Le clickjacking, nouveau fléau des internautes

Le clickjacking est une nouvelle technique visant à piéger des internautes non avertis. S’ajoutant ainsi au phishing , au cryptojacking, au credential stuffing et autres arnaques du web, le clickjacking (« détournement de clic ») est une attaque – passive mais pas moins vicieuse – qui profite d’une vulnérabilité présente dans des navigateurs web et permet à des individus malveillants de modifier l’apparence d’un site pour l’utilisateur, sans en changer le fonctionnement.

Tribune par Eric Guillotin, Ingénieur Avant-Ventes Ingénieur chez Imperva – Il ne s’agit pas d’une vulnérabilité dans les applications cibles mais plutôt dans les logiciels exécutés sur les postes clients, à savoir les navigateurs. En conséquent, le clickjacking consiste à afficher une page ou une fenêtre factice en lieu et place de l’original.

L’utilisateur a l’impression d’avoir affaire au site authentique, alors qu’il n’en est rien. Les cybercriminels font appel au clickjacking pour différentes raisons, notamment pour prendre le contrôle d’un ordinateur ou accéder à un périphérique, publier un message, « liker » ou suivre une page sur un réseau social à l’insu de l’utilisateur, ou encore télécharger un malware.

Pour parvenir à leurs fins, les pirates informatique utilisent différentes stratégies pour leurs attaques clickjacking. Ceci étant dit, quatre grandes tendances se dessinent dans ces attaques :

1. La page transparente : la page web malveillante incorpore une page d’un autre domaine pour lequel l’utilisateur est déjà authentifié. La page malveillante étant sous le contrôle d’un individu malveillant, celui-ci peut masquer visuellement certaines parties de l’application originale aux yeux de l’utilisateur, en ne lui montrant que les éléments d’interface spécifiques (boutons, champs de formulaire) avec lesquels il souhaite le voir interagir. Par conséquent, l’utilisateur accède à la page masquée à travers des « trous » ménagés dans l’interface de façade par l’auteur de l’attaque.
2. L’iFrame overlay : cette autre technique de clickjacking consiste à inclure dans la page web malveillante du code qui génère l’interface utilisateur factice ainsi qu’un iFrame ne recouvrant qu’une partie de la page authentique, donnant ainsi l’impression que cet iFrame appartient au site principal. L’attaquant peut alors leurrer le visiteur afin de l’inciter à effectuer une action pour son compte.
3. Le bouton Javascript : l’utilisation de Javascript au lieu d’uniquement HTML permet à l’attaque de se déployer plus sournoisement car elle dispose alors de davantage de possibilités de manipulation de l’interface utilisateur originale. Par exemple, l’attaquant peut positionner la page web incorporée dans la fenêtre du navigateur de sorte qu’un bouton spécifique apparaisse systématiquement sous le curseur afin de forcer l’utilisateur à exécuter l’action attendue.
4. Les applications vulnérables : la vulnérabilité au clickjacking dans Adobe Flash Player a encore d’autres conséquences car les auteurs des attaques peuvent accéder à des périphériques connectés à l’ordinateur, par exemple une webcam ou un micro.

Pour faire l’objet d’un clickjacking, un site doit avoir été infecté au préalable . Il faut également s’assurer que les ressources de son site envoient les bons en-têtes HTTP X-Frame-Options, afin d’empêcher que certaines parties de celui-ci soient incorporées dans d’autres pages ou en dehors de son domaine.