Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Clickjacking : Définition, défense & Prévention

Mis à jour: 01 septembre 2024 Temps de lecture: ~

Sujette

General Web, Cloud Security, Cybersecurity, Phishing Resistance, Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Le clickjacking se produit lorsqu'un hacker cache des hyperliens derrière le Sommaire visible par l'utilisateur afin de voler des clics.

Une attaque par détournement de clics commence par une tromperie. Vous rencontrez un formulaire, un bouton ou un autre élément que vous pouvez manipuler. En cliquant sur cet élément, vous effectuez une action que vous n'aviez pas prévue. 

Par exemple, une fenêtre contextuelle s'affiche sur un site web et un gros bouton indique : "Cliquez pour fermer cette fenêtre." Lorsque vous appuyez sur ce bouton, vous aimez également la page Facebook de l'entreprise, même si vous n'en avez jamais eu l'intention. 

Les attaques de type "clickjacking" peuvent vous amener à.. :

  • Téléchargez malware 
  • Distribuer des informations protégées
  • Transférer de l'argent
  • Acheter des produits
  • Offrir une preuve sociale non désirée 

En tant que consommateur, il est important de comprendre comment ces attaques fonctionnent et comment vous pouvez vous protéger. En tant que professionnel de IT, il est essentiel de créer des sites qui résistent aux méthodes courantes de détournement de clics.

Qu'est-ce que le clickjacking ?

Un hacker crée une page, un bouton ou un formulaire web d'apparence anodine. L'article se compose de plusieurs couches. La version que vous voyez semble assez innocente. Mais une couche sous-jacente contient un code qui peut vous nuire. 

Considérez cet exemple concret de détournement de clics de la part de Facebook:
 

  • Appât. Le développeur a créé une page web remplie d'images amusantes et a encouragé les gens à cliquer pour les voir. 
  • Hook. Lorsque les visiteurs accédaient à la page, ils voyaient un écran leur demandant de confirmer qu'ils avaient au moins 16 ans. 
  • Interrupteur. En cliquant sur "yes", les personnes ont pu entrer dans le site. Mais ils ont également posté un lien vers le Sommaire sur leur mur Facebook au même moment. 

Dans cet exemple, les personnes n'avaient pas l'intention de partager le message sur Facebook. Mais l'attaque a détourné leur clic sur "yes."

Ce diagramme visuel explique le fonctionnement du concept : https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/01/Clickjacking.png.webp

Comment fonctionne le détournement de clics ?

Les couches, la tromperie et la programmation permettent des attaques par détournement de clics. Malheureusement, cette technique est courante. Selon les analystes, deux tiers des 20 principaux sites bancaires sont susceptibles d'être piratés de la sorte. 

Les techniques courantes de détournement de clics sont les suivantes :

  • Sans navigateur. Le pirate informatique utilise un terminal mobile pour exécuter une attaque. Un délai minime entre l'action d'une personne et la réponse du serveur permet la manipulation. 
  • Classique. Des couches cachées sur les pages web prennent le contrôle des actions de l'utilisateur. 
  • Cookiejacking. Un utilisateur interagit avec un objet apparemment inoffensif, et le site hacker accède aux cookies de l'utilisateur à partir de tous les navigateurs concernés. Les cookies contiennent un grand nombre de données, ce qui peut constituer une attaque dévastatrice. 
  • Cursorjacking (détournement de curseur). Une adresse hacker modifie le fonctionnement d'un curseur et l'adresse hacker peut accéder à l'appareil photo de l'utilisateur dans le chaos qui s'ensuit. 
  • Détournement de fichiers. Le site hacker prend le contrôle de votre terminal et transforme l'informatique en serveur de fichiers. 
  • Likejacking. Le site hacker vous incite à aimer un compte Facebook ou un autre média social. 

Le code qui sous-tend le clickjacking est sophistiqué. Ces attaques ne sont pas créées ou exécutées par des amateurs. 

Les meilleures attaques de clickjacking sont également invisibles pour l'utilisateur, de sorte que vous ne saurez jamais que quelqu'un a pris le contrôle de votre terminal, de vos données, ou des deux, jusqu'à ce qu'il soit trop tard. 

6 Techniques de prévention du détournement de clics 

Vous souhaitez que chaque action que vous effectuez sur un site web soit significative et utile. En tant que concepteur, vous souhaitez que vos visiteurs aient confiance en vous et en votre travail. L'utilisation d'outils de prévention peut vous aider à atteindre ces deux objectifs. 

Bloquez les attaques de détournement de clics avec :

  1. Navigateur sécurisé. Certaines entreprises mettent en place des programmes rigoureux et personnalisés qui éliminent les risques courants de détournement de clics. Recherchez les navigateurs qui tiennent compte de cette menace. En tant que concepteur ou développeur, assurez-vous que vos sites fonctionnent dans ces navigateurs alternatifs. 
  2. Framekiller. Utilisez cet outil JavaScript sur vos pages web pour vous assurer que des tiers ne peuvent pas voler vos clics. 
  3. GuardedID. Présenté comme lelogiciel de chiffrement des frappes clavier "," GuardedID vise à éliminer le détournement de clics. Le logiciel fonctionne à la fois sur PC et sur Mac. 
  4. Observateur d'intersection. Cette API rend les actions de clic visibles, de sorte que les gens disposent des informations dont ils ont besoin pour prendre des décisions intelligentes en ligne. 
  5. extension du navigateur. Les clients peuvent utiliser NoClickjack dans Chrome ou NoScript dans Firefox pour éliminer les attaques lorsqu'ils naviguent sur le web. 
  6. X-Frame-Options. Utilisez ce HTTP header lors de la conception de votre site web. Indiquez au navigateur si la page doit être rendue sous forme de cadre, d'iframe, d'embarquer ou d'objet. 

Les développeurs et les consommateurs ne s'entendent pas sur l'approche la plus efficace. Certains ne jurent que par les cadres X, par exemple, car ils estiment que la prévention doit venir des développeurs et non des consommateurs. Mais d'autres affirment que les cadres X comportent trop de limitations pour être efficaces. Les codeurs avertis peuvent contourner presque tous les obstacles. 

En fin de compte, combiner vos outils et encourager vos clients à être vigilants quant aux sites qu'ils visitent et au travail qu'ils effectuent en ligne est le meilleur moyen de bloquer les pirates informatiques avant qu'ils ne prennent le contrôle.

Plus d'options de sécurité grâce à Okta

Veillez à offrir à vos employés un espace sûr pour leur travail électronique. Utilisez notre plateforme pour gérer la connexion, l'authentification et l'autorisation.

Pour en savoir plus.

Références

Le bug du détournement de clics que Facebook ne veut pas réparer. (Décembre 2018). Ordinateur en panne. 

Le détournement de clics menace les deux tiers des 20 principaux sites bancaires. (Novembre 2020). Infosecurity. 

Framekiller. PC. 

GuardedID. Strikeforce. 

La confiance c'est bien, l'observation c'est mieux : Intersection Observer v2. (Février 2021). web.Dev. 

NoClickJack. Chrome web Store. 

Pas de script. Inform Action logiciel open source. 

X-Frame Options. Mozilla. 

Attaque de clickjacking sur Facebook : Comment un minuscule attribut peut sauver la société. (janvier 2019). Security Boulevard.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter