Clickjacking: Une faille à priori détonante...

Partager

Les informations disponibles sont pour le moment légères. Ce que l'on sait c'est que la présentation  initialement prévue lors de la conférence OWASP AppSec 2008 a été  repoussée pour permettre aux éditeurs de préparer une réponse.

De quoi s'agit-il ?  Ce serait une faille qui concerne tous les navigateurs "modernes" (seuls ceux qui utilisent Lynx ne seraient pas vulnérables) et qui permettrait à un attaquant de faire en sorte que votre navigateur clique sur n'importe quel lien ou bouton de façon automatique et sans action préalable de votre part. Seraient notamment concernés les toutes dernières versions des navigateur Internet Explorer et Firefox. 

Cette faille ne serait pas liée à du code JavaScript mais serait basée sur le DHTML (Dynamic HTML). Si ces informations sont véridiques, c'est clairement de l'or en barre pour les phishers de tout poil...

Quelques liens qui tournent autour du sujet :
ZDNet, Clickjacking: Researchers raise alert for scary new cross-browser exploit
BreakingPoint Labs, Not Clickjacking (Almost Certainly)

Bien évidemment, nous serons amenés à reparler de ce sujet.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)