Cybersécurité 21 mai 2026 7 min de lecture

En quoi la publicité intrusive menace-t-elle notre sécurité en ligne ?

On a souvent tendance à séparer les choses : d'un côté la pub qui est juste « agaçante », et de l'autre les virus qui sont « dangereux ». Sauf que la frontière entre les deux a presque disparu aujourd'hui avec ce qu'on appelle le malvertising. Décryptage d'une menace bien réelle.

En bref

Le malvertising (publicité malveillante) permet à un pirate d'installer un logiciel espion ou de rediriger vers un site de phishing sans que vous cliquiez, simplement parce que la bannière s'est chargée sur la page. Le système d'enchères Real-Time Bidding rend les éditeurs incapables de contrôler ce qu'ils affichent. À cela s'ajoutent les dark patterns, ces interfaces conçues pour vous manipuler. Bloquer la pub n'est donc pas un confort visuel — c'est une mesure de cybersécurité.

Section 01

Quand la bannière pub devient une arme

Il ne faut pas forcément cliquer sur un lien suspect dans un mail pour se faire pirater. Parfois, se rendre sur un site d'information tout à fait légitime suffit. Les réseaux publicitaires sont tellement complexes et automatisés — le système d'enchères en temps réel, ou Real-Time Bidding — que les éditeurs de sites ne contrôlent plus du tout ce qui s'affiche chez eux.

Des pirates achètent des espaces publicitaires tout à fait légalement. Ensuite, ils injectent du code malveillant dans l'encart pub. Rien qu'en chargeant la page, votre navigateur peut exécuter ce code et installer discrètement un logiciel espion ou vous rediriger vers une page de phishing très bien imitée.

⚠ Drive-by download

C'est le scénario où une infection se produit sans interaction de l'utilisateur. La pub se charge, exploite une faille du navigateur (souvent dans la gestion JavaScript ou les plugins), et installe le malware en arrière-plan. Aucun clic, aucun téléchargement à valider.

+42 % d'augmentation des campagnes de malvertising détectées entre 2023 et 2025 selon l'ENISA (Agence de l'Union européenne pour la cybersécurité).

Section 02

Le Real-Time Bidding et l'incontrôlable

Le Real-Time Bidding (RTB) est devenu le mode d'achat publicitaire dominant. Concrètement, quand vous chargez une page :

Votre profil (intérêts supposés, historique, géolocalisation) est envoyé à une plateforme d'enchères.
Des centaines d'annonceurs sont notifiés en parallèle et soumettent une enchère.
Le plus offrant gagne — en quelques dizaines de millisecondes.
Sa créa publicitaire est injectée dans l'emplacement réservé sur la page.

Le problème est structurel : l'éditeur du site ne voit jamais la pub avant qu'elle s'affiche. Il n'a aucun moyen pratique de vérifier si le code de la bannière est légitime, s'il contient un script de tracking abusif, ou pire, un exploit. Les contrôles des plateformes de RTB existent mais restent largement insuffisants face au volume — des dizaines de milliards de transactions par jour.

L'Interactive Advertising Bureau (IAB) a tenté de normaliser des standards (ads.txt, sellers.json) pour limiter les fraudes, mais le malvertising reste l'un des angles d'attaque les plus rentables pour les groupes cybercriminels.

Section 03

L'arnaque par manipulation : les dark patterns

Au-delà du piratage technique pur et dur, la pub intrusive utilise massivement les « dark patterns ». Ce sont des interfaces conçues pour vous tromper :

Fausses croix de fermeture : vous cliquez sur le X pour fermer la pub, mais c'est en réalité un bouton de clic qui ouvre la régie publicitaire.
Alertes anxiogènes : « Votre PC est infecté, cliquez ici ! », « Vous avez gagné un iPhone, réclamez-le maintenant ! ».
Faux boutons système : des bannières qui imitent les notifications Windows ou macOS pour pousser à l'installation d'un faux antivirus.
Confirm shaming : « Non merci, je préfère payer plus cher mon assurance » au lieu d'un simple « Non ».
Roach motel : facile de s'inscrire, quasi impossible de se désinscrire.

Ces pratiques sont désormais explicitement encadrées par le Digital Services Act européen et par la CNIL côté français. Les sanctions montent — mais l'écart entre la sanction et le bénéfice réalisé reste encore largement en faveur des annonceurs malveillants.

Section 04

Cas réels : qui a déjà été touché

Le malvertising n'est pas une menace théorique. Quelques exemples documentés ces dernières années :

Le New York Times et la BBC ont diffusé sans le savoir des bannières contenant du code de ransomware (2016, mais le pattern reste actuel).
Forbes, MSN, AOL et plusieurs grands portails ont été contaminés par la campagne « AdGholas » qui ciblait spécifiquement les navigateurs non à jour.
YouTube a vu apparaître à plusieurs reprises des publicités préroll redirigeant vers des sites de phishing imitant Google ou Microsoft.
Des sites d'actualité français ont diffusé en 2024 des bannières qui exploitaient une faille zero-day sur Chrome avant qu'elle ne soit corrigée.

Le point commun : aucun site malveillant. Aucun téléchargement piégé. Juste un site légitime, une bannière piégée passée à travers les contrôles, et un utilisateur dont le navigateur n'était pas à jour.

Section 05

Comment se protéger en pratique

Lutter contre la pub avec des outils performants comme Sheeldy, ce n'est donc pas seulement une question de confort visuel — c'est une véritable mesure d'hygiène de cybersécurité de base. Les actions concrètes, par ordre d'impact :

1. Maintenir son navigateur et son OS à jour

La grande majorité des campagnes de malvertising exploitent des failles déjà corrigées. Activez les mises à jour automatiques. C'est gratuit et c'est la défense la plus efficace.

2. Installer un bloqueur de publicités

uBlock Origin sur Firefox, Brave en natif. Pas pour le confort, mais parce qu'une bannière non chargée est une bannière qui ne peut pas vous attaquer.

3. Désactiver les plugins inutiles

Flash, Java, anciens lecteurs PDF intégrés au navigateur. Ces vieux composants sont des passerelles classiques pour le drive-by download.

4. Couper la collecte qui alimente le ciblage

Les campagnes de malvertising fonctionnent par ciblage — elles attaquent des profils précis. Plus votre profil est détaillé chez les data brokers, plus vous êtes une cible attractive. Supprimer vos données chez les courtiers (ce que fait Sheeldy) réduit mécaniquement le risque d'être ciblé.

Questions fréquentes

Qu'est-ce que le malvertising ?

Le malvertising (contraction de malicious advertising) désigne l'injection de code malveillant dans des espaces publicitaires légitimes. Le pirate achète un emplacement publicitaire via un système d'enchères automatisé, y glisse un script qui exploite une faille du navigateur, et n'importe quel visiteur du site qui charge la pub peut être infecté — sans même cliquer dessus.

Faut-il cliquer sur une publicité pour être infecté ?

Non. Dans le cas du malvertising par drive-by download, le simple chargement de la bannière exécute le code malveillant. Aucun clic, aucune validation n'est nécessaire. Un internaute prudent qui ne clique jamais sur les pubs peut quand même être compromis.

Qu'est-ce que le Real-Time Bidding (RTB) ?

Un système d'enchères automatisé qui décide en quelques millisecondes quelle publicité s'affichera sur la page que vous visitez. Votre profil est mis aux enchères entre des centaines d'annonceurs, le plus offrant gagne, et sa bannière est injectée. L'éditeur du site ne contrôle pas ce qui s'affiche.

Qu'est-ce qu'un dark pattern ?

Une interface conçue pour vous tromper ou vous manipuler : fausses croix de fermeture, alertes anxiogènes, boutons rouges menaçants placés là où vous attendiez un bouton de validation neutre, opt-out caché derrière dix sous-menus. La CNIL et l'Europe (Digital Services Act) sanctionnent désormais explicitement ces pratiques.

Comment se protéger du malvertising ?

Quatre mesures combinées : un navigateur à jour (les correctifs bouchent les failles exploitées), un bloqueur de publicités performant (uBlock Origin sur Firefox, Brave), un antivirus actif avec détection web, et la suppression de vos données chez les data brokers pour ne plus être ciblé.

Sources factuelles Rapports de l'Agence de l'Union européenne pour la cybersécurité (ENISA) sur le malvertising et le drive-by download · Travaux de référence de Harry Brignull sur les dark patterns · Digital Services Act (DSA) de l'Union européenne · Documentation IAB sur ads.txt et sellers.json.

En résumé

La publicité intrusive n'est plus un simple sujet de confort. Avec le malvertising, le Real-Time Bidding et les dark patterns, c'est devenu un vecteur d'attaque cybersécurité à part entière. Se protéger demande de bloquer en aval (adblocker, navigateur à jour) et en amont (suppression des données qui alimentent le ciblage). C'est exactement la promesse de Sheeldy : couper la chaîne là où elle est encore réversible.