Publicité : les vidéos en HTML5 ne seraient pas plus sécurisées que celles en Flash

Si le lecteur Flash a désormais mauvaise réputation sur la Toile, les publicités vidéo en HTML5 ne seraient finalement pas plus sécurisées.

La tendance générale vise à évincer le plugin Flash du Web. En fin d'année, Chrome le bloquera par défaut pour favoriser les contenus en HTML 5 et Apple a configuré Safari de la même manière au sein de macOS Sierra. Mais lorsqu'il s'agit de clips publicitaires, les avantages du HTML5 ne sont pas aussi évidents.

Chaque mois, les experts en sécurité découvrent inlassablement de nouvelles vulnérabilités au sein du plugin Flash et les éditeurs de navigateur ainsi que le W3C planchent depuis des années sur des formats standards pour remplacer la technologie d'Adobe. Logiquement, le HTML5 s'est invité au sein de l'industrie publicitaire.

Toutefois, selon une étude de GeoEdge, les hackeurs ne prêtent pas réellement attention à la nature de la publicité ni à la technologie de diffusion sur laquelle elle repose. Ces derniers s'en prennent effectivement plutôt aux failles découvertes au sein des infrastructures des réseaux publicitaires et notamment les standards VAST (Video Ad Serving Template) et VPAID.Ce sont des paramètres au sein d'une URL permettant de définir la vidéo devant être jouée et les éléments devant être traqués lors de cette lecture. Concrètement le hackeur est en mesure de changer la vidéo devant être retournée aux internautes, et ce en injectant du JavaScript dans les paramètres.



Au-delà des aspects de sécurité qui ne font pas forcément l'éloge du HTML5, les publicités en Flash sont généralement moins lourdes que les clips en HTML5. Certes, ces publicités nécessitent un plugin, toutefois contrairement à HTML5, elles sont fonctionnelles au sein des navigateurs les plus anciens.

Retrouvez l'étude dans son intégralité sur cette page (PDF)