Les lecteurs de sites Web majeurs tels que Vice News , CNET , The Verge , Neowin et bien d'autres sont exposés à des risques de sécurité depuis 2015, car les publicités qu'ils diffusent à partir de la plateforme publicitaire PowerLinks ^{(PowerLinks advertising)} utilisent^{(platform use)} des certificats SSL expirés . Voici ce qui se passe, ce à quoi vous vous exposez lorsque vous lisez des publications qui incluent des publicités PowerLinks et ce que vous pouvez faire pour rester en sécurité :

Les annonces diffusées via PowerLinks ont des certificats SSL qui ont expiré en octobre 2015^{(October 2015)}

En lisant plusieurs sites Web sur mon ordinateur personnel, j'ai remarqué que ma solution de sécurité^{(security solution)} se plaignait que mon navigateur essayait de communiquer via un canal chiffré avec un certificat non fiable. Mon antivirus ne pouvait pas garantir l'authenticité du domaine sur lequel la connexion cryptée a été établie, et cela posait un risque de sécurité^{(security risk)} pour moi. Au départ, j'ai ignoré cet avertissement et j'ai continué à lire. Cependant, après l'avoir vu sur plusieurs grands sites Web, j'ai commencé à y prêter attention et à étudier les choses plus en détail.

J'ai été surpris de constater que cet avertissement s'affiche sur de grandes publications en ligne et qu'il est toujours causé par des publicités diffusées à partir de pw.powerlinks.com. Tous ont un certificat SSL^{(SSL certificate)} qui a expiré en octobre 2015^{(October 2015)} , comme vous pouvez le voir ci-dessous.

Pour vérifier si c'était vrai et pas seulement une fausse alerte, j'ai essayé un autre produit de sécurité de^{(security product)} premier ordre , et les résultats étaient les mêmes. J'ai navigué sur plusieurs sites Web et j'ai remarqué que le même problème se répétait pour certains grands noms du monde de l'édition^{(publishing world)} .

Qu'est-ce que PowerLinks offre^{(PowerLinks offer)} aux éditeurs ?

Selon leur site officiel, PowerLinks dispose d'un portefeuille complet de solutions et de services publicitaires. Ils proposent un Ad Server pour les sites de leur portefeuille de clients, une plateforme Ad Exchange^{(Ad Exchange platform)} , des publicités natives (in-text, in-video, in-image, in-feed et in-display ads) et plus encore.

Pourquoi est-ce un problème ? Les problèmes auxquels nous sommes exposés lorsque les sites Web affichent des publicités avec des certificats SSL expirés^(SSL)

Si vous n'avez pas installé une bonne solution de sécurité^{(security solution)} , vous ne remarquerez peut-être jamais ce problème. Cependant, si vous utilisez un bon antivirus qui analyse votre trafic HTTP^{(HTTP traffic)} en temps réel, vous serez alors ennuyé par une invite de sécurité^{(security prompt)} sur plusieurs grandes publications médiatiques qui utilisent les services publicitaires fournis par PowerLinks .

Laissant de côté le facteur de gêne^{(annoyance factor)} , nous avons interrogé Catalin Patrascu (chef du département de la sécurité et de la surveillance^{(Information Security and Monitoring Department)} de l'information de l'équipe nationale roumaine de réponse aux incidents de sécurité informatique^{(National Computer Security Incident Response Team)} ) sur les risques de sécurité liés à ces publicités, et il a déclaré ce qui suit :

"Théoriquement, la vérification des certificats SSL peut être effectuée même s'ils sont expirés. Pour les utilisateurs qui s'habituent à cette erreur et ne vérifient pas le certificat SSL à chaque fois qu'ils reçoivent l'erreur, il y a le risque d'être redirigés vers des pages et devenir la cible d'attaques de type "man-in-the-middle"^{("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")} .

Une autre chose importante à considérer est que ces publicités suivent également les données et le comportement des utilisateurs. Ces données sont envoyées via un canal non sécurisé^{(insecure channel)} , ce qui les rend vulnérables à l'interception par des parties indésirables.

Les sites Web concernés par ce problème incluent : The Verge , Vice News , CNET , etc.

Nous ne connaissons pas la liste exacte des sites Web concernés par ce problème. Nous supposons que tous les clients de PowerLinks sont à risque. Jusqu'à présent, nous avons identifié ce problème sur de grandes publications médiatiques comme The Verge , Vice News , CNET , Neowin et autres^{(Neowin and others)} . Ces sites Web comptent des dizaines de millions de lecteurs chaque mois, et la sécurité de leur public est menacée chaque jour où ils diffusent des publicités PowerLinks depuis ^(PowerLinks)octobre 2015^{(October 2015)} .

Ce problème est causé par une simple négligence de la part de PowerLink

Il s'agit ici d'une pure négligence. Ces certificats SSL n'ont pas expiré depuis quelques jours ou un mois. Ils ont expiré depuis 2015 et PowerLinks ne fait pas son travail en offrant des solutions publicitaires sécurisées aux publications en ligne et aux lecteurs de ces publications. Leur équipe technique n'a pas remarqué que leur plateforme publicitaire^{(advertising platform)} utilise des certificats SSL expirés depuis des années et n'a rien fait pour résoudre ce problème tout en mettant en danger des millions de lecteurs. Les créateurs de logiciels malveillants ont-ils exploité ce problème ? ^{(Did malware)}C'est une bonne question, et nous ne savons pas si PowerLinks peut y répondre. En fin de compte, ils ne se sont même pas occupés des bases comme les dates d'expiration.

Quels produits de sécurité^{(Which security)} m'ont aidé à découvrir ce problème ?

La première fois que j'ai rencontré ce problème, c'était lorsque je naviguais sur certains des sites Web que j'ai mentionnés précédemment et que j'utilisais ESET Smart Security comme antivirus.

Ce problème a également été confirmé par Kaspersky Total Security , comme vous pouvez le voir ci-dessous.

Nous sommes ravis que ces produits aient fait leur travail en nous informant et en nous protégeant des vulnérabilités de sécurité de la plate-forme publicitaire PowerLinks et en nous aidant à démêler ce qui se passe. C'est une preuve supplémentaire que vous devez toujours installer un produit antivirus^{(antivirus product)} tiers et arrêter de naviguer sur le Web, non sécurisé. Si vous êtes curieux d'en savoir plus sur les risques liés à la navigation sur le Web sans protection, lisez cette expérience que nous avons menée : Comment infecter votre PC Windows^{(Windows PC)} tout en naviguant sur le Web gratuitement.

Qu'avons-nous fait pour aider les lecteurs et les publications concernés par ce problème de sécurité^{(security issue)} ?

Tout^(First) d'abord, nous avons écrit cet article pour informer tout le monde à ce sujet. Nous avons également demandé à PowerLinks un commentaire officiel. Cependant, leur e-mail de contact officiel ne fonctionne pas, et tout ce que nous avons reçu est un échec de notification d'état^{(Status Notification Failure)} de livraison , que vous pouvez voir ci-dessous.

Nous avons envoyé cet article à toutes les publications médiatiques que nous avons trouvées qui sont concernées, ainsi qu'aux PowerLinks , en utilisant leurs canaux de médias sociaux. Nous espérons qu'ils n'ignoreront pas notre message et prendront des mesures pour résoudre ce problème.

UPDATE (03/21/2017): Nous avons finalement réussi à envoyer notre message à PowerLinks , et nous avons reçu la réponse suivante de Branden Smythe , VP Business Development :

"J'ai été informé que vous avez contacté PowerLinks. Nous répondrons aux préoccupations que vous avez signalées sous peu."^{("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")}

Aujourd'hui, nous avons vérifié à nouveau les sites Web où nous avons trouvé les problèmes que nous avons décrits et les choses fonctionnent maintenant bien. Il semble que PowerLinks ait effectué les étapes nécessaires pour sécuriser la diffusion de ses publicités^{(ad delivery)} sur tous les sites Web, ce qui est formidable. Espérons^(Hopefully) qu'ils apprendront de ce problème et prendront mieux soin des bases de sécurité comme la date d' expiration^{(expiration date)} des certificats SSL .

Que pouvez-vous faire pour vous protéger des publicités PowerLinks non sécurisées ?^(PowerLinks)

Si votre solution de sécurité^{(security solution)} se plaint des certificats SSL expirés utilisés par les publicités ^(SSL)PowerLinks , vous devez les bloquer. Si vous ne disposez pas d'un antivirus qui analyse votre trafic HTTP en^{(HTTP traffic)} temps réel , vous devez exécuter ces sites Web en utilisant des modes de navigation privés qui bloquent également les publicités non sécurisées ou trouver un autre moyen de les bloquer. Nous ne sommes pas partisans du blocage des publicités sur les sites Web que nous avons mentionnés, car la publicité est ce qui permet à ces publications de fournir à chacun un contenu de qualité. Espérons que ce problème sera bientôt résolu et que nous pourrons tous profiter de nos publications préférées, en toute sécurité, sans bloquer leur publicité et leur permettre de tirer des revenus de leur travail.

PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more

Readers of major websites like Vіce News, CNET, The Verge, Neowin and more, have been exposed to security risks since 2015 because the ads they run from the PowerLіnks advertising platform use expired SSL certіficates. Here's whаt is going on, what you are exposing yourself to when reading рublicationѕ that include PowerLinks ads and what you can do to stay safe:

The ads served through PowerLinks have SSL certificates that expired in October 2015

While reading several websites on my personal computer, I have noticed that my security solution was complaining that my browser is trying to communicate over a channel that is encrypted with an untrusted certificate. My antivirus could not guarantee the authenticity of the domain to which the encrypted connection was established, and this posed a security risk for me. Initially, I ignored this warning and just kept reading. However, after seeing it on several big websites, I started paying attention and studied things in more detail.

I was surprised to find that this warning is shown on large online publications and it is always caused by ads served from pw.powerlinks.com. All of them have an SSL certificate that expired in October 2015, as you can see below.

To double check whether this was true and not just a false alarm, I tried another top-notch security product, and the results were the same. I navigated more websites and noticed that the same problem was repeating for some big names in the publishing world.

What does PowerLinks offer publishers?

According to their official website, PowerLinks has a comprehensive portfolio of advertising solutions and services. They offer an Ad Server for the sites in their portfolio of clients, an Ad Exchange platform, native ads (in-text, in-video, in-image, in-feed and in-display ads) and more.

Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates

If you don't have a good security solution installed, you might never notice this issue. However, if you use a good antivirus which scans your HTTP traffic in real-time, then you will be annoyed by a security prompt on several large media publications that use advertising services provided by PowerLinks.

Leaving the annoyance factor aside, we asked Catalin Patrascu (head of the Information Security and Monitoring Department at the Romanian National Computer Security Incident Response Team) about the security risks involved with these ads, and he stated the following:

"Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks".

Another important thing to consider is that these ads also track user data and user behavior. This data is sent through an insecure channel, leaving it vulnerable to interception by unwanted parties.

The websites that are affected by this issue include: The Verge, Vice News, CNET, and more

We don't know the exact list of websites that are impacted by this issue. We assume that all PowerLinks customers are at risk. So far, we have identified this problem on large media publications like The Verge, Vice News, CNET, Neowin and others. These websites have dozens of millions of readers each month, and the security of their audience has been put at risk every day they have run PowerLinks ads, since October 2015.

This problem is caused by plain negligence on PowerLink's part

What we are dealing here is plain negligence. These SSL certificates have not been expired for a couple of days or a month. They have been expired since 2015 and PowerLinks are not doing their job of offering secure advertising solutions to both online publications and readers of those publications. Their technical team did not notice that their advertising platform uses SSL certificates that have been expired for years and did nothing to solve this problem while putting millions of readers at risk. Did malware creators exploit this issue? That's a good question, and we're not sure whether PowerLinks can answer. In the end, they did not even take care of basics like expiration dates.

Which security products helped me discover this issue?

The first time I found this problem was when I was navigating some of the websites I mentioned earlier and used ESET Smart Security as my antivirus.

This issue was also confirmed by Kaspersky Total Security, as you can see below.

We're pleased that these products did their job in informing us and keeping us safe from the security vulnerabilities of the PowerLinks ads platform and helps us unravel what is going on. It's further proof that you should always install a third-party antivirus product and stop browsing the web, unsecured. If you are curious to learn more about the risks involved with browsing the web unprotected, read this experiment that we have run: How to infect your Windows PC while browsing the web for free stuff.

What did we do to help readers and publications that are affected by this security issue?

First of all, we wrote this article to inform everyone on this matter. We also asked PowerLinks for an official comment. However, their official contact e-mail doesn't work, and all we received is a Delivery Status Notification Failure, which you can see below.

We sent this article to all the media publications that we've found that are affected, as well as to PowerLinks, using their social media channels. We hope that they won't ignore our message and will take measures to fix this problem.

UPDATE (03/21/2017): We finally managed to get our message sent to PowerLinks, and we received the following answer from Branden Smythe, VP Business Development:

"I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly."

Today, we checked again the websites where we have found the issues that we described and things are now working well. It seems that PowerLinks has performed the necessary steps to secure their ad delivery on all websites, which is great. Hopefully, they will learn from this problem and take better care of security basics like the expiration date of SSL certificates.

What can you do to protect yourself from insecure PowerLinks ads?

If your security solution is complaining about the expired SSL certificates used by PowerLinks ads, you should block them. If you don't have an antivirus which scans your real-time HTTP traffic, then you should run these websites using private browsing modes that also block the insecure ads or find some other way of blocking them. We are not fans of blocking ads on the websites that we have mentioned because advertising is what keeps these publications able to provide everyone with great content. Hopefully, this problem will be solved soon, and we can all enjoy our favorite publications, safely, without blocking their advertising and allowing them to earn revenue from their work.

Related posts

• Jamey Heary de Cisco : les organisations qui travaillent avec des informations sensibles, utilisent le Wi-Fi chiffré, le VPN et les applications chiffrées

• La cybersécurité par l'éducation : Kaspersky Interactive Protection Simulation

• Récompenses - Le produit antivirus le plus populaire de l'année 2017

• Quoi de neuf dans la mise à jour de novembre 2019 de Windows 10 ?

• Nouvelles fonctionnalités à venir dans Windows Defender dans la mise à jour des créateurs de Windows 10

• Windows 10 May 2021 Mise à jour: Quoi de neuf et supprimé?

• 10 choses intéressantes à propos de Chrome OS, des Chromebooks et des Chromebox

• Comment infecter votre PC Windows tout en naviguant sur le Web pour des trucs gratuits

• Windows 11 suce: 7 raisons pour lesquelles vous ne l'aimez peut-être pas

• Devriez-vous acheter un antivirus, une suite Internet Security ou une suite Total Security ?

• 4 applications qui vous aident à diagnostiquer la santé de votre appareil Android

• 9 critères importants à prendre en compte lors du choix de votre logiciel antivirus

• 3 raisons pour lesquelles inclure des codes QR dans les BSOD de Windows 10 est une mauvaise idée

• 6 façons de vous déconner de Windows 11

• Environ InPrivate and Incognito. Quelle est la navigation privée? Which browser est le meilleur?

• 13 meilleures choses à propos de Windows 10

• "Reste à la boutique Google Play !" déclare un expert renommé en sécurité de l'information chez ESET

• Comment ouvrir Disk Defragmenter à Windows (12 façons)

• 15+ raisons pour lesquelles vous devriez obtenir la mise à jour Windows 10 Fall Creators

• Comment dire ce que Windows j'ai (11 façons)