> NOUS REJOINDRE

Blog

Malvertising via Google Ads : ce qu’on a vu cette semaine sur des PME niçoises

Schéma malvertising Google Ads avec 3 étapes : recherche métier légitime, clic sur annonce sponsorisée avec cloaking, téléchargement KitchenCanvas.exe bloqué par EDR. Connect3S.
Cybersécurité

Malvertising via Google Ads : ce qu’on a vu cette semaine sur des PME niçoises

22 views

Un dirigeant de PME, son collaborateur fait des recherches métier sur Google. Il clique sur la première publicité sponsorisée. Quelques secondes plus tard, un fichier exécutable malveillant arrive dans son dossier Téléchargements. L’antivirus tue le processus en 2 secondes. Personne ne s’en rend compte.

Sauf nous, parce qu’on regarde la console SentinelOne.

Cette scène, on l’a vue deux fois en moins de 10 heures, ce mardi 5 mai 2026, sur des postes de deux PME différentes de la Côte d’Azur. Toujours le même fichier malveillant, toujours le même domaine piégé, toujours le même pattern. C’est ce qu’on appelle du malvertising — littéralement publicité malveillante.

Deux clients impactés en moins de 10 heures, ça veut dire que la campagne tourne en ce moment sur Google Ads, qu’elle cible spécifiquement les utilisateurs francophones, et qu’elle continue probablement à atteindre d’autres entreprises au moment où vous lisez ces lignes.

L’article qui suit explique comment ça fonctionne, pourquoi c’est nouveau, et ce qu’on en tire pour la sécurité de ton parc informatique.

Tous les détails clients ont été anonymisés. Les indicateurs techniques (hash, domaine, identité de signature) sont publiés tels quels — ils sont déjà connus des filtres EDR et restent utiles à la communauté.

L’histoire en clair

L’utilisateur d’un PC d’entreprise cherche une information parfaitement légitime. Dans le cas qu’on a vu, il s’agissait d’un schéma électrique pour un véhicule technique qu’il devait diagnostiquer. Recherche Google → forums spécialisés → téléchargement de PDF officiels → recherche affinée → forums internationaux. Comportement totalement normal.

Au milieu de ses recherches, Google lui affiche une publicité sponsorisée qui semble correspondre à sa requête. Il clique.

Sauf que la publicité ne mène pas à un site de documentation technique. Elle redirige vers un domaine qui se présente comme un site de recettes de cuisinekitchen-canvas.com. Le chemin de l’URL contient /recipe/download et déclenche immédiatement le téléchargement d’un fichier exécutable nommé KitchenCanvas_xxxxxx.exe (où xxxxxx est 6 chiffres aléatoires).

Pourquoi un nom de cuisine alors que l’utilisateur cherchait du technique ? Parce que les criminels n’ont pas besoin de cohérence. Le navigateur du PC enregistre le téléchargement, l’utilisateur (qui est passé à autre chose et qui n’a probablement même pas remarqué qu’il avait été redirigé sur un site hors-sujet) ne clique jamais sur le fichier. Mais ce n’est pas grave pour les criminels : il leur suffit d’un seul utilisateur sur 1000 qui ouvre le fichier pour avoir un poste compromis. À l’échelle d’une campagne mondiale, ça représente potentiellement des milliers de victimes par jour.

Dans notre cas, l’EDR SentinelOne a détecté la signature du fichier en analyse statique (hash connu) 2 secondes après la fin du téléchargement. Le processus a été tué, le fichier mis en quarantaine automatiquement. L’utilisateur n’a jamais vu l’incident.

Pourquoi Google a affiché cette publicité

C’est la question naturelle. Si Google contrôle ses publicités, comment une annonce malveillante peut-elle passer ?

La réponse tient en un mot : cloaking.

Quand un annonceur publie une publicité sur Google Ads, Google envoie son robot vérifier la page de destination. Si la page est conforme aux règles, l’annonce est validée et diffusée.

Les criminels ont contourné ce contrôle de la manière suivante :
– Quand le robot Google visite l’URL, le serveur lui sert une page propre (par exemple, un vrai site de recettes de cuisine, sans téléchargement)
– Quand un internaute humain visite la même URL (avec son navigateur réel, son système d’exploitation, sa zone géographique, son User-Agent), le serveur lui sert la page piégée qui déclenche le téléchargement du malware

Cette technique, dite de cloaking, est connue depuis plus d’une décennie dans le SEO black hat. Mais elle revient en force dans le malvertising depuis 2023, et Google peine à la détecter — d’autant que les criminels affinent leurs filtres pour ne servir le contenu malveillant qu’à des cibles précises (par exemple, uniquement les visiteurs en France utilisant Chrome sur Windows).

Le binaire en lui-même

Caractéristique Valeur
Nom du fichier KitchenCanvas_*.exe (suffixe à 6 chiffres aléatoires)
Taille 6,73 Mo
SHA1 04cc663812883562b762d184266e1457e98b7de8
Éditeur déclaré (signature numérique) INSTALLERIM LLC
Vérification de signature Valide (signed-verified)
Classification SentinelOne Malware (AI Confidence : MALICIOUS)

Le point qui pose question, c’est la signature numérique. Le binaire est signé INSTALLERIM LLC — une entité qui ne correspond à aucun éditeur de logiciel connu. Il s’agit d’un certificat de signature de code obtenu de manière abusive, soit en se faisant passer pour une entreprise légitime, soit en exploitant un programme partenaire d’autorité de certification mal contrôlé.

Cette signature valide a une utilité claire pour les criminels : elle permet de passer SmartScreen (le filtre Windows qui s’affiche en jaune quand on lance un EXE non signé) et certains antivirus de base. SentinelOne, en revanche, n’a pas été trompé — sa base de signatures malveillantes connaît ce hash et le bloque avant même que la signature numérique soit vérifiée.

Ce qui amène au point suivant.

Ce qu’on en retient

1. Le fautif n’est pas l’utilisateur

C’est tentant de blâmer « le maillon faible humain » qui a cliqué sur la publicité. Mais l’utilisateur a fait exactement ce que Google attend de lui : voir une publicité, juger qu’elle correspond à sa recherche, cliquer dessus. Le piège était dans l’écosystème Google Ads, pas dans le comportement humain.

Conclusion : la sensibilisation utilisateur est utile, mais elle a des limites. Aucune formation ne peut transformer un humain en filtre URL parfait.

2. Un EDR moderne, c’est un filet de rattrapage indispensable

Sans SentinelOne (ou un équivalent — Microsoft Defender for Endpoint, CrowdStrike, etc.), le binaire KitchenCanvas_xxxxxx.exe aurait probablement été ouvert tôt ou tard. Le résultat dépend du payload de seconde étape (ransomware, infostealer, chargeur générique), mais aucun scénario n’est bon pour la victime.

Conclusion : l’antivirus traditionnel basé uniquement sur les signatures n’est plus suffisant face aux malwares signés numériquement. Un EDR de nouvelle génération avec analyse comportementale et signatures cloud est devenu le standard minimum pour toute entreprise.

3. Mais l’EDR n’agit qu’au moment où le fichier touche le PC

C’est important de bien comprendre la limite de l’EDR : il ne bloque pas le clic, il ne bloque pas le téléchargement, il ne bloque pas l’exposition au site malveillant. Il intervient après que le binaire est descendu sur le PC.

Dans 95 % des cas, c’est suffisant. Mais dans 5 % des cas — un nouveau malware non encore catalogué, une variante avec un hash différent, une faille zero-day — l’EDR peut passer à côté. Et là, l’incident commence.

4. La couche manquante : un filtre réseau en amont

Pour que le scénario soit vraiment couvert, il faut une deuxième ligne de défense en amont de l’EDR : un firewall de nouvelle génération (NGFW) qui filtre les domaines malveillants au niveau du réseau, avant même que le navigateur de l’utilisateur ne se connecte au site piégé.

Concrètement : quand un poste essaie de joindre kitchen-canvas.com, le firewall reconnaît le domaine comme malveillant (via des feeds de threat intelligence à jour) et bloque la requête sortante. L’utilisateur voit une page d’erreur, pas une page piégée. Aucun fichier ne descend. L’EDR n’a même pas besoin d’intervenir.

C’est ce qu’on appelle la défense en profondeur : plusieurs couches de protection complémentaires, qui se rattrapent mutuellement quand l’une d’elles est en défaut.

L’architecture cible ressemble à ça :

Tes utilisateurs ←→ [NGFW] ←→ Internet ←→ [EDR] ←→ Tes utilisateurs
                     ↑                       ↑
                  Barrière                 Filet
                  d'entrée               de rattrapage

Aujourd’hui, beaucoup de TPE/PME ont uniquement le filet de rattrapage (l’EDR), et leur barrière d’entrée se résume à la box internet de leur opérateur — qui ne fait pas de filtrage applicatif. C’est exactement la configuration qu’on a vue cette semaine sur les postes touchés.

Indicateurs de compromission (IOCs)

Pour les administrateurs systèmes et RSSI qui voudraient ajouter ces IOCs à leurs règles :

Hash SHA1 du binaire        : 04cc663812883562b762d184266e1457e98b7de8
Domaine malveillant         : kitchen-canvas.com
Pattern de fichier          : KitchenCanvas_*.exe (6 chiffres aléatoires)
Identité signataire abusive : INSTALLERIM LLC
Vecteur                     : Google Ads (campagne identifiée 2367xxxxxxx)

À ajouter au minimum :
– Block-list DNS sur ton firewall
– Block-list URL sur ton proxy web
– Règle de quarantaine EDR sur le hash et le pattern de nom
– Alerte SOC si tu en as un

Ce qu’on fait chez Connect3S

Pour nos clients équipés d’EDR SentinelOne avec politique Protect, les tentatives identifiées cette semaine ont toutes été neutralisées en moins de 3 secondes. Aucun impact opérationnel, aucune donnée touchée, aucun rançon à négocier.

Pour ceux qui voudraient ajouter la deuxième ligne de défense — la barrière en amont — on travaille avec la SYLink Box, un firewall de nouvelle génération fabriqué et hébergé en France. Cas d’usage typique : il bloque les domaines malveillants au niveau DNS avant même que le navigateur ne s’y connecte, intègre l’inspection SSL/TLS, le contrôle des applications, et l’IA Deep Learning pour détecter les comportements suspects.

À noter : le dispositif national « Bouclier Cyber » rembourse actuellement 50 % HT du prix de ce type d’équipement pour les TPE/PME éligibles. L’enveloppe est limitée et le guichet fermera quand elle sera consommée. Si tu veux savoir si ta structure est éligible, contacte-nous.

Pour aller plus loin

Si tu veux savoir où ton parc se situe par rapport à ce scénario — quels équipements de protection tu as réellement, quelles sont les portes d’entrée non couvertes, quelles seraient les conséquences concrètes d’une attaque réussie — on propose un audit cyber gratuit d’1 heure pour les PME de la région PACA. Pas d’engagement, pas de pitch déguisé : on regarde ensemble, on identifie les angles morts, et tu décides librement de la suite.

Ludovic Laborde — CEH v11
Connect3S — 730 chemin du Parrou, 06560 Valbonne
06 51 40 70 10 — [email protected]

Cet article est publié à des fins éducatives et de signalement communautaire. Tous les détails clients ont été anonymisés. Les indicateurs techniques (hash, domaine, identité de signature) restent publics pour aider la communauté à renforcer ses propres défenses. Si vous repérez ces indicateurs sur votre propre parc, contactez votre prestataire de cybersécurité ou Connect3S.

Search

Recent Posts

Popular tags

antivirus audit Authenticode badges browser hijacker CEH ChatGPT Claude AI Claude Code controle d'acces cookies stealer cyber-attaque Cybersécurité EDR Google Ads hooks intelligence artificielle IOC Kali Linux maintenance-informatique malvertising Microsoft Copilot MITRE ATT&CK Mullvad network namespace NFC NIS2 NSIS patch management pentest phishing PME prompt engineering ransomware RFID sauvegarde Sauvegarde sécurisée securite-informatique sensibilisation TPE PME tutoriel télétravail VPN Wi-Fi WireGuard
Copyright © 2022. All rights reserved.