Clickjacking, également connu sous des noms comme Attaque de réparation de l'interface utilisateur, Attaque de réparation UI, Redressement de l'interface utilisateur, est une technique malveillante courante utilisée par les attaquants pour créer plusieurs couches compliquées, afin d'inciter un utilisateur à cliquer sur un bouton ou sur un lien sur une autre page, alors qu'il avait l'intention de cliquer sur une autre page. Ainsi, l’attaquant contrôle avec succès l’utilisateur en cliquant sur un lien provenant d’une source externe, tout en le détournant à partir de la page d’origine. Cette technique a des utilisations illimitées en matière d'exploitation par l'utilisateur. Par exemple, une telle attaque peut convaincre les clients de saisir leurs coordonnées bancaires dans une page tierce identique à celle d'origine.
Qu'est-ce que le Clickjacking?
Le détournement de clic est une activité malveillante, où les liens malveillants sont cachés derrière de véritables boutons ou liens cliquables, ce qui incite les utilisateurs à activer une action incorrecte avec leur clic.
Un exemple courant et extrêmement destructeur de cette technique pourrait être lorsqu'un attaquant qui crée un site Web sur lequel figure un bouton indiquant:Cliquez ici pour participer au concours“. Cependant, juste à côté du bouton, ils ont inséré un cadre presque invisible qui relie leSupprimer tous les contacts de votre compte Gmail. La victime essaie de cliquer sur le bouton mais à la place, clique sur le bouton invisible. Par conséquent, l’attaquant a «détourné» le «clic» de l’utilisateur, et donc le nom Clickjacking.
Ces derniers temps, Clickjacking a fait son chemin vers des services populaires tels que Adobe Flash Player et Twitter. Certains attaquants ont modifié les paramètres du plug-in Adobe Flash. En chargeant cette page dans une iframe invisible, un attaquant pourrait inciter un utilisateur à modifier les paramètres de sécurité de Flash, donnant ainsi le droit à toute animation Flash d’utiliser le microphone et la caméra de l’ordinateur.
En parlant de Twitter, le détournement de clics est entré dans un ver Twitter. Cette attaque visait plutôt intelligemment les utilisateurs, les obligeant à retweeter un lieu et à le diffuser largement avant que Twitter n'intervienne pour contrôler le virus.
Qu'est-ce que Cursorjacking?
Un type de détournement de clic consiste à masquer le curseur de la souris et à convaincre l'utilisateur de remplacer ses clics vers un autre emplacement de la même page. Un incident populaire de Cursorjacking a été découvert dans Mozilla Firefox sur des systèmes Mac OS X utilisant des codes Flash, HTML et JavaScript pouvant également conduire à l'espionnage de la webcam et à l'exécution d'un addon illicite permettant l'exécution de malwares sur l'ordinateur de l'utilisateur piégé.
Qu'est-ce que LikeJacking?
Outre le Cursorjacking, des incidents de Commejacking. Devenu populaire après l'avènement de Facebook dans la culture pop, ce terme explicite désigne le détournement de la personne qui veut aimer une page Facebook qu'il n'est pas censé connaître à l'origine.
Conseils de protection contre le détournement de clics
Options X-Frame
Cette solution de Microsoft est l’une des plus efficaces contre les attaques de détournement de clic sur votre ordinateur. Vous pouvez inclure un en-tête HTTP X-Frame-Options dans toutes vos pages Web. Cela empêchera votre site d'être placé dans un cadre. X-Frame est pris en charge par les dernières versions de la plupart des navigateurs, y compris Safari, Chrome, IE, mais peut présenter des problèmes avec Firefox. L'utilisation de X-Frame présente l'avantage d'être extrêmement simple, mais elle nécessite un accès à la configuration du serveur Web et au langage de script utilisé sur le serveur.
Déplacer des éléments sur vos pages
L’attaquant qui tente de placer un clic sur vos pages Web n’est pas au courant de l’emplacement actuel des éléments de votre côté. Il ne peut placer que ses éléments infectés en fonction des paramètres par défaut. C'est une bonne idée d'essayer de déplacer des éléments sur votre page. Par exemple, les attaquants peuvent avoir l’intention de cibler le bouton Facebook Like. En déplaçant cet élément vers un autre emplacement, vous pouvez facilement détecter le moment où un tel incident se produit. Le seul problème avec cette solution est qu’il est extrêmement difficile à réaliser pour les utilisateurs normaux.
URL uniques
Il s’agit d’une méthode assez avancée de protection contre les détourneurs de clics, qui en savent suffisamment pour surpasser vos filtres de base. Vous pouvez rendre l'attaque beaucoup plus difficile si vous incluez un code ponctuel dans les URL des pages cruciales. Ceci est similaire aux nonces utilisés pour empêcher CSRF, mais est unique en ce sens qu'il inclut des nonces dans les URL des pages cibles, et non dans les formulaires de ces pages.
Framebuster Javascript
Une autre façon d'échapper aux griffes d'une attaque de clickjacking consiste à vérifier le code Javascript à détecter. Ce processus s'appelle frambusting
Conseils de prévention du détournement de clics
Évaluer la protection de la messagerie
L'installation et la vérification d'un filtre anti-spam puissant est un moyen de détecter efficacement tout type d'attaque sur vos comptes. Les attaques de détournement de clic commencent généralement par inciter un utilisateur par courrier électronique à visiter un site malveillant. Pour ce faire, vous devez implémenter des courriels forgés ou spécialement conçus qui ont l’air authentique. Le blocage des courriels illégitimes réduit les attaques potentielles contre le détournement de clics et de nombreuses autres attaques.
Utiliser des pare-feu d'applications Web
Les pare-feu d'applications Web des WEF constituent un aspect important de la sécurité dans le cas des entreprises dont la plupart des données sont stockées sur Internet. Certaines de ces entreprises ont tendance à ignorer la nécessité de l'une d'entre elles et finissent par être attaquées par des incidents de détournement de clic massifs. Des données récentes montrent que près de 70% des PME ont été piratées à un moment ou à un autre au cours des dix dernières années. Cela peut alléger votre fardeau, réduire considérablement les risques et coûter moins cher que la perte que vous pourriez subir.
Malheureusement, il n’existe pas de solution idéale pour empêcher le détournement de clic, car les attaquants finiront par trouver le moyen de maîtriser la plupart des techniques. Malgré cela, les remèdes les plus efficaces contre de telles attaques seront le X-Frame et le FrameBuster Javascript.
Maintenant lis: Que sont les fraudes au clic et les fraudes en matière de publicité en ligne?
