L’adware

jour, et afficher des publicités sur l’écran de l’utilisateur. Parmi les adware les plus connus, on retiendra Bargain- Buddy, Coolsaving, DashBar et n-CASE.

Une fois installé, l’adware fonctionne soit comme un processus autonome lancé au démarrage, soit comme un DLL attaché à un processus existant. Les programmes d’adware peuvent surveiller pratiquement toute activité de l’utilisateur ou toute information de configuration. La figure 1 montre une opération d’adware classique. Le programme utilise un ou plusieurs URL pour communiquer avec les serveurs Web appartenant à l’éditeur de l’adware. Ces éditeurs utilisent souvent de multiples serveurs Web redondants, afin de confondre les filtres de contenu. Pour que ses communications franchissent les pare-feu, l’adware utilise HTTP, en cryptant souvent les données afin de masquer les détails de ces opérations. De sorte qu’il est généralement impossible de distinguer le trafic d’adware du trafic Web général dans une entreprise. L’adware utilise une GUID – souvent un jeton spécifique au matériel (par exemple, l’adresse MAC du système affecté) – pour permettre à l’éditeur d’adware de maintenir un profil historique continu de l’activité se déroulant sur le système concerné.

La communication entre un système exécutant l’adware et le serveur de ce dernier est amorcée soit par une certaine activité de l’utilisateur, comme le fait de se rendre sur un site Web, soit sur une base chronologique. L’échange d’information le plus classique est le suivant : l’adware renseigne son serveur sur la récente activité de l’utilisateur et le serveur d’adware envoie alors une publicité ciblée pertinente pour cette activité. Par exemple, l’un de vos collaborateurs a l’intention d’assister à une conférence et se rend sur un site Web de voyages pour se renseigner sur l’acquisition d’un billet. Si l’adware est actif sur l’ordinateur de cette personne, une annonce pour un site de voyages différent, appartenant bien sûr au sponsor de l’éditeur d’adware, pourrait bien surgir sur l’écran.