Qu'est-ce que les attaques Clickjacking ? Astuces de protection et de prévention

Qu'est-ce que les attaques Clickjacking ? Astuces de protection et de prévention

Le clickjacking est une technique d'attaque malveillante qui manipule les utilisateurs pour cliquer sur des éléments masqués, compromettant ainsi leur sécurité en ligne.

Clickjacking, également connu sous des noms comme l'attaque de redressage de l'interface utilisateur, l'attaque de redressage de l'UI, est une technique malveillante courante utilisée par les attaquants pour créer plusieurs couches compliquées afin de tromper un utilisateur en lui faisant cliquer sur un bouton ou un lien sur une autre page alors qu'il avait l'intention de cliquer sur une autre page. Ainsi, l'attaquant réussit à contrôler l'utilisateur pour cliquer sur un lien d'une source externe, tout en le « détournant » de la page d'origine. Cette technique a des utilisations illimitées en matière d'exploitation des utilisateurs. Par exemple, une telle attaque peut convaincre les clients d'entrer leurs coordonnées bancaires sur une page tierce qui imite l'originale.

Qu'est-ce que l'attaque Clickjacking

Le clickjacking est une activité malveillante, où des liens malveillants sont cachés derrière des boutons ou des liens cliquables authentiques, incitant les utilisateurs à activer une mauvaise action avec leur clic.

Un exemple commun et extrêmement destructeur de cette technique pourrait être celui où un attaquant construit un site web comportant un bouton disant « Cliquez ici pour entrer au concours ». Cependant, juste à côté du bouton, il place un cadre presque invisible qui renvoie à « Supprimer tous les contacts » de votre compte Gmail. La victime essaie de cliquer sur le bouton mais clique en réalité sur le bouton invisible. Ainsi, l'attaquant a « détourné » le « clic » de l'utilisateur, d'où le nom Clickjacking.

Le clickjacking a trouvé son chemin vers des services populaires, notamment Adobe Flash Player et Twitter. Certains attaquants ont modifié les paramètres du plugin Adobe Flash. En chargeant cette page dans un iframe invisible, un attaquant pouvait tromper un utilisateur en modifiant les paramètres de sécurité de Flash, permettant à toute animation Flash d'utiliser le microphone et la caméra de l'ordinateur.

En ce qui concerne Twitter, le clickjacking a été impliqué dans un ver Twitter. Cette attaque était plutôt astucieusement ciblée sur les utilisateurs, les forçant à retweeter un emplacement et à le diffuser largement avant que Twitter n'intervienne pour contrôler le virus.

Qu'est-ce que le Cursorjacking

Un type de clickjacking opère en déguisant le curseur de la souris et en convaincant l'utilisateur de remplacer ses clics vers un autre emplacement sur la même page. Un incident populaire de Cursorjacking a été découvert dans Mozilla Firefox sur des systèmes Mac OS X utilisant Flash, HTML et JavaScript, ce qui peut également conduire à l'espionnage de la webcam et à l'exécution d'un addon malveillant autorisant l'exécution de malware sur l'ordinateur de l'utilisateur piégé.

Qu'est-ce que le Likejacking

En dehors du Cursorjacking, des incidents de Likejacking ont également été signalés. Popularisé après l'avènement de Facebook dans la culture pop, ce terme explicite signifie le détournement d'une personne pour qu'elle aime une page Facebook qu'elle ne connaît pas à l'origine.

Conseils de protection contre le Clickjacking

Options X-Frame

Cette solution de Microsoft est l'une des plus efficaces contre les attaques de clickjacking sur votre machine. Vous pouvez inclure l'en-tête HTTP X-Frame-Options dans toutes vos pages web. Cela empêchera votre site d'être placé dans un cadre. X-Frame est pris en charge par les dernières versions de la plupart des navigateurs, y compris Chrome, Edge, Firefox, etc., mais peut avoir quelques problèmes avec Firefox. L'avantage d'utiliser X-Frame est que c'est extrêmement simple, mais nécessite un accès à la configuration du serveur web et au langage de script sur le serveur.

Déplacer des éléments sur vos pages

L'attaquant essayant de placer du clickjacking sur vos pages web n'est pas conscient des emplacements actuels des éléments de votre côté. Il ne peut placer ses éléments infectés qu'en fonction des paramètres par défaut. Il est judicieux de tenter de déplacer des éléments sur votre page ; par exemple, les attaquants peuvent avoir l'intention de cibler le bouton J'aime de Facebook. En déplaçant cet élément à un autre endroit, vous pouvez facilement détecter quand un tel incident se produit. Le seul souci avec cette solution est qu'il est extrêmement difficile pour les utilisateurs normaux de le mettre en œuvre.

URLs à usage unique

C'est une méthode plutôt avancée de protection contre le clickjacking, qui pourrait être suffisamment renseignée pour surpasser vos filtres de base. Vous pouvez rendre l'attaque beaucoup plus difficile si vous incluez un code à usage unique dans les URLs vers des pages cruciales. Cela ressemble à des nonces utilisés pour prévenir le CSRF mais est unique en ce sens qu'il inclut des nonces dans les URLs vers des pages ciblées, et non dans des formulaires au sein de ces pages.

Javascript Framebuster

Une autre façon d'échapper aux griffes d'une attaque de clickjacking est de vérifier le code Javascript pour détecter ce processus est appelé frambusting.

Conseils de prévention contre le clickjacking

Évaluer la protection des e-mails

Installer et vérifier un filtre anti-spam d'e-mail puissant est une manière efficace de détecter tout type d'attaque sur vos comptes. Les attaques de clickjacking commencent généralement par tromper un utilisateur pour qu'il visite un site malveillant via un e-mail. Cela se fait en utilisant des e-mails falsifiés ou spécialement conçus qui semblent authentiques. Bloquer les e-mails illégitimes réduit un potentiel d'attaque par clickjacking et une multitude d'autres attaques également.

Utiliser des pare-feux d'applications web

Les pare-feux d'applications web (WEFs) sont un aspect important de la sécurité pour les entreprises qui ont la majeure partie de leurs données sur Internet. Certaines de ces entreprises ont tendance à ignorer ce besoin et finissent par être attaquées avec d'énormes incidents de clickjacking. Des données récentes ont montré que près de 70 % de toutes les PME ont été piratées d'une manière ou d'une autre au cours de la dernière décennie. Cela peut alléger considérablement votre charge, réduire les risques et coûter moins que les pertes que vous pourriez subir.

Malheureusement, il n'existe pas de solution parfaite pour prévenir le clickjacking, car les attaquants trouveront finalement des moyens de contourner la plupart des techniques. Malgré cela, les remèdes les plus efficaces contre de telles attaques seront l'en-tête X-Frame et le Javascript FrameBuster.

Les questions et réponses indispensables

Que sont les attaques de clickjacking ?

Les attaques de clickjacking sont des techniques malveillantes où un utilisateur est incité à cliquer sur un élément caché ou déguisé dans une page Web. Voici les principaux objectifs et risques associés à cette forme d'attaque :

    • -

Téléchargement de logiciels malveillants

    : Les utilisateurs peuvent être amenés à télécharger des programmes indésirables ou nuisibles involontairement.

  • Accès à des pages malveillantes : En cliquant sur l'élément déguisé, l'utilisateur peut être redirigé vers des sites Web dangereux.
  • Vol d'informations personnelles : L'attaque peut amener les utilisateurs à fournir leurs identifiants ou des données sensibles.
  • Transactions non intentionnelles : Les utilisateurs peuvent être poussés à transférer de l'argent ou à effectuer des achats sans en avoir conscience. La prévention des attaques de clickjacking inclut l'utilisation de techniques de protection au niveau des applications web et la sensibilisation des utilisateurs aux risques en ligne.

Quel en-tête peut être utilisé pour se protéger contre les attaques de détournement de clic  ?

Pour se protéger contre les attaques de détournement de clic, il est essentiel d'ajouter l'en-tête de réponse HTTP suivant :

    • -

X-Frame-Options

    : Cet en-tête empêche le chargement de votre page dans un cadre (frame) ou une iframe, limitant ainsi les risques de détournement de clic. ### Options d'utilisation de X-Frame-Options :

  • DENY : Interdira complètement le chargement de la page dans un cadre.
  • SAMEORIGIN : Autorisera uniquement le chargement dans un cadre si l'origine de la page parente est la même que celle de la page chargée.
  • ALLOW-FROM URI : Permet de spécifier une origine spécifique autorisée à afficher la page dans un cadre (notez que cette option est moins supportée). En intégrant cet en-tête de manière systématique sur toutes vos pages, vous renforcez la sécurité de votre site contre d'éventuelles attaques.

Quel est l'en-tête anti-clicjacking manquant ?

L'en-tête anti-clicjacking manquant qui doit être ajouté est généralement X-Frame-Options. Voici les principales options pour cet en-tête :

    • -

DENY

    : Empêche toute page d'être affichée dans un cadre (frame).

  • SAMEORIGIN : Permet à la page d'être affichée dans un cadre uniquement si elle provient du même domaine.
  • ALLOW-FROM uri : Autorise une page à être affichée dans un cadre uniquement à partir du domaine spécifié (note : cette option est peu supportée). Pour appliquer cette mesure de sécurité, vous devrez configurer votre fichier de serveur (comme .htaccess ou la configuration du serveur) pour inclure cet en-tête dans les réponses HTTP de votre site Web.

Maintenant que tu as fini de lire Qu'est-ce que les attaques Clickjacking ? Astuces de protection et de prévention, nous t'invitons à explorer davantage la catégorie Sécurité. Tu y trouveras d'autres articles intéressants qui élargiront tes connaissances et te tiendront informé. Ne cesse pas de lire et de découvrir plus!

Index
  1. Qu'est-ce que l'attaque Clickjacking
    1. Qu'est-ce que le Cursorjacking
    2. Qu'est-ce que le Likejacking
  2. Conseils de protection contre le Clickjacking
    1. Options X-Frame
    2. Déplacer des éléments sur vos pages
    3. URLs à usage unique
    4. Javascript Framebuster
  3. Conseils de prévention contre le clickjacking
    1. Évaluer la protection des e-mails
    2. Utiliser des pare-feux d'applications web
  4. Les questions et réponses indispensables
    1. Que sont les attaques de clickjacking ?
    2. Quel en-tête peut être utilisé pour se protéger contre les attaques de détournement de clic  ?
    3. Quel est l'en-tête anti-clicjacking manquant ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up