Détournement de clic

Le détournement de clic, ou clickjacking, est une attaque web visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des pages apparemment sûres.

Le terme de clickjacking a été inventé par Robert Hansen et Jeremiah Grossman ^[1].

C'est une faille de sécurité d'Adobe Flash Player permettant à un hacker de faire cliquer l'utilisateur où ce premier le désire. Cette faille a été découverte par Robert Hansen et Jeremiah Grossman début septembre 2008 et concernait les versions Adobe Flash Player 9.0.124.0 et antérieures. L'entreprise Adobe Systems a corrigé le bogue le 15 octobre 2008^[2].

Le détournement du clic est une technique où un attaquant incite un utilisateur ou une utilisatrice à initier une action sur un système via l'interface graphique alors qu'il a l'impression d’interagir sur un tout autre système^[3],[4].

Par exemple, un attaquant ajoute une iframe HTML par-dessus une application Flash hébergé dans un serveur web qu'il maîtrise. La surimpression étant invisible, l'internaute ne sait pas qu'il ne clique pas sur l'application Flash mais sur d'autres liens^[5]. La démonstration a été réalisée avec un jeu Flash où l'internaute doit cliquer sur des boutons pour marquer des points. Certains clics du jeu incitent l'internaute à cliquer sur des autorisations d'utilisations de la webcam de l'ordinateur^[6].

Plus récemment, le détournement de clic est souvent utilisé sur les réseaux sociaux comme Facebook pour faire aimer une page ou une vidéo à l'insu de l'utilisateur^[7] (likejacking).

Les protections peuvent être côté utilisateur mais aussi côté serveur.

Au niveau utilisateur, la prévention pour éviter d'être victime de ce genre d'actions malicieuses passe par une sécurisation du navigateur web. La plupart des grands navigateurs possèdent, dans une certaine mesure, des outils pour protéger leurs utilisateurs du clickjacking. Pour Opera il est possible de désactiver l'exécution des scripts dans les préférences rapides en appuyant sur F12. Internet Explorer intègre un outil de protection au clickjacking depuis la RC1 d'Internet Explorer 8^[8].

Il est également possible d'installer l'extension Adblock Plus^[9] disponible sur tous les navigateurs, uBlock Origin ou Ghostery^[10], cette extension bloque les scripts et diverses techniques de tracking servant à récupérer les habitudes de navigation, cela permet ainsi de se prémunir contre un certain nombre de types de clickjacking tel que le suivi automatique de comptes Twitter, ou l'action de poster des messages indésirables sur le mur de Facebook.

Mozilla Firefox possède un système de protection interne en lien avec le serveur Web^[11]. Il est également possible d'installer une extension supplémentaire intitulée NoScript^[5], restreignant l'activité des scripts exécutés sur l'ordinateur client. Il est possible d'utiliser aussi d'autres moyens comme ClickJacking Reveal^[12].

Une autre solution est de désactiver Javascipt, Flash et CSS^[3]. La sensibilisation des utilisateurs et utilisatrices contre ce type d'attaque permet aussi de réduire les risques^[13].

Côté serveur, il existe plusieurs méthodes de prévention : mécanisme Content Security Policy, en-tête X-Frame-Option et l'attribut SameSite Cookies et de suivre de bonnes pratiques de codage^[14],[15].

• Cursorjacking
• Likejacking

• (en) UI Redressing: Attacks and Countermeasures Revisited

• Portail de la sécurité informatique