Clickjacking

Clickjacking

Le clickjacking, ou détournement de clic[1], est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des pages apparemment sûres. Le terme de clickjacking a été inventé par Robert Hansen et Jeremiah Grossman.

Sommaire

Exemple de clickjacking

C'est une faille de sécurité d'Adobe Flash Player permettant à un hacker de faire cliquer l'utilisateur où il le désire. Cette faille a été découverte par Robert Hansen et Jeremiah Grossman début septembre 2008 et concernait les versions Adobe Flash Player 9.0.124.0 et antérieures. L'entreprise Adobe Systems a corrigé le bogue le 15 octobre 2008[2].

L'exploitation du bogue avait lieu grâce à la surimpression d'une iframe par dessus une application flash. La surimpression étant invisible l'internaute ne savait pas qu'il ne cliquait pas sur l'application flash mais sur d'autres liens[3]. La démonstration a été réalisée avec un jeu flash où l'internaute doit cliquer sur des boutons pour marquer des points. Certains clics du jeu font cliquer l'internaute sur des autorisations d'utilisations de la webcam de l'ordinateur[4].

Prévention

Aujourd'hui la prévention pour éviter d'être victime de ce genre d'actions malicieuses passe par une sécurisation du navigateur web. Opera et Internet Explorer possèdent tous deux, dans une certaine mesure, des outils pour protéger leurs utilisateurs du clickjacking. Pour Opera il est possible de désactiver l'exécution des scripts dans les préférences rapides en appuyant sur F12. Internet Explorer intègre un outil de protection au clickjacking depuis la RC1 d'Internet Explorer 8[5].

Il est également possible d'installer l'extension Ghostery disponible sur les 5 navigateurs principaux, cette extension bloque les scripts et diverses techniques de tracking servant à récupérer nos habitudes de navigation, cela permet ainsi de se prémunir contre un certains nombre de types de clickjacking tel que le suivi automatique de comptes Twitter, ou l'action de poster des messages indésirables sur le mur de Facebook. Pour Mozilla Firefox il est également possible d'installer une extension supplémentaire, l'extension NoScript[3], restreignant l'activité des scripts exécutés sur l'ordinateur client.

Voir aussi

Notes et références

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Clickjacking de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • Clickjacking — is a malicious technique of tricking Web users into revealing confidential information or taking control of their computer while clicking on seemingly innocuous web pages.[1][2][3][4] A vulnerability across a variety of browsers and platforms, a… …   Wikipedia

  • Clickjacking — ist eine Technik, bei der ein Computerhacker die Darstellung einer Internetseite überlagert und dann dessen Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen. Dabei lassen Angreifer die ahnungslosen… …   Deutsch Wikipedia

  • Clickjacking — El Clickjacking, o Secuestro de clic, es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su computadora cuando hacen clic en páginas web aparentemente inocentes . En… …   Wikipedia Español

  • clickjacking — UK [ˈklɪkˌdʒækɪŋ] / US noun [uncountable] computing the dishonest practice of taking control of an Internet user s computer by making them click with the mouse on hidden links on a website Derived words: clickjack noun countable Word forms… …   English dictionary

  • clickjacking — noun A malicious technique whereby part of a webpage is covered by transparent or misleading content that receives the user’s mouse clicks, thus causing them to execute commands they did not intend …   Wiktionary

  • NoScript — For the <noscript> HTML element, see HTML element#Other block elements. NoScript Developer(s) Giorgio Maone Stable release 2.1.8 / October 28, 2011; 10 days ago …   Wikipedia

  • List of HTTP header fields — HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · …   Wikipedia

  • Liste der HTTP-Headerfelder — HTTP Header bzw. HTTP Header Felder (oft synonym genutzt; HTTP Header besitzt allerdings die Mehrdeutigkeit zwischen einem einzelnen Feld des Headerblocks und dem ganzen Headerblock. Hier wird für die Gesamtheit der Headerfelder der Begriff… …   Deutsch Wikipedia

  • NoScript — Entwickler Giorgio Maone Aktuelle Version 2.1.5 (17. Oktober 2011) Kategorie …   Deutsch Wikipedia

  • Cursorjacking — Le cursorjacking, ou détournement de curseur, est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des endroits d une page …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”