Des détails concernant la faille multi-plateforme surnommée "clickjacking" commencent à émerger. Une des exploitations les plus alarmantes de cette faille concerne la possibilité d’observer et d’écouter les internautes qui disposent de caméras et de micros branchés sur leurs ordinateurs.
On sait désormais retracer les sites que vous venez de visiter, les images que vous avez visionnées sur YouTube ou encore les informations que vous venez de consulter sur votre compte en banque. Mais on va désormais encore plus loin. Désormais, des pages Internet peuvent vous voir et vous écouter, il s’agit du clickjacking ! Le clickjacking offre la possibilité à un pirate de tromper l’utilisateur afin qu’il clique sur un espace de la page invisible ou n’apparaissant qu’un très court instant. Si un internaute croit cliquer sur la page qu’il observe il peut en réalité être en train de cliquer sur une autre page savamment dissimulée.
Le développeur Flash Guy Aharonovski vient de faire la démonstration d’une telle faille et mis en évidence la façon dont le clickjacking pouvait être utilisé à des fins d’espionnage des personnes. Il a pour cela écrit un petit jeu en Javasacript pour expliquer comment un pirate pouvait prendre possession de la caméra et du micro d’un utilisateur grâce à des plateformes ou des serveurs privés afin de mettre en place un système malveillant de surveillance.
Jeremiah Grossman et Robert Hansen, deux créateurs d’entreprises de sécurité informatique, avaient déjà pointé du doigt les risques de clickjacking en appelant les différents acteurs à se réunir autour de ce sujet lors d’une conférence sur la sécurité des applications web le mois dernier tout en se gardant de divulguer trop de détails pour permettre à chacun des acteurs de trouver des solutions au problème. Malheureusement cela ne s’est pas avéré si simple compte tenu du large spectre de techniques d’attaques et de la diversité des applications logicielles mises en jeu. Les principaux navigateurs web et un certain nombre de plugins étant notamment concernés.
Conséquence directe de cette invention très malveillante, Adobe vient de publier des recommandations pour éviter des telles attaques et projette de mettre à jour son lecteur flash rapidement. Malgré la possibilité de se prémunir d’attaques de clickjackers à travers les applications flash il convient de souligner qu’il reste un bon nombre de variantes de clickjacking pour lesquels nous sommes toujours vulnérables si nous n’éteignons pas nos webcams et autres micros.
Source :
– Clickjacking, the newest internet security threat, 07/10/2008 – https://www.thedaily.com.au/blogs/techno-file/2008/oct/07/clickjacking-secure/
– Clickjacking exploits enable hackers to hijack webcams, 09/10/2008 – https://www.securecomputing.net.au/News/124967,clickjacking-exploits-enable-hackers-to-hijack-webcams.aspx
– Clickjacking Attack Lets Web Sites See, Hear You, 08/10/2008 – https://www.informationweek.com/news/internet/security/showArticle.jhtml?articleID=210800544&cid=RSSfeed_IWK_Hardware
– Clickjacking: New Cyber Attack Has Eyes On You. Literally, 08/10/2008 –
https://www.bmighty.com/blog/main/archives/2008/10/clickjacking_ne.html
Pour en savoir plus, contacts :
Dossier "Clickjacking – should you be worried?" – https://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9115818&intsrc=hm_list
Code brève
ADIT : 56234
Rédacteur :
Franz Delpont [email protected]