HUMAN (anciennement White Ops), en collaboration avec The Human Collective nouvellement formé et les leaders de l’industrie Google et Roku, annonce la découverte et la neutralisation du botnet  » PARETO  » qui touche les télévisions connectées (CTV)

Cette fraude sophistiquée a touché près d’un million de dispositifs mobiles en se faisant passer pour des millions de télévisions connectées et a généré des centaines de milliards de fausses requêtes publicitaires, une opération majeure dans le secteur de la télévision connectée (CTV).

HUMAN (anciennement White Ops), une société de cybersécurité qui protège les entreprises contre les attaques de robots pour que les expériences numériques restent humaines, a annoncé aujourd’hui la découverte et la neutralisation d’un nouveau botnet très sophistiqué visant à escroquer l’écosystème publicitaire de la télévision connectée (CTV). Omnicom Media Group, The Trade Desk et Magnite, membres phares de The Human Collective – une initiative récemment lancée qui rassemble les acteurs de la publicité numérique pour créer un écosystème protégé collectivement – ont collaboré avec HUMAN, avec le soutien de Google et de Roku, pour mener les efforts de neutralisation de ce botnet.

En résumé, PARETO, c’est près d’un million d’appareils mobiles Android infectés qui se font passer pour des millions de personnes regardant des publicités sur des téléviseurs intelligents et d’autres appareils. Le botnet a utilisé des dizaines d’applications mobiles pour usurper l’identité de plus de 6 000 applications CTV, ce qui représente une moyenne de 650 millions de requêtes publicitaires par jour.  

L’équipe de recherche Satori de HUMAN a découvert l’opération PARETO en 2020 et travaille depuis lors avec les équipes de HUMAN pour prévenir les impacts sur ses clients. L’opération porte le nom du principe de Pareto, un concept économique selon lequel 80 % de l’impact d’une situation donnée est exercé par seulement 20 % des acteurs. 

« La télévision connectée (CTV) offre des opportunités massives aux services de streaming et aux marques pour s’engager auprès des consommateurs par le biais de contenus et de publicités attrayants« , a déclaré Tamer Hassan, PDG et cofondateur de HUMAN. « En raison de cette opportunité, il est incroyablement important pour l’écosystème CTV et les marques de travailler ensemble par le biais d’un inventaire publicitaire protégé collectivement pour s’assurer que la fraude est reconnue, traitée et éliminée aussi rapidement que possible.« 

PARETO a fonctionné en usurpant des signaux dans des applications mobiles Android malveillantes pour se faire passer pour des téléviseurs grand public fonctionnant sous Fire OS, tvOS, Roku OS et d’autres plateformes de CTV importantes. Le botnet a profité du passage au numérique accéléré par la pandémie en se dissimulant dans le flot pour faire croire aux annonceurs et aux plateformes technologiques que des publicités étaient diffusées sur des CTV. Cette approche particulière est lucrative pour les fraudeurs, car le prix des publicités sur les téléviseurs connectés est souvent beaucoup plus élevé que sur les appareils mobiles ou sur le Web. 

« Nous apprécions le travail de la communauté des chercheurs, et apprécions notre collaboration avec HUMAN« , a déclaré Per Bjorke, chef de produit, qualité du trafic publicitaire chez Google. « La divulgation et la collaboration responsables profitent à l’ensemble de l’écosystème, et nous sommes impatients de travailler avec eux sur des recherches supplémentaires à l’avenir. »

L’opération PARETO a été incroyablement sophistiquée et fuyante au cours de l’année dernière. Cependant, pour chaque cycle d’usurpation, alors que PARETO lançait un nouveau déguisement pour son faux trafic, HUMAN a pu détecter et innover continuellement les techniques pour protéger les clients avec la solution Advertising Integrity de HUMAN. Enfin, après une année d’identification et de résolution continue et efficace des menaces, et grâce à une série de contre-mesures et d’adaptations de PARETO, HUMAN et ses partenaires – dont Omnicom Media Group, The Trade Desk, Magnite, Google et Roku – ont mis fin à cette opération.

« Roku s’est engagé à lutter contre la fraude publicitaire sous toutes ses formes et à développer des pratiques de pointe pour garder une longueur d’avance sur la fraude à l’échelle mondiale. Nous avons été heureux de soutenir les efforts de HUMAN pour neutraliser l’opération PARETO. Bien que ce stratagème ait touché moins de 0,1 % des appareils Roku, notre approche visant à créer un marché publicitaire de qualité supérieure a permis de s’assurer qu’aucun annonceur Roku n’ai un risque d’être touché « , a déclaré Willard Simmons, vice-président de la gestion des produits chez Roku. « L’affaire PARETO constitue un nouveau rappel de l’importance de prendre la fraude au sérieux, de travailler avec les meilleurs partenaires de détection des fraudes et de s’assurer que l’offre et la demande de l’écosystème publicitaire ne fonctionnent qu’avec des partenaires vérifiés de confiance.« 

HUMAN a également observé une autre opération beaucoup plus modeste, mais également connectée, visant à usurper les plateformes de streaming à destination des consommateurs. L’opération a permis de détecter un seul développeur sur le Channel Store de Roku avec des applications connectées à PARETO. Les applications liées au développeur, qui ont un impact sur moins d’un demi pour cent des appareils actifs de Roku dans le monde, ont été conçues pour communiquer avec le serveur qui exploite le botnet PARETO. L’opération primaire était associée à 29 applications Android et l’opération secondaire était associée à un développeur Roku délivrant le malware aux appareils infectés. Ces applications ont toutes été retirées des marchés sur lesquels elles opéraient, et les listes des applications sont disponibles en annexe de l’analyse technique du botnet par HUMAN. Roku a également déconnecté définitivement les applications concernées. 

« Ce qui est particulièrement frappant dans cette opération, c’est son ampleur et sa sophistication« , a déclaré Michael McNally, scientifique en chef de HUMAN. « Les cybercriminels à l’origine de PARETO ont une compréhension fondamentale de nombreux aspects de la technologie de la publicité, et ils l’ont utilisée à leur avantage pour dissimuler leur travail dans l’écosystème de la CTV. Leurs efforts comprenaient l’usurpation de protocole réseau de bas niveau, ce qui est particulièrement difficile à détecter, mais que notre équipe de HUMAN a repéré.« 

L’équipe de recherche Satori a utilisé de nombreux outils pour identifier les sources du botnet, dont les informations ont été partagées avec les forces de l’ordre. Pour en savoir plus sur l’opération PARETO, visitez le site humansecurity.com/pareto.