Clickjacking et Failles de Redirection
Je regroupe dans l’article d’aujourd’hui deux concepts assez ressemblants, il s’agit du clickjacking et des failles de redirection.
Ce sont des attaques totalement indétectables par des antivirus et autres programmes de nettoyage, seul un utilisateur averti et sensibilisé (que vous allez être dans) est capable de les déjouer.
Ces concepts permettent tous les deux de réaliser des attaques sur des internautes, sans qu’ils ne s’en rendent compte.
Table des matières
1. Qu’est-ce que le Clickjacking ?
Amis anglophobes, sachez qu’en informatique on emprunte beaucoup de mots à la langue anglaise, ici Clickjacking signifie simplement « Détournement de clic » en français.
Le Clickjacking consiste donc à utiliser le clic de votre souris à d’autres fins, potentiellement malveillantes.
Comme toujours, rien ne vaut un bon exemple :
Le Likejacking est un mot dérivé de « Like » (aimer) et ClickJacking faisant référence à l’utilisation du détournement de clic pour faire en sorte que les internautes aiment des pages Facebook à leur insu.
« Mais ? Je n’ai jamais aimé cette page ! Pff Facebook c’est n’importe quoi ! »
Avant d’accuser Facebook, il faut savoir que certains sites malveillants utilisent la technique du clickjacking pour placer un bouton « J’aime » invisible qui suit automatiquement votre souris.
Vous pensez donc cliquer sur des boutons et liens sur le site donné…alors qu’en fait vous cliquez sur le bouton « J’aime » invisible.
Exemple concret ici : https://www.leblogduhacker.fr/sandbox/clickjack.php
(Ne vous inquiétez pas, le bouton n’est que semi transparent, et il vous fera aimer la page Facebook du site Le Blog Du Hacker. Je vous en serai reconnaissant par la même occasion si vous venez me suivre sur Facebook).
Le Likejacking n’est qu’un exemple parmi d’autres, on peut très bien imaginer le fait de faire cliquer les internautes sur le bouton pour autoriser l’accès à la WebCam.
On peut également imaginer qu’il est possible de modifier les paramètres d’un compte Facebook, on peut aussi imaginer qu’il est possible de faire suivre quelqu’un sur Twitter…etc.
Et enfin, on pourrait très bien appliquer le ClickJacking à la faille CSRF, résultat : On peut potentiellement pirater un site web.
Exemple de clickjacking où l’attaquant récupère les identifiants d’une victime à travers un site placé au dessus d’un autre
Se protéger du clickjacking
Le ClickJacking est difficile à repérer, et tout le monde ne va pas regarder le code source de chaque page visitée pour s’assurer qu’aucun script malveillant n’est exécuté.
De plus, combattre le ClickJacking efficacement reviendrait à désactiver les scripts de son navigateur, mais qui dit pas de script dit gros handicap général. La solution n’est donc pas envisageable.
Heureusement on a une petite solution qui se profile, c’est l’utilisation de l’addon NoScript avec l’option ClearClick qui protège du clickjacking. NoScript permet de laisser tous les scripts activés mais de garder la protection anti-clickjacking, et là on est bon ! Infos et téléchargement ici, plus d’infos ici (en anglais).
Concernant la protection de son site web, là encore il est possible d’empêcher un site d’apparaître dans une iframe (donc sous forme de « bouton invisible »), mais là encore ce n’est pas l’idéal car beaucoup de services aimeraient utiliser un site dans une iFrame de façon légitime.
Cela dit, les informations sont ici pour Apache et là pour IIS7 (vous remarquerez que ça manque de traduction en français, alors qu’il serait grand temps de s’y mettre ! ce n’est pas qu’un petit problème non plus).
2. Qu’est ce que sont les failles de redirection ?
Nous arrivons à la deuxième partie de l’article : Les failles de redirection.
Les failles de redirection ne servent pas à allumer votre WebCam ou suivre une personne sur un réseau social, mais sont plutôt utilisées pour réaliser des attaques par Phishing.
Le concept reste similaire : On fait croire à l’internaute qu’il va aller sur un site légitime alors qu’il est directement redirigé vers un autre site.
Bien que le comportement soit en théorie normal (un site donné a bien le droit de faire un lien vers un autre site), il peut être utilisé de façon malveillante.
Reprenons l’exemple de l’année dernière sur la faille de redirection de Facebook :
Imaginons que le lien suivant soit toujours fonctionnel :
http://apps.facebook.com/fifaccebcbdb/0/preload.aspx?fb_force_mode=iframe&l=http://www.google.fr
Que se passerait-il après avoir cliqué ?
Réponse : On se retrouve directement sur Google ! (notez le « http://www.google.fr » à la fin).
Alors que le début du lien correspond à apps.facebook.com, il aurait même pu être facebook.com.
Notons en plus qu’il est souvent possible de tronquer les liens de la sorte suivante :
http://apps.facebook.com/fifaccebcbdb/0/preload.aspx?fb_force_mod...
L’utilisateur non averti n’y voit que du feu.
Imaginons enfin que le site de destination ne soit pas Google, mais une copie de Facebook : L’utilisateur se connecte croyant être sur Facebook, son mot de passe est immédiatement récupéré et il ne s’en rend même pas compte.
Hmm et pour la petite précision qui a son intérêt, ce type de faille existe dans beaucoup de sites très connus que nous utilisons chaque jour….C’est une faille qui n’est pas encore vraiment considérée comme « Faille », et pourtant…
Se protéger contre les failles de redirection
Pour contrer les failles de redirection, il faut notamment vérifier les liens sur lesquels on clique, et utiliser les principes de précaution contre le Phishing.
Pour être sûr de voir le lien sur lequel vous allez cliquer s’afficher en entier, placer simplement votre curseur sur le lien en question et observez le bas de votre navigateur.
Exemple avec Firefox :
Et pour plus d’informations sur le Phishing je vous invite à lire l’article suivant : Phishing Facebook, explications et contre-mesures.
Conclusion
La conclusion est souvent la même : On ne vous pirate ou arnaque pas parce-que votre antivirus est mauvais, mais parce qu’on utilise des techniques rusées contre vous.
Et si vous n’êtes pas au courant de ces attaques, vous allez sauter les deux pieds en même temps dans le piège.
Envie d’en apprendre plus sur les failles web ?
Cette faille et bien d’autres est vue en détail dans mon cours vidéo sur les tests d’intrusion web.
Nous allons parler des fondamentaux : fonctionnement d’HTTP, d’HTTPs, de DNS et de l’architecture web de manière générale.
Nous allons également mettre en place un laboratoire de test avec des machines virtuelles pour héberger et scanner nos sites vulnérables afin d’apprendre sans rien casser.
Nous allons bien sûr parler de toutes les failles web (XSS, CSRF, SQL, LFI, RFI, …etc) en suivant le Top 10 OWASP mais aussi de tout ce qui gravite autour de la sécurité web : dénis de service, mauvaises configurations, données personnelles, reconnaissance, etc…
Impatient de commencer avec vous, je vous invite à rejoindre le cours dès maintenant :
https://cyberini.com/cours/hacking-ethique-tests-intrusion-web/
20 Commentaires
Cliquez ici pour ajouter un commentaire
Il y a une une petite faute au lieu de anglophone il y a écrit anglophobe ^^ sinon excellent article, comme d’habitude !
Salut et merci pour ton commentaire ! Non je veux bien dire anglophobe 🙂
Merci pour l’article Michel, complet comme toujours.
Seulement une faute de frappe ici :
» Vous pensez donc cliquer sur des boutons et liens sur le site donné…alors qu’en fait vous cliquez sur LA bouton « J’aime » invisible. »
Au lieu de » le bouton « . :p
Merci Schwarzer c’est corrigé 😉
quel est votre niveau informatique pour en rediger de bon tuto de ce genre just pas curiosite
Bonjour bongo, le niveau étant subjectif et variable suivant les personnes je n’ai pas de « niveau officiel » à donner, merci en tout cas 😉
Très bon article ! Je ne soupçonnais même pas l’existence de ces techniques, comme cella du « likejacking » !
Très bon article!
Très bon article !
J’étais sur Facebook, et 20 amis avait la même vidéo (pourtant stupide) !
Effectivement il fallait confirmer qu’on avait + de 13 ans, avec un joli et gros bouton Aha !
Merci, explications clairs & pro 🙂
20 amis avait aimé * 🙂
20 amis avaient aimé * #Arg
Merci à toi Patak pour ton commentaire avec plaisir 😉
Tout a fait le style d’idée que je me faisait a propos de ce sujet, merci énormément pour cette excellent article
Merci avec plaisir 😉
[…] Explications & Prévention sur le ClickJacking & les Failles de Redirection […]
Bonjour, j’ai une question un peu bizzard, en faite je voudrais savoir si c’est language de programmation existant jusqu’à ce jour sont universelles ou créer par des hommes par ce que à voir par exe,ple le système KALI LUNIX que l’on utiliser pour beaucoup de chose alors que j’ai lu dans certains des articles sur site disant qu’il n’y a aucun proramme tout fait pour le piratage
merci & bien à vous
Bonjour, c’est une très bonne question. Effectivement il n’existe pas de programme « tous faits » dans le sens « piratage en un clic d’un compte ». Cela dit, les programmes de test d’intrusion habituels sont utilisés (à l’aide de techniques et connaissances précises) pour entrer dans un système petit à petit. Habituellement on passe d’ailleurs par plusieurs outils un par un.
Bonjour,
J’ai lu votre article qui est très intéressant. En revanche vous ne dites pas quoi faire si on est victime de clickjacking. J’explique mon cas: cela fait env 3 semaines qu’une page ( qui se multiplie sous plusieurs variantes) fcb me fait liker ses images a mon insu. a chaque fois j’enlève le « j’aime », je signale la page a facebook et je bloque la page. Mais tous les jours cela recommence. En plus je viens de voir que j’avais bloqué 3x la page ( une fois c’est 9gag #, une fois c’est 9gag ; , et une fois 9gag , ) et aujourd’hui il n’y a plus aucune page bloquée. savez-vous que faire? merci beaucoup et bonne journée
Bonjour et merci pour votre commentaire,
C’est tout simplement à Facebook de corriger le souci que vous rencontrez, je ne peux rien faire de mon côté malheureusement
salut michel tu d’abord un grand merci pour toute les réponses de ta part. ici je donne juste un petit exemple.
attaques de détournement de clic méfier-vous de l’identification des réseaux sociaux. ?
il est difficile de ne pas cliquer sur un lien d’offre iphone gratuit. pour pas mal de gens. mais attention votre clic peut
être facilement détourné et les résultats peuvent être désastreux.
le détournement de clic est une méthode d’attaque. également connue sous le nom de correction de l’interface
utilisateur. car elle est configurée en déguisant ou en corrigeant un lien avec une superposition
qui incite l’utilisateur à faire quelque chose de différent de ce qu’il pense.
la plupart des utilisateurs de réseaux sociaux apprécient la commodité de rester connectés à tout moment.
les attaquants pourraient facilement profiter de cette habitude pour forcer les utilisateurs à aimer ou à suivre
quelque chose sans s’en rendre compte. pour ce faire un cybercriminel pourrait mettre un bouton tentant
par exemple avec un texte attrayant tel que iphone gratuit. offre à durée limitée. sur sa propre page web et
superposer un cadre invisible avec la page du réseau social.
dont un bouton j’aime ou partager. se trouve sur le bouton iphone gratuit. cette simple astuce de détournement
de clic peut forcer les utilisateurs de facebook à aimer des groupes ou des pages de fans sans le savoir.
le scénario décrit est assez innocent. en ce sens que la seule conséquence pour la victime est d’être
ajoutée à un groupe de réseau social. mais avec un effort supplémentaire la même technique pourrait
être utilisée pour déterminer si un utilisateur est connecté à son compte bancaire. et au lieu d’aimer ou
de partager un élément de réseau social. il pourrait être forcé de cliquer sur un bouton qui transfère
des fonds vers le compte d’un attaquant par exemple.
le pire c’est que l’action malveillante ne peut être retracée. car l’utilisateur était légitimement connecté à son
compte bancaire et il a volontairement cliqué sur le bouton de transfert.