Quelques nouvelles concernant la faille de "détournement de clics" (ou "clickjacking") évoquée dans mon bulletin du 29 Septembre "Clickjacking: Une faille à priori détonante...".
Un chercheur Israëlien a publié une démonstration d'une attaque de clickjacking : Sous le prétexte d'un petit jeu il détourne les clics de l'utilisateur afin de modifier les paramètres de sécurité du player Flash. Cela lui permet d'activer, à l'insu de l'utilisateur, la webcam ou le microphone de l'utilisateur... La page de démonstration reste accessible ICI mais son contenu a été désactivé, une vidéo est disponible sur YouTube.
Adobe n'a pas tardé à réagir : Un patch devrait être disponible avant la fin du mois d'octobre. Entre-temps, une solution de contournement est présentée dans le bulletin officiel d'Adobe "Flash Player workaround available for "Clickjacking" issue". Le problème c'est que très peu d'utilisateurs ou d'administrateurs vont effectuer cette manipulation... donc le mois d'octobre va être celui du "clickjacking" :-(
Quels sont les principes de fonctionnement de cette attaque ? Comment s'en protéger ?
A ce que j'ai pu comprendre, une frame (ou "cadre", cf balise <iframe> en html) est affichée en superposition avec la page réelle et des éléments de celle-ci sont positionnés "au coup par coup" sur la page visible par l'utilisateur. Les éléments (boutons ou liens) pour lesquels on souhaite détourner des clics restants transparents... Autrement dit, l'utilisateur penser interagir avec une page venant d'un domaine "A" (www.sitedeconfiance.com) alors qu'en fait il clique (sans le voir) sur des éléments appartenant à une page "B" (www.attaquant-malicieux.com).
Tous les navigateurs Internet "communs" sont concernés : Microsoft Internet Explorer, Mozilla Firefox, Safari d'Apple ou Opera. Les heureux (!) utilisateurs de Firefox peuvent utiliser le plugin NoScript qui fournit une protection contre ce type d'attaque via la fonction ClearClick.
Les solutions à ce problème sont visiblement assez complexes.
Cette faille de "Clickjacking" couplée à des attaques de Cross-Site Scripting (XSS) va surement être utilisée pour des attaques diverses et variées : L'occasion est trop bonne pour être manquée !
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens