Vous naviguez tranquillement sur le web quand, tout à coup, une nouvelle page s’ouvre et vous informe que votre version de Flash doit être mise à jour. Qu’est-ce que vous faites ? Si vous lisez MacGeneration, vous savez qu’il s’agit d’un traquenard et vous fermez l’onglet, mais les utilisateurs moins avertis risquent de télécharger un logiciel malveillant.

Les chercheurs en sécurité de Confiant ont découvert une campagne de malvertising récente visant les utilisateurs de Mac. Le malvertising, c’est l’exploitation de la publicité en ligne (advertising) pour diffuser des logiciels malveillants (malware).

Le principe n’est pas nouveau, mais cette campagne retient l’attention par son ampleur et son perfectionnement. Une image servie 5 millions de fois dans un cadre publicitaire servait de support pour de la stéganographie, c’est-à-dire que sous son apparence inoffensive, elle dissimulait du code servant à duper l’internaute.

Le malandrin VeryMal a créé un bloc canvas (un type d’élément HTML5) qui vérifiait si l’ordinateur avait des polices Apple installées et le cas échéant convertissait chaque pixel de l’image en caractère alphanumérique. Ce qui donnait au bout du compte le code suivant :

top.location.href =’hxxp://veryield-malyst.com/’ + volton + ‘?var1=’ + wsw;

L’internaute était alors dirigé vers une page l’invitant à télécharger une fausse version de Flash qui se trouvait être un logiciel infestant le Mac de pubs.

Des garde-fous limitent heureusement le nombre de victimes potentielles. Les navigateurs peuvent bloquer les téléchargements suspects (la page malveillante indiquait justement comment autoriser le téléchargement) et macOS demande une confirmation avant d’installer un logiciel venant du web. Le conseil est le même que d’habitude : ne téléchargez que ce dont vous avez besoin (vous pouvez sans doute vous passer de Flash maintenant) et à partir de sites de confiance uniquement.