Le "Clickjacking" : Détournement d'actions depuis votre navigateur

Partager

Quelques nouvelles concernant la faille de "détournement de clics" (ou "clickjacking") évoquée dans mon bulletin du 29 Septembre "Clickjacking: Une faille à priori détonante...".

Un chercheur Israëlien a publié une démonstration d'une attaque de clickjacking : Sous le prétexte d'un petit jeu il détourne les clics de l'utilisateur afin de modifier les paramètres de sécurité du player Flash. Cela lui permet d'activer, à l'insu de l'utilisateur, la webcam ou le microphone de l'utilisateur... La page de démonstration reste accessible ICI mais son contenu a été désactivé, une vidéo est disponible sur YouTube.

Adobe n'a pas tardé à réagir : Un patch devrait être disponible avant la fin du mois d'octobre. Entre-temps, une solution de contournement est présentée dans le bulletin officiel d'Adobe "Flash Player workaround available for "Clickjacking" issue". Le problème c'est que très peu d'utilisateurs ou d'administrateurs vont effectuer cette manipulation... donc le mois d'octobre va être celui du "clickjacking" :-(

Quels sont les principes de fonctionnement de cette attaque ? Comment s'en protéger ?

A ce que j'ai pu comprendre, une frame (ou "cadre", cf balise <iframe> en html) est affichée en superposition avec la page réelle et des éléments de celle-ci sont positionnés "au coup par coup" sur la page visible par l'utilisateur. Les éléments (boutons ou liens) pour lesquels on souhaite détourner des clics restants transparents... Autrement dit, l'utilisateur penser interagir avec une page venant d'un domaine "A" (www.sitedeconfiance.com) alors qu'en fait il clique (sans le voir) sur des éléments appartenant à une page "B" (www.attaquant-malicieux.com).

Tous les navigateurs Internet "communs"  sont concernés : Microsoft Internet Explorer, Mozilla Firefox, Safari d'Apple ou Opera. Les heureux (!) utilisateurs de Firefox peuvent utiliser le plugin NoScript qui fournit une protection contre ce type d'attaque via la fonction ClearClick.

Les solutions à ce problème sont visiblement assez complexes.

Cette faille de "Clickjacking" couplée à des attaques de Cross-Site Scripting (XSS) va surement être utilisée pour des attaques diverses et variées : L'occasion est trop bonne pour être manquée !

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)