Clickjacking et Failles de Redirection
Je regroupe dans l’article d’aujourd’hui deux concepts assez ressemblants, il s’agit du clickjacking et des failles de redirection.
Ce sont des attaques totalement indétectables par des antivirus et autres programmes de nettoyage, seul un utilisateur averti et sensibilisé (que vous allez être dans) est capable de les déjouer.
Ces concepts permettent tous les deux de réaliser des attaques sur des internautes, sans qu’ils ne s’en rendent compte.
Table des matières
1. Qu’est-ce que le Clickjacking ?
Amis anglophobes, sachez qu’en informatique on emprunte beaucoup de mots à la langue anglaise, ici Clickjacking signifie simplement « Détournement de clic » en français.
Le Clickjacking consiste donc à utiliser le clic de votre souris à d’autres fins, potentiellement malveillantes.
Comme toujours, rien ne vaut un bon exemple :
Le Likejacking est un mot dérivé de « Like » (aimer) et ClickJacking faisant référence à l’utilisation du détournement de clic pour faire en sorte que les internautes aiment des pages Facebook à leur insu.
« Mais ? Je n’ai jamais aimé cette page ! Pff Facebook c’est n’importe quoi ! »
Avant d’accuser Facebook, il faut savoir que certains sites malveillants utilisent la technique du clickjacking pour placer un bouton « J’aime » invisible qui suit automatiquement votre souris.
Vous pensez donc cliquer sur des boutons et liens sur le site donné…alors qu’en fait vous cliquez sur le bouton « J’aime » invisible.
Exemple concret ici : https://www.leblogduhacker.fr/sandbox/clickjack.php
(Ne vous inquiétez pas, le bouton n’est que semi transparent, et il vous fera aimer la page Facebook du site Le Blog Du Hacker. Je vous en serai reconnaissant par la même occasion si vous venez me suivre sur Facebook).
Le Likejacking n’est qu’un exemple parmi d’autres, on peut très bien imaginer le fait de faire cliquer les internautes sur le bouton pour autoriser l’accès à la WebCam.
On peut également imaginer qu’il est possible de modifier les paramètres d’un compte Facebook, on peut aussi imaginer qu’il est possible de faire suivre quelqu’un sur Twitter…etc.
Et enfin, on pourrait très bien appliquer le ClickJacking à la faille CSRF, résultat : On peut potentiellement pirater un site web.
Se protéger du clickjacking
Le ClickJacking est difficile à repérer, et tout le monde ne va pas regarder le code source de chaque page visitée pour s’assurer qu’aucun script malveillant n’est exécuté.
De plus, combattre le ClickJacking efficacement reviendrait à désactiver les scripts de son navigateur, mais qui dit pas de script dit gros handicap général. La solution n’est donc pas envisageable.
Heureusement on a une petite solution qui se profile, c’est l’utilisation de l’addon NoScript avec l’option ClearClick qui protège du clickjacking. NoScript permet de laisser tous les scripts activés mais de garder la protection anti-clickjacking, et là on est bon ! Infos et téléchargement ici, plus d’infos ici (en anglais).
Concernant la protection de son site web, là encore il est possible d’empêcher un site d’apparaître dans une iframe (donc sous forme de « bouton invisible »), mais là encore ce n’est pas l’idéal car beaucoup de services aimeraient utiliser un site dans une iFrame de façon légitime.
Cela dit, les informations sont ici pour Apache et là pour IIS7 (vous remarquerez que ça manque de traduction en français, alors qu’il serait grand temps de s’y mettre ! ce n’est pas qu’un petit problème non plus).
2. Qu’est ce que sont les failles de redirection ?
Nous arrivons à la deuxième partie de l’article : Les failles de redirection.
Les failles de redirection ne servent pas à allumer votre WebCam ou suivre une personne sur un réseau social, mais sont plutôt utilisées pour réaliser des attaques par Phishing.
Le concept reste similaire : On fait croire à l’internaute qu’il va aller sur un site légitime alors qu’il est directement redirigé vers un autre site.
Bien que le comportement soit en théorie normal (un site donné a bien le droit de faire un lien vers un autre site), il peut être utilisé de façon malveillante.
Reprenons l’exemple de l’année dernière sur la faille de redirection de Facebook :
Imaginons que le lien suivant soit toujours fonctionnel :
http://apps.facebook.com/fifaccebcbdb/0/preload.aspx?fb_force_mode=iframe&l=http://www.google.fr
Que se passerait-il après avoir cliqué ?
Réponse : On se retrouve directement sur Google ! (notez le « http://www.google.fr » à la fin).
Alors que le début du lien correspond à apps.facebook.com, il aurait même pu être facebook.com.
Notons en plus qu’il est souvent possible de tronquer les liens de la sorte suivante :
http://apps.facebook.com/fifaccebcbdb/0/preload.aspx?fb_force_mod...
L’utilisateur non averti n’y voit que du feu.
Imaginons enfin que le site de destination ne soit pas Google, mais une copie de Facebook : L’utilisateur se connecte croyant être sur Facebook, son mot de passe est immédiatement récupéré et il ne s’en rend même pas compte.
Hmm et pour la petite précision qui a son intérêt, ce type de faille existe dans beaucoup de sites très connus que nous utilisons chaque jour….C’est une faille qui n’est pas encore vraiment considérée comme « Faille », et pourtant…
Se protéger contre les failles de redirection
Pour contrer les failles de redirection, il faut notamment vérifier les liens sur lesquels on clique, et utiliser les principes de précaution contre le Phishing.
Pour être sûr de voir le lien sur lequel vous allez cliquer s’afficher en entier, placer simplement votre curseur sur le lien en question et observez le bas de votre navigateur.
Exemple avec Firefox :
Et pour plus d’informations sur le Phishing je vous invite à lire l’article suivant : Phishing Facebook, explications et contre-mesures.
Conclusion
La conclusion est souvent la même : On ne vous pirate ou arnaque pas parce-que votre antivirus est mauvais, mais parce qu’on utilise des techniques rusées contre vous.
Et si vous n’êtes pas au courant de ces attaques, vous allez sauter les deux pieds en même temps dans le piège.
Envie d’en apprendre plus sur les failles web ?
Cette faille et bien d’autres est vue en détail dans mon cours vidéo sur les tests d’intrusion web.
Nous allons parler des fondamentaux : fonctionnement d’HTTP, d’HTTPs, de DNS et de l’architecture web de manière générale.
Nous allons également mettre en place un laboratoire de test avec des machines virtuelles pour héberger et scanner nos sites vulnérables afin d’apprendre sans rien casser.
Nous allons bien sûr parler de toutes les failles web (XSS, CSRF, SQL, LFI, RFI, …etc) en suivant le Top 10 OWASP mais aussi de tout ce qui gravite autour de la sécurité web : dénis de service, mauvaises configurations, données personnelles, reconnaissance, etc…
Impatient de commencer avec vous, je vous invite à rejoindre le cours dès maintenant :
https://cyberini.com/cours/hacking-ethique-tests-intrusion-web/