C'est un outil de sécurité indispensable.

Petit retour d'expérience d'un lot d'incidents de sécurité traités au taf.

Jeudi notre EDR (un antivirus) remonte des alertes concernant un logiciel qui semble malveillant, OneStart.exe. On investigue rapidement, et on se rend compte qu'il est installé par les collaborateurs depuis des publicités Google Ads.

Quelques exemples de sites ayant affiché ces publicités malveillantes :

bimmer.work
companieslogo.com
estatuto.co
file-examples.com
moovitapp.com
quizlet.com
teet.eklablog.com
www.calendriergratuit.fr
www.freecram.net
www.gerencie.com
www.i2pdf.com
www.itineraire-metro.paris
www.manager-go.com
www.mdecoder.com
www.pngegg.com

On pourrait se dire que c'est pas très grave, ça pue le site où de toute façon mettre les pieds n'est pas très conseillé. Mais aussi, et c'est là que ça devient vraiment problématique :

notepad-plus-plus.org
keepass.info
france-cadastre.fr
www.dafont.com

Ces sites sont officiels, de référence et correspondent aux attentes des utilisateurs. Ce ne sont pas des sites contrefaits. Ils ont pignon sur rue. Leur notoriété est acquise. Ils ne sont pas référencé dans les listes de sites "potentiellement malveillant".

Bref ça m'énerve fort. Très fort.

Insérer de la publicité sur votre site via un outil tiers est un risque de sécurité majeur. Même si on met de coté le problème de tracking lié à ces publicités, les groupes malveillants profitent de votre image pour pousser leurs malwares. Ce qui s'affiche sur votre site est, dans l'esprit de vos visiteur·ices, aussi légitime que votre propre contenu.

Si vous ne pouvez pas contrôler ce qui est affiché chez vous, n'en faites par l'intégration. C'est votre responsabilité d'éditeur qui est en jeu.

Les pubs contribuent à rendre le net moins sécurisé. En tant que site disposant d'une aura de référence, vous posez un risque de sécurité majeur à l'écosystème.

La conséquence est que bloquer la publicité est maintenant une mesure de sécurité incontournable. Installez un adblocker performant, et installez-le pour vos collègues. Ce n'est plus qu'une question de confort, de vie privée ou d'écologie. C'est une putain de question de sécurité.

Je préconise uBlock Origin sur Firefox, Chrome et ses dérivés ayant imposé des restrictions techniques visant à rendre moins efficace les adblockers (via Manifest v3).

Au taf on est en train de regarder pour déployer automatiquement uBlock sur tous les navigateurs autorisés. Ça nous fera moins d'incidents à gérer. Et l'équipe réseau nous remerciera aussi d'avoir divisé par 2 la bande passante.

Alors oui ça me gonfle. Ça me gonfle que le Web soit pourri à ce point par la pub. Ça me gonfle de passer des heures à analyser des dizaines de PC parce que france-cadastre a affiché un putain de message "pour visualisez votre PDF installez cette merde". Alors bloque la pub. Et passe le bloqueur à tes voisin·es.