Phishing Si pour certains experts en sécurité informatique, le clickjacking que l'on pourrait traduire par détournement de clic n'est pas une menace réellement nouvelle, ils s'accordent presque tous à dire qu'il s'agit probablement là de l'une des techniques qui va faire fureur auprès des cybercriminels.

Il faut dire qu'il y a de quoi spéculer et nourrir l'inconscient collectif puisque fin septembre, deux chercheurs en sécurité informatique qui devaient faire part de leurs trouvailles à ce sujet dans le cadre de la conférence OWASP 2008 de New York, ont finalement fait machine arrière à la dernière minute afin de donner le temps nécessaire aux éditeurs... de prendre les devants. Largement suffisant pour semer le trouble avec une menace présentée comme affectant toutes les plateformes et tous les navigateurs Web.

Depuis, quelques jours se sont écoulés, et c'est Adobe qui vient de donner l'alerte suite à la publication d'une démonstration mettant en lumière la menace clickjacking, du moins sous l'une de ses formes. Guy Aharonovky propose ainsi une sorte de jeu en JavaScript où l'utilisateur doit cliquer sur un objet mais sans s'en douter, ses clics sont détournés pour modifier ses paramètres Flash Player afin de permettre à un tiers d'accéder à son microphone et à sa webcam. Petit tour de magie obtenu via une IFrame superposée qui reste dans l'ombre en étant totalement invisible pour l'utilisateur, qui interagit à son insu avec Adobe Flash Player Settings Manager. La preuve dans la vidéo ci-dessous alors que la démonstration est disponible à cette adresse mais n'est plus fonctionnelle, Adobe ayant remanié son site.


Le clickjacking ne devrait plus poser de problèmes à Adobe après la publication de la version 10 de Flash Player, mais Robert Hasen, l'un des deux chercheurs qui avaient décidé de garder le silence à l'OWASP 2008, avertit qu'il existe de multiples variantes du clickjacking : " Certaines nécessitent un accès cross domain, d'autres pas. Certaines superposent des pages entières sur une page, certaines utilisent des iframes pour capturer un clic sur un point précis. Certaines nécessitent JavaScript, d'autres pas ... ".

Hasen liste une douzaine de problèmes relatifs au clickjacking dans Flash, ActiveX, Internet Explorer 8 et l'ensemble des navigateurs en général. Le plugin NoScript de Firefox qui s'est également montré perfectible face au clickjacking, offre désormais une protection (version 1.8.2.1) par l'intermédiaire d'une fonction ClearClick qui intercepte une interaction clavier ou souris avec un élément en partie caché.