Les lacunes de l’environnement publicitaire de Google font que DuckDuckGo est désormais le navigateur de choix des employés de la chaîne hôtelière scandinave Strawberry.
Fin 2021, Nordic Choice Hotels, désormais rebaptisé Strawberry, a été touché par une importante attaque de ransomware qui a paralysé ses opérations pendant un peu plus d’une semaine. Tout devait être fait manuellement, explique Martin Belak, responsable de la sécurité technique de la chaîne hôtelière.
« Les réceptionnistes travaillaient avec des tableaux blancs pour savoir quelles chambres étaient réservées », explique Belak.
L’attaque a incité Strawberry à accélérer sa transition de son environnement Windows vers un environnement Chrome OS en un temps record, en migrant 4 000 appareils en une semaine.
« Nous utilisons beaucoup Google et disposons de l’intégralité de Google Workspace. Nous sommes un gros client et entretenons des relations étroites », déclare Belak.
Mais même s’il estime que les outils de Google fonctionnent très bien, il y a quelque chose qui le gêne, une pierre dans le sable, à savoir le service de recherche de Google et le manque de contrôle sur le service de publicité de Google.
« Le plus gros problème est que Google ne vérifie pas quels annonceurs sont autorisés à avoir des positions de recherche payantes. Ils ne vérifient pas l’authenticité ni ne vérifient les antécédents, ce qui signifie qu’ils autorisent les acteurs légaux et criminels », explique Belak.
Quiconque recherche, par exemple, un fournisseur dans le champ de recherche risque de se retrouver sur une page achetée publiée par un acteur criminel – une technique communément appelée publicité malveillante.
« Les criminels achètent des mots-clés et créent de fausses pages de destination identiques aux pages légitimes et s’assurent également que les URL sont similaires aux vraies URL. Nous sommes quotidiennement exposés à ce type de tentative de fraude. Heureusement, nos couches de sécurité en détectent la plupart, mais celles qui réussissent nous coûtent confiance et argent. Nous devons indemniser les victimes, tout en gérant les frais administratifs liés au signalement des incidents à l’autorité suédoise pour la protection de la vie privée », déclare Martin Belak.
Assez c’est assez
Strawberry a tenté à plusieurs reprises de signaler les problèmes à Google, mais n’a pas réussi à joindre les autorités compétentes car ses contacts ne font pas partie du secteur de la publicité.
Et ils ne sont pas les seuls à signaler les problèmes. Il y a deux ans, le FBI avait mis en garde contre ce type d’escroquerie réalisée via des publicités achetées, mais rien ne s’est produit depuis. Le fournisseur de sécurité Netskope a récemment rapporté que, selon ses données de télémétrie, les taux de clics de phishing ont triplé en 2024, l’empoisonnement du référencement et la publicité malveillante étant en partie responsables de cette augmentation alarmante, les cybercriminels déplaçant leurs opérations en dehors de la boîte de réception.
Pour Strawberry, cela a conduit à remplacer le moteur de recherche par défaut de Chrome par DuckDuckGo avant Noël, où la fonction publicitaire a également été désactivée à titre de protection supplémentaire.
« C’est un peu ironique, car nous dépendons nous-mêmes des publicités Google, donc on peut avoir l’impression que nous nous tirons une balle dans le pied. Mais il doit y avoir un équilibre où ils veillent également à valider les annonces et n’autorisent pas la conception des annonces de manière à ce que vous saisissiez une URL qui n’est pas celle sur laquelle vous vous retrouvez. C’est incroyablement étrange », dit Belak.
Il est également clair que Strawberry n’est pas mécontent de Google dans son ensemble, mais souligne plutôt la manière dont d’autres parties des opérations de l’entreprise travaillent dur sur la cybersécurité, comme la surveillance des services cloud, le blocage de tiers dans le navigateur, etc.
« Ils investissent des milliards dans la cybersécurité dans leurs autres activités, mais pas dans la publicité et cela devient très étrange pour moi en tant que client », dit-il.
J’espère créer un débat
Martin Belak n’a pas de grands espoirs que la décision de Strawberry de cesser d’utiliser le service de recherche de Google affectera Google au-delà de la création d’un débat.
Il souligne que ce n’est pas non plus un problème qui peut être résolu avec une authentification à deux facteurs, etc., car les fraudeurs interceptent aujourd’hui automatiquement les jetons générés en temps réel. De plus, Google n’est pas la seule entreprise à s’occuper de ce problème, car d’autres entreprises réussissent mieux à établir un contrôle, dit-il.
« Pourquoi ne peuvent-ils pas vérifier leurs annonceurs alors qu’Apple peut examiner les applications qui entrent dans l’App Store ? Nous sommes un petit acteur, mais maintenant nous avons mis un doigt dans leur œil et voyons ce que cela nous mène », déclare Belak.