Clickjacking : le petit monde de la sécurité en ébullition

Le par  |  4 commentaire(s)
Phishing

Le clickjacking est un mot actuellement très à la mode chez les experts de la sécurité informatique et nombre d'entre eux avancent que l'ensemble des navigateurs Web sont vulnérables à ce type d'attaque.

PhishingSi pour certains experts en sécurité informatique, le clickjacking que l'on pourrait traduire par détournement de clic n'est pas une menace réellement nouvelle, ils s'accordent presque tous à dire qu'il s'agit probablement là de l'une des techniques qui va faire fureur auprès des cybercriminels.

Il faut dire qu'il y a de quoi spéculer et nourrir l'inconscient collectif puisque fin septembre, deux chercheurs en sécurité informatique qui devaient faire part de leurs trouvailles à ce sujet dans le cadre de la conférence OWASP 2008 de New York, ont finalement fait machine arrière à la dernière minute afin de donner le temps nécessaire aux éditeurs... de prendre les devants. Largement suffisant pour semer le trouble avec une menace présentée comme affectant toutes les plateformes et tous les navigateurs Web.

Depuis, quelques jours se sont écoulés, et c'est Adobe qui vient de donner l'alerte suite à la publication d'une démonstration mettant en lumière la menace clickjacking, du moins sous l'une de ses formes. Guy Aharonovky propose ainsi une sorte de jeu en JavaScript où l'utilisateur doit cliquer sur un objet mais sans s'en douter, ses clics sont détournés pour modifier ses paramètres Flash Player afin de permettre à un tiers d'accéder à son microphone et à sa webcam. Petit tour de magie obtenu via une IFrame superposée qui reste dans l'ombre en étant totalement invisible pour l'utilisateur, qui interagit à son insu avec Adobe Flash Player Settings Manager. La preuve dans la vidéo ci-dessous alors que la démonstration est disponible à cette adresse mais n'est plus fonctionnelle, Adobe ayant remanié son site.


Le clickjacking ne devrait plus poser de problèmes à Adobe après la publication de la version 10 de Flash Player, mais Robert Hasen, l'un des deux chercheurs qui avaient décidé de garder le silence à l'OWASP 2008, avertit qu'il existe de multiples variantes du clickjacking : " Certaines nécessitent un accès cross domain, d'autres pas. Certaines superposent des pages entières sur une page, certaines utilisent des iframes pour capturer un clic sur un point précis. Certaines nécessitent JavaScript, d'autres pas ... ".

Hasen liste une douzaine de problèmes relatifs au clickjacking dans Flash, ActiveX, Internet Explorer 8 et l'ensemble des navigateurs en général. Le plugin NoScript de Firefox qui s'est également montré perfectible face au clickjacking, offre désormais une protection (version 1.8.2.1) par l'intermédiaire d'une fonction ClearClick qui intercepte une interaction clavier ou souris avec un élément en partie caché.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #335981
Ca m'a l'air quand même trés compliqué et lourd à mettre en oeuvre (Les iframes c'est pas léger en général...). J'ai plus peur de la capture de donnée type screensaver.... Quelqu'un a une idée d'une mise en oeuvre possible ? Flash est est bon exemple, mais à part lui ?
Le #336031
"Les iframes c'est pas léger en général..."


Ce qu'il ne faut pas lire
Le #337171
no script , encore une preuve que l'open-source est devant<img src="/img/emo/cool.gif" alt="8:" />
Le #337561
version 1.8.2.4 dispo pour noscript



Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]