Les bloqueurs de publicité traitent un nombre croissant de problèmes liés à la publicité en ligne: du suivi en ligne à la vente d’annonces plus rémunératrices en économisant de la bande passante et en améliorant le temps de chargement des pages, en passant par le blocage des programmes malveillants diffusés via des canaux de publicité.
L'un des inconvénients du blocage des publicités réside dans le fait que certains éditeurs ne peuvent plus maintenir leur activité. En d'autres termes, ils cessent leurs activités ou utilisent d'autres moyens de gagner de l'argent, ce qui peut être encore plus problématique que les publicités. Certains éditeurs mettent en œuvre des mécanismes anti-blocage des publicités sur leurs sites afin d'empêcher les bloqueurs de publicité de fonctionner correctement ou de fonctionner du tout.
Les chercheurs de Princeton ont créé l'an dernier un logiciel utilisant une approche différente pour détecter et bloquer les publicités. Au lieu de s'appuyer sur des noms d'hôte ou des extraits de code, la solution des chercheurs de Princeton a imité la façon dont les utilisateurs Internet identifient la publicité sur les sites Web.
Un bloqueur de publicité perceptuel n’intéresse pas le code que les annonces utilisent. Il utilise des repères visuels pour identifier la publicité à la place; Cela inclut des indices subtils que les sites sont souvent tenus de montrer aux utilisateurs lorsque des éléments de page sont sponsorisés (par exemple, des libellés de publicité ou sponsorisés), mais également des boutons de fermeture ou des icônes sur des publicités telles que Google.
L'extension de validation de concept de Google Chrome a mis en évidence la publicité sur Facebook et sur le Web, mais ne l'a pas bloquée.
Les annonceurs et les éditeurs peuvent modifier le mode de diffusion des annonces pour contourner les extensions de blocage d'annonces classiques qui s'appuient sur des noms d'hôtes ou des extraits de code pour bloquer les annonces.
Bien qu’il s’agisse d’un avantage de courte durée, les listes de blocage étant régulièrement mises à jour avec de nouvelles données, il s’agit d’une course aux armements opposant éditeurs et sociétés de publicité d’un côté et bloquant programmes et utilisateurs de l’autre.
La nature visuelle des bloqueurs de publicité perceptuels devrait, en théorie, rendre difficile pour les annonceurs et les éditeurs de modifier la publicité pour éviter la détection et donc le blocage.
Les chercheurs de Princeton espéraient que le blocage des publicités perceptuelles mettrait fin à la course aux armements, car les annonceurs devraient changer la nature visuelle de la publicité pour éviter toute détection. Les exigences, légales ou autorégulatrices, limitent certaines formes de changement, de sorte qu'il devient difficile et parfois impossible de modifier certains éléments d'une publicité en ligne.
Les bloqueurs de publicités perceptives ont des faiblesses
Des chercheurs de l’Université de Stanford et du Centre pour la sécurité de l’information Helmholtz du CISPA ont publié récemment le document de recherche Ad-versarial: Defeating Perceptual Ad-Blocking, dans lequel ils réfutent l’affirmation selon laquelle le blocage de la publicité perceptuelle pourrait mettre fin à la course aux armements entre éditeurs et utilisateurs d’Internet.
Nous montrons que le blocage des publicités perceptuel engendre une nouvelle course aux armements qui désavantage probablement les bloqueurs de publicité. De manière inattendue, le blocage des publicités perceptuel peut également introduire de nouvelles vulnérabilités permettant à un attaquant de contourner les limites de la sécurité Web et de créer des attaques par DDoS.
Les chercheurs ont mis au point huit stratégies différentes pour attaquer les bloqueurs de publicités perceptuels et les ont regroupées en quatre catégories:
- Attaques contre la collecte de données et la formation - si les systèmes de blocage de publicités perceptuelles utilisent l’approvisionnement en masse, la plupart le font en fonction des chercheurs, alors il peut être possible de diluer le processus d’apprentissage et donc l’efficacité du blocage en soumettant des données de formation avec des backdoors ou des supports visuels. par d'autres moyens.
- Attaques contre la segmentation des pages - les attaques ciblent les bloqueurs qui "segmentent les pages Web en fonction de leur DOM", soit en surchargeant l'utilisation d'un grand nombre d'éléments HTML, soit en utilisant des techniques telles que les images-objets et les styles CSS.
- Attaques contre la classification - la classification détermine si un élément est considéré ou non comme une publicité. Les attaques ciblant la classification visent à échapper à la détection ou à détecter l'utilisation de bloqueurs de publicité. Les chercheurs ont découvert, par exemple, que "la plupart des classificateurs visuels, la perturbation
induire en erreur [était] presque imperceptible pour l’homme ".
- Attaques contre des actions de bloqueur de publicité : les sites peuvent exploiter le contexte de privilèges élevés dans lequel les bloqueurs de publicité s'exécutent, par exemple pour bloquer des parties non publicitaires d'un site pour tous les utilisateurs qui utilisent un bloqueur de publicité ou en déclenchant des demandes.
Les chercheurs ont évalué l'efficacité des attaques et conclu que "toutes les techniques de détection visuelle de la publicité sont fondamentalement anéanties dans le modèle d'attaque difficile" qu'ils ont utilisés.
Vous pouvez consulter la page Github du projet de recherche ici.
