Pour gérer vos consentements :
Categories: Sécurité

Adblockers : échange publicité contre failles de sécurité

Installer un bloqueur de pub, c’est une chance supplémentaire de s’exposer à des attaques informatiques.

Une alerte d’un chercheur indépendant le rappelle.

La faille qu’il a découverte se trouve au niveau des « filtres », ces listes de règles sur lesquelles se basent les adblockers (l’une des plus connues étant l’EasyList).

Elle concerne plus précisément la fonction $rewrite, introduite à l’été 2018 dans les principaux logiciels du marché, à commencer par Adblock Plus, Adblock et uBlock.

Cette fonction permet de ne pas simplement bloquer des éléments, mais de les remplacer par d’autres.

Pour éviter un usage malveillant, plusieurs garde-fous ont été mis en place.

D’une part, la ressource de remplacement doit se trouver sur le même domaine que celle d’origine. De l’autre, $rewrite ne fonctionne en théorie pas avec les requêtes de type script ou object.

Simple comme Google ?

Malgré ces protections, il est possible, pour les gestionnaires des filtres, de créer des règles capables d’injecter des scripts distants*.

Sont vulnérables les sites et services web qui :

– permettent de charger des scripts depuis tout domaine ;
– utilisent pour cela XMLHttpRequest ou Fetch ;
– ne contrôlent pas l’URL cible avant exécution du script.

Le chercheur a mené son expérimentation avec Google Maps. Pour charger son script, il est passé par l’URL indexée dans le moteur de recherche Google (donc sur le même domaine).

Aux éditeurs des sites et services concernés (Gmail et Google Photos en font partie), il recommande d’utiliser l’en-tête de réponse HTTP Content-Security-Policy, afin de contrôler les ressources chargeables.

Les bloqueurs de pub touchés fédèrent – sans compter leurs variantes – plus de 100 millions d’utilisateurs actifs.

Eyeo, qui développe Adblock Plus, a pris la décision de retirer, dans une prochaine mise à jour, la prise en charge de l’option $rewrite.

* On a déjà constaté des cas de détournement de filtres, par exemple en Finlande, pour bloquer les sites de syndicats.

Photo d’illustration © dKART – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago