8 octobre
Le "Clickjacking" : Détournement d'actions depuis votre navigateur
Quelques nouvelles concernant la faille de "détournement de clics" (ou "clickjacking") évoquée dans mon bulletin du 29 Septembre "Clickjacking: Une faille à priori détonante...".
Un chercheur Israëlien a publié une démonstration d'une attaque de clickjacking : Sous le prétexte d'un petit jeu il détourne les clics de l'utilisateur afin de modifier les paramètres de sécurité du player Flash. Cela lui permet d'activer, à l'insu de l'utilisateur, la webcam ou le microphone de l'utilisateur... La page de démonstration reste accessible ICI mais son contenu a été désactivé, une vidéo est disponible sur YouTube.
Adobe n'a pas tardé à réagir : Un patch devrait être disponible avant la fin du mois d'octobre. Entre-temps, une solution de contournement est présentée dans le bulletin officiel d'Adobe "Flash Player workaround available for "Clickjacking" issue". Le problème c'est que très peu d'utilisateurs ou d'administrateurs vont effectuer cette manipulation... donc le mois d'octobre va être celui du "clickjacking" :-(
Quels sont les principes de fonctionnement de cette attaque ? Comment s'en protéger ?
A ce que j'ai pu comprendre, une frame (ou "cadre", cf balise <iframe> en html) est affichée en superposition avec la page réelle et des éléments de celle-ci sont positionnés "au coup par coup" sur la page visible par l'utilisateur. Les éléments (boutons ou liens) pour lesquels on souhaite détourner des clics restants transparents... Autrement dit, l'utilisateur penser interagir avec une page venant d'un domaine "A" (www.sitedeconfiance.com) alors qu'en fait il clique (sans le voir) sur des éléments appartenant à une page "B" (www.attaquant-malicieux.com).
Tous les navigateurs Internet "communs" sont concernés : Microsoft Internet Explorer, Mozilla Firefox, Safari d'Apple ou Opera. Les heureux (!) utilisateurs de Firefox peuvent utiliser le plugin NoScript qui fournit une protection contre ce type d'attaque via la fonction ClearClick.
Les solutions à ce problème sont visiblement assez complexes.
Cette faille de "Clickjacking" couplée à des attaques de Cross-Site Scripting (XSS) va surement être utilisée pour des attaques diverses et variées : L'occasion est trop bonne pour être manquée !
Wikio
Scoopeo
Viadeo
Dans la mesure ou le workaround s'applique en cliquant au travers du navigateur et que l'opération semble réversible, peut-on vraiment le considérer comme efficace ? Si j'ai bien suivi, une "simple" attaque "click-jacking" doit suffire à désactiver le workaround. Non ?
Rédigé par: Christophe | 08 octobre 2008 at 15:12
La question était attendue. :-)
La réponse : Lorsque que l'on effectue ce genre d'actions sur le panel Flash, il faut valider le choix via une boite de dialogue "Security Question" qui apparait. Si celle-ci détecte que l'on essaye de manipuler sa transparence (donc si on tente un clickhijacking) elle disparait : Donc pas possible de désactiver le workaround via cette même faille.
Pour plus de détails, je vous conseille d'aller lire le détail de cette attaque "Clickhijacking et Flash" :
http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/
......
But the Security Dialog does a good job disabling itself when you try to mess with it’s visibility through DHTML. Unless there’s some 0-day issue with the Dialog it’s probably relatively safe.
......
Rédigé par: Audenard Jean-François | 08 octobre 2008 at 16:40