{"id":2761,"date":"2012-12-26T11:46:41","date_gmt":"2012-12-26T10:46:41","guid":{"rendered":"http:\/\/www.solucominsight.fr\/?p=2761"},"modified":"2019-12-31T12:00:56","modified_gmt":"2019-12-31T11:00:56","slug":"clickjacking-mais-qui-a-vole-ma-souris","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2012\/12\/clickjacking-mais-qui-a-vole-ma-souris\/","title":{"rendered":"Clickjacking, mais qui a vol\u00e9 ma souris ?"},"content":{"rendered":"

Le clickjacking, <\/em>ou \u00ab\u00a0d\u00e9tournement de clic\u00a0\u00bb,<\/em> est un terme apparu en 2008 pour d\u00e9signer un type d\u2019attaque ciblant les applications web. Ces attaques visent \u00e0 tromper l\u2019utilisateur sur l\u2019\u00e9l\u00e9ment sur lequel il clique, permettant in fine<\/em> de lui faire r\u00e9aliser des actions \u00e0 son insu.<\/p>\n

Comment se fait-on clickjacker<\/em>\u00a0?<\/h2>\n

Pour mener une attaque par clickjacking<\/em>, un attaquant va proc\u00e9der de la mani\u00e8re suivante\u00a0:<\/p>\n

1- Il identifie sa cible, une page non-prot\u00e9g\u00e9e contre ce type d\u2019attaque, qui permet de r\u00e9aliser une action en cliquant sur un lien ou un bouton.<\/p>\n

2- Il int\u00e8gre cette page dans une page malveillante qu\u2019il ma\u00eetrise<\/p>\n

3- Il s\u2019arrange pour que, lorsque la victime clique sur un \u00e9l\u00e9ment de la page, elle clique en r\u00e9alit\u00e9 sur un bouton ou un lien provenant du site vuln\u00e9rable<\/p>\n

\"\"<\/a><\/p>\n

Par exemple, il peut utiliser les propri\u00e9t\u00e9s de style offerte par HTML\/CSS pour rendre transparente la page vuln\u00e9rable. Dans l\u2019exemple ci-dessus, l\u2019utilisateur verra le bouton \u00ab\u00a0Jouer\u00a0!\u00a0\u00bb mais cliquera en r\u00e9alit\u00e9 sur le \u00ab\u00a0Bouton 1\u00a0\u00bb, provenant d\u2019un site diff\u00e9rent\u00a0!<\/p>\n

Les exemples les plus fr\u00e9quents d\u2019attaque par clickjacking<\/em> sont les \u201clikejacking<\/em>\u201d et \u201ctweetbomb<\/em>\u201d. La premi\u00e8re, ciblant le r\u00e9seau social, a pour objectif de faire \u00ab\u00a0liker<\/em>\u00a0\u00bb une page, c\u2019est-\u00e0-dire d\u2019augmenter sa popularit\u00e9. La seconde vise \u00e0 diffuser sur Twitter un message, la plupart du temps publicitaire.<\/p>\n

Les risques se limitent-ils aux r\u00e9seaux sociaux\u00a0?<\/h2>\n

Mais non\u00a0! Il est important de noter que les enjeux li\u00e9s \u00e0 ce type d\u2019attaques ne s\u2019arr\u00eatent pas \u00e0 la pollution de r\u00e9seaux sociaux. De m\u00eame que les attaques par rejeu de requ\u00eate (XSRF),<\/a>\u00a0 les attaques par clickjacking<\/em> permettent d\u2019ex\u00e9cuter des actions \u00e0 l\u2019insu de la victime.<\/p>\n

Il est donc tout \u00e0 fait imaginable d\u2019employer ce type d\u2019attaque afin, par exemple, d\u2019ajouter des articles dans le panier des clients d\u2019un site de e-commerce. Pour cela, il suffirait \u00e0 l\u2019attaquant de reprendre le sc\u00e9nario pr\u00e9c\u00e9dent, mais de remplacer les boutons \u00ab\u00a0like<\/em>\u00a0\u00bb de Facebook par le bouton \u00ab\u00a0Ajouter au panier\u00a0\u00bb du site e-commerce. L\u2019attaquant pourrait augmenter grandement les ventes de son produit !<\/p>\n

\u00a0Comment se prot\u00e9ger efficacement\u00a0?<\/h2>\n

La protection contre ce type d\u2019attaques est \u00e0 consid\u00e9rer du double point de vue de l\u2019utilisateur et du responsable du site internet qui sert – involontairement – de support \u00e0 l\u2019attaque. La protection id\u00e9ale n\u00e9cessite donc sensibilisation et moyens techniques.<\/p>\n

Pour les utilisateurs finaux en effet, se prot\u00e9ger implique d\u2019avoir conscience du risque et de faire preuve de vigilance en surveillant ses fr\u00e9quentations sur le web\u00a0! Il convient de rester m\u00e9fiant \u00e0 l\u2019\u00e9gard des liens commerciaux et des jeux ou concours qui promettent monts et merveilles.<\/p>\n

Pour les \u00e9quipes en charge de la s\u00e9curit\u00e9 des applications web, deux \u00e9l\u00e9ments sont \u00e0 consid\u00e9rer pour mitiger le risque li\u00e9 au clickjacking\u00a0<\/em>: l\u2019utilisation d\u2019en-t\u00eates http sp\u00e9cifiques, et l\u2019emploi de protections en JavaScript.<\/p>\n

\u00a0Utiliser les en-t\u00eates http appropri\u00e9s pour se prot\u00e9ger<\/h4>\n

Il est d\u2019une part possible d\u2019utiliser l\u2019en-t\u00eate http \u00ab\u00a0X-FRAME-OPTIONS\u00a0\u00bb<\/a>, qui va indiquer au navigateur \u00e0 quelles conditions le contenu du site peut \u00eatre int\u00e9gr\u00e9 dans une iframe. Il est possible de lui sp\u00e9cifier trois valeurs\u00a0:<\/p>\n