Navigation payante et grand air du ClickJacking

Actualités - Hack - Posté on 08 Oct 2008 at 8:16 par Solange Belkhayat-Fuchs

Le « délai de réserve » vient de s’achever, et RSnake lève légèrement le voile sur sa fameuse attaque en Clickjacking, ou « détournement de clic souris ». Une attaque qui connaît déjà au moins 10 variantes, dont très peu d’entre elles peuvent être contrées à l’heure actuelle. Une « preuve de faisabilité » a même, un bref instant, été disponible, preuve s’appuyant sur une vulnérabilité du gestionnaire des paramètres de sécurité de Flash Player. Le bug, depuis, est corrigé et Adobe incite ses clients à suivre pas à pas la procédure capable de bloquer ce genre d’attaque. Une séquence vidéo donne un aperçu des dangers du Clickjacking. La « petite démonstration » offerte par ce PoC est orwelienne en diable, puisqu’elle active la webcam locale à l’insu de son propriétaire.

Rappelons que les attaques en Clickjacking concernent touts les navigateurs. Il n’est pas interdit de s’abimer dans la lecture de l’article « Hello ClearClick, Goodbye Clickjacking! » publié sur hackademix.net, et de s’intéresser sans plus attendre aux bienfaits de « NoScript », petit développement GPL salvateur pour tout usager des navigateurs génétiquement proches de Firefox.

Laisser une réponse