Une nouvelle étude donne aux utilisateurs une autre raison de détester les publicités indésirables

publicité pop-up

Crédit : Pixabay/CC0 Domaine public

Une nouvelle étude publiée cette semaine révèle que le processus utilisé par les annonceurs tiers pour cibler les utilisateurs en ligne peut être visualisé ou manipulé par des adversaires en ligne en utilisant uniquement l’adresse e-mail de leur cible.

Une équipe de quatre chercheurs du Georgia Institute of Technology, de l’Université de l’Illinois à Chicago (UIC) et de l’Université de New York (NYU) a présenté ses conclusions mercredi lors de la conférence ACM sur la sécurité informatique et des communications (CCS), un lieu de sécurité de premier plan. .

Aujourd’hui, une grande partie de la publicité qui apparaît en ligne est spécifiquement adaptée aux individus en fonction de leur historique de navigation, de leur emplacement et de divers autres facteurs qui ont été collectés par des réseaux publicitaires tiers.

Ces données sont collectées par des cookies de suivi, qui sont envoyés par des réseaux publicitaires tiers et corrélés avec des identifiants uniques tels que des adresses e-mail. Ces cookies permettent aux annonceurs de créer des profils étendus d’internautes, mais comme l’ont découvert les chercheurs, ce système peut être influencé par de mauvais acteurs.

Une fois qu’un attaquant connaît l’adresse e-mail d’un utilisateur, il peut accéder aux informations collectées par tout annonceur tiers observant le flux publicitaire ciblé d’un utilisateur spécifique. Cela pourrait permettre aux acteurs malveillants d’avoir un aperçu de l’historique de navigation détaillé d’un individu, comme les détaillants en ligne et les sites Web de voyage.

“Les réseaux publicitaires tiers n’ont aucune relation directe avec les utilisateurs. Ainsi, s’ils veulent suivre l’activité des utilisateurs sur tous les appareils, ils doivent s’appuyer sur les informations d’identité, telles que les adresses e-mail, qui leur sont fournies par d’autres sites Web”, a déclaré Paul Pearce, assistant. professeur à la School of Cybersecurity and Privacy (SCP) de Georgia Tech. “Notre travail montre que la manière dont les informations sont transmises aux réseaux publicitaires est à la fois non sécurisée et difficile à vérifier. Si un attaquant connaît l’adresse e-mail d’une victime, il peut mentir au réseau publicitaire en se faisant passer pour un utilisateur, ce qui entraîne de très réels problèmes de confidentialité. .”

Les chercheurs décrivent cette susceptibilité comme un enchevêtrement d’identité publicitaire et cela se produit lorsque les attaquants confondent les réseaux publicitaires en corrélant les cookies de suivi de l’attaquant avec l’adresse e-mail d’une personne ciblée, les associant aux données recueillies par des tiers. Comme Pearce et ses collègues l’indiquent dans leur article, les adversaires peuvent également tirer parti du processus pour envoyer des publicités de toutes sortes à leurs cibles.

“Lorsque j’utilise Internet sur mon propre appareil privé, comme un téléphone ou un ordinateur portable, je ne m’attends pas à ce que quelqu’un connaissant mon e-mail personnel puisse manipuler ce que je vois”, a déclaré Chris Kanich, professeur associé à l’UIC. “Cette attaque est particulièrement inquiétante, et je suis soulagé d’utiliser des bloqueurs de publicités et de suivi dans mes navigateurs Web.”

Pour tester l’ampleur de ce problème, les chercheurs ont créé un profil et des utilisateurs artificiels pour leur expérience, à aucun moment une personne réelle n’a été ciblée. En connaissant uniquement l’adresse e-mail de l’utilisateur expérimental, l’équipe a pu identifier des éléments et des sites Web spécifiques avec lesquels la victime a interagi.

Outre les habitudes d’achat, le test a également montré que les publicités reciblées peuvent contenir des informations de localisation sensibles. Par exemple, si une victime interagissait avec certains sites Web d’hôtels et de voyages, l’attaquant pourrait alors recevoir des publicités reciblées pour l’hôtel spécifique que la victime a consulté.

“Un réseau publicitaire divulguant potentiellement des plans de voyage à toute personne disposant de l’adresse e-mail d’une cible est une menace importante pour la vie privée et potentiellement dangereux pour les personnes harcelées”, a déclaré Damon McCoy, professeur agrégé à NYU.

Les chercheurs indiquent qu’il est difficile de lutter contre ce problème sans le soutien des réseaux publicitaires, mais les bloqueurs de publicités offrent une option initiale raisonnable pour limiter l’exposition des données privées d’un utilisateur. Cependant, l’atténuation de cette menace ne devrait pas incomber uniquement aux utilisateurs. L’équipe suggère également que si les réseaux publicitaires tiers chiffraient le processus d’échange d’informations d’identité et s’assuraient que les données étaient vérifiées et correctes, cela aiderait à atténuer la menace.

La recherche a été présentée à l’ACM CCS 22. L’article, “Cart-ology : Intercepting Targeted Advertising via Ad Network Identity Entanglement”, est co-écrit par SCP Ph.D. étudiant ChangSeok Oh, Kanich, McCoy et Pearce. Conformément aux directives de recherche éthique, la menace a été divulguée à Criteo, l’un des plus grands réseaux publicitaires tiers du marché, ainsi qu’à Yahoo.

Plus d’information:
Conférence : www.sigsac.org/ccs/CCS2022/

Fourni par Georgia Institute of Technology

Citation: Une nouvelle étude donne aux utilisateurs une autre raison de détester les publicités indésirables (11 novembre 2022) récupéré le 11 novembre 2022 sur https://techxplore.com/news/2022-11-users-unwanted-ads.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.