Mark lisait le New York Times pendant sa pause déjeuner. Il n'a cliqué sur aucun lien, n'a téléchargé aucune pièce jointe, n'a rien installé. Une semaine plus tard, son laptop pro et quatre autres machines de son équipe se sont retrouvés sur un dashboard de ransomware quelque part sur le dark web. L'analyse forensique n'a sorti qu'un seul point commun : une bannière sur la home d'un site d'actu, piégée entre onze heures et midi.
Voilà ce qu'est le malvertising. Un attaquant glisse du code malveillant dans un ad network légitime, et n'importe quel navigateur qui charge la bannière se fait attaquer sans le moindre clic. Le site sur lequel tu es ? Légitime. L'ad network ? Légitime aussi. Sauf que l'ad unit sert du JavaScript qui sonde ton navigateur et qui, dès qu'une vulnérabilité connue colle, exécute son code avant que tu aies fini la phrase en cours.
Ce qu'est réellement le malvertising
Les pubs sur le web, ce n'est pas l'éditeur du site qui les sert. Elles sont vendues aux enchères en temps réel sur des marketplaces programmatiques, passent par des dizaines d'intermédiaires, et au bout d'un à quatre redirects, le creative final finit dans une iframe au milieu de la page que tu lis. Chaque redirect est l'occasion de servir autre chose que ce que l'éditeur a validé.
C'est précisément cette complexité que le malvertising exploite. L'attaquant achète de l'ad space comme un client lambda. Il sert d'abord des creatives propres, passe la validation, puis bascule sur un payload malveillant quelques jours plus tard. Variante : il compromet le compte d'un acheteur légitime et fait passer son code via des campagnes déjà en place.
Le résultat est identique. Un site sérieux t'affiche une bannière capable de t'attaquer. Le site n'a rien à se reprocher. Toi non plus. L'attaque se joue dans une frame que ni toi ni le site ne contrôlez.
Comment une pub malveillante prend la main sur ton navigateur
L'attaque se joue en quatre temps, et les quatre tombent avant même que la bannière s'affiche.
Probe. Le script de l'iframe pub lit ton user agent, la version du navigateur, les plugins, le fuseau horaire et quelques caractéristiques de l'appareil. En moins de 50 millisecondes, il sait si tu vaux le coup. Les laptops d'entreprise sur des navigateurs périmés passent en premier, les Android perso sont laissés de côté, les environnements connus de chercheurs en sécurité sont écartés.
Match. Le script confronte ta signature à un catalogue d'exploits. Des exploit kits comme RIG, Fallout ou les successeurs plus récents façon Magnitude gardent au chaud une bibliothèque de vulnérabilités connues, souvent encore non patchées.
Deliver. Si un exploit colle, l'iframe charge un payload de seconde étape. Ça peut être un appel piégé au lecteur PDF, un shader WebGL ou un bug JIT du moteur JavaScript, bref n'importe quoi qui casse la sandbox sur ta build précise.
Execute. À ce stade, du code étranger tourne avec tes permissions. Il installe un infostealer, un cryptominer ou l'accès initial qu'un groupe ransomware recyclera plus tard. Pendant tout ce temps, la bannière s'affiche normalement, pour que rien ne te mette la puce à l'oreille.
Incidents sur des sites que tu connais
Le malvertising n'a rien d'un risque théorique. Le New York Times, la BBC, MSN, AOL et la home de Yahoo se sont tous retrouvés à servir de relais à du malware via des ad networks, sans s'en rendre compte la plupart du temps, jusqu'à ce qu'un chercheur en sécurité rende l'affaire publique.
Forbes a passé quelques années à fermer la porte aux lecteurs équipés d'ad blockers en leur demandant de les couper. Une fois que beaucoup s'étaient exécutés, le magazine s'est retrouvé, deux fois en quelques semaines, à diffuser du malware depuis son propre inventaire pub. Le problème, ce n'est pas l'éditeur. C'est toute la chaîne d'approvisionnement de la publicité en ligne.
impressions publicitaires peut diffuser du code malveillant
durée de vie moyenne d'une campagne avant détection
hausse des incidents de malvertising signalés en 2024-2025
Pourquoi antivirus et ad blockers ne suffisent pas
L'antivirus classique compare des fichiers à des signatures de malware connus. Le malvertising, lui, sert du code qui n'a jamais touché un disque. Le payload s'exécute directement en mémoire, souvent depuis un blob WebAssembly, et fait le ménage derrière lui. Il n'y a rien qu'un scanner AV puisse voir au sens classique. La version longue est dans Why Antivirus Fails.
Les ad blockers aident, mais ne règlent rien sur le fond. Ils bloquent les ad servers connus. Or les attaquants qui achètent leurs campagnes via des ad networks légitimes ne sont, par définition, sur aucune liste de blocage. En plus, de plus en plus de sites servent leurs pubs depuis leur propre infra, à laquelle les blockers ne peuvent pas toucher sans casser la page.
Les navigateurs sont patchés tous les mois, mais entre la disclosure et le rollout large, il s'écoule souvent plusieurs semaines. C'est dans cette fenêtre que les exploit kits se mettent à jour. Si ton navigateur a été patché hier alors que les attaquants connaissent l'exploit depuis quatre semaines, ils ont eu quatre semaines de marge.
Naviguer sans devenir la cible
La seule défense vraiment fiable contre le malvertising, c'est de séparer le navigateur de la machine où vivent tes données. Si ton navigateur tourne dans un environnement isolé, l'exploit part quand même, mais il s'écrase contre une VM jetable qui disparaît à la fin de la session. Le payload n'atterrit pas sur ta machine, il atterrit dans un conteneur que la plateforme reconstruit avant de le filer à l'utilisateur suivant.
Pour la navigation sensible, fais-en ton mode par défaut. Recherche sur des sites que tu ne connais pas, lecture de l'actu en plein pic de campagne, clic sur un lien venu d'une newsletter, ce sont autant de moments où un navigateur isolé limite la casse avant même qu'il se passe quoi que ce soit. Ton navigateur de tous les jours, lui, reste réservé aux sites de confiance sur lesquels tu es déjà connecté.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
