Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le "Clickjacking" : Détournement d'actions depuis votre navigateur

Le "Clickjacking" : Détournement d'actions depuis votre navigateur
2008-10-082013-02-11sécurité du poste de travailfr
Une démonstration d'une attaque de "clickjacking" (détournement de clics) permettant d'activer la webcam à l'insu de son propriétaire a été rendu disponible. Adobe a réagit en proposant une solution de contournement. De quoi s'agit-il et quelles solutions sont disponibles pour se...
Publié le 8 Octobre 2008 par Jean-François Audenard dans sécurité du poste de travail

Quelques nouvelles concernant la faille de "détournement de clics" (ou "clickjacking") évoquée dans mon bulletin du 29 Septembre "Clickjacking: Une faille à priori détonante...".

Un chercheur Israëlien a publié une démonstration d'une attaque de clickjacking : Sous le prétexte d'un petit jeu il détourne les clics de l'utilisateur afin de modifier les paramètres de sécurité du player Flash. Cela lui permet d'activer, à l'insu de l'utilisateur, la webcam ou le microphone de l'utilisateur... La page de démonstration reste accessible ICI mais son contenu a été désactivé, une vidéo est disponible sur YouTube.

Adobe n'a pas tardé à réagir : Un patch devrait être disponible avant la fin du mois d'octobre. Entre-temps, une solution de contournement est présentée dans le bulletin officiel d'Adobe "Flash Player workaround available for "Clickjacking" issue". Le problème c'est que très peu d'utilisateurs ou d'administrateurs vont effectuer cette manipulation... donc le mois d'octobre va être celui du "clickjacking" :-(

Quels sont les principes de fonctionnement de cette attaque ? Comment s'en protéger ?

A ce que j'ai pu comprendre, une frame (ou "cadre", cf balise