le forum Flash
    Réponses: 1
    Dernier message: 25/11/2009, 15h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo