Clickjacking

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le clickjacking, ou détournement de clic[1], est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des pages apparemment sûres. Le terme de clickjacking a été inventé par Robert Hansen et Jeremiah Grossman [2].

Exemple de clickjacking[modifier | modifier le code]

C'est une faille de sécurité d'Adobe Flash Player permettant à un hacker de faire cliquer l'utilisateur où il le désire. Cette faille a été découverte par Robert Hansen et Jeremiah Grossman début septembre 2008 et concernait les versions Adobe Flash Player 9.0.124.0 et antérieures. L'entreprise Adobe Systems a corrigé le bogue le 15 octobre 2008[3].

L'exploitation du bogue avait lieu grâce à la surimpression d'une iframe par dessus une application flash. La surimpression étant invisible l'internaute ne savait pas qu'il ne cliquait pas sur l'application flash mais sur d'autres liens[4]. La démonstration a été réalisée avec un jeu flash où l'internaute doit cliquer sur des boutons pour marquer des points. Certains clics du jeu font cliquer l'internaute sur des autorisations d'utilisations de la webcam de l'ordinateur[5].

Plus récemment, le clickjacing est souvent utilisé sur les réseaux sociaux comme Facebook, afin de faire aimer une page ou une vidéo à l'insu de l'utilisateur[6].

Prévention[modifier | modifier le code]

Aujourd'hui la prévention pour éviter d'être victime de ce genre d'actions malicieuses passe par une sécurisation du navigateur web. Opera et Internet Explorer possèdent tous deux, dans une certaine mesure, des outils pour protéger leurs utilisateurs du clickjacking. Pour Opera il est possible de désactiver l'exécution des scripts dans les préférences rapides en appuyant sur F12. Internet Explorer intègre un outil de protection au clickjacking depuis la RC1 d'Internet Explorer 8[7].

Il est également possible d'installer l'extension Ghostery disponible sur les 5 navigateurs principaux, cette extension bloque les scripts et diverses techniques de tracking servant à récupérer nos habitudes de navigation, cela permet ainsi de se prémunir contre un certain nombre de types de clickjacking tel que le suivi automatique de comptes Twitter, ou l'action de poster des messages indésirables sur le mur de Facebook. Pour Mozilla Firefox il est également possible d'installer une extension supplémentaire, l'extension NoScript[4], restreignant l'activité des scripts exécutés sur l'ordinateur client.

Voir aussi[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. CERTA - Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques, http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-076/
  2. le clickjacking revient sur le devant de la scène au grand dam d'Adobe
  3. http://www.adobe.com/support/security/bulletins/apsb08-18.html
  4. a et b http://blogs.orange-business.com/securite/2008/10/le-clickjacking-detournement-dactions-depuis-votre-navigateur.html
  5. Démonstration en vidéo d'un clickjacking
  6. Le clickjacking, ou l’histoire de la fille qui n’a pas vraiment oublié de fermer sa webcam - http://www.maximejohnson.com/techno/2014/04/le-clickjacking-ou-lhistoire-de-la-fille-qui-na-pas-vraiment-oublie-de-fermer-sa-webcam/
  7. http://blogs.zdnet.com/microsoft/?p=1846

Lien externe[modifier | modifier le code]