Menu

Pourquoi se proteger contre le clickjacking

-
Bonjour,

pour l'attaque clickjacking ( ou détoirnement de clic ) , je comprend que cela represente un risque pour l'utilisateur qui vas cliquer sur un lien et rédérigé vers un autre.

Mais pour le propriétaire du site , pourquoi ça devrait etre risqué ? et il faut se proteger par " X-Frame-Options" . meme si un hacker utilise mon site pour pieger un utilisateur ,je ne trouve pas ça dangereux pour mon site.

j'aimerais bien si quelqu'un pourrait m'expliquer le risque par rapport au propriaitaire d'un site svp , par exemple un site ( interface web ) d'administration pour des enmployés

Merci

Configuration: Windows / Chrome 70.0.3538.102
Afficher la suite 

Votre réponse

2 réponses

Meilleure réponse
Messages postés
5247
Date d'inscription
mercredi 30 octobre 2013
Statut
Membre
Dernière intervention
22 mai 2019
761
2
Merci
Bonjour

il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés.

pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien.
Cela peut être encore plus retors en renvoyant vers une fausse page du site original avec des informations ou des prix délirants histoire de bien massacrer la réputation du site original

Dire « Merci » 2

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 39398 internautes nous ont dit merci ce mois-ci

bg62
Messages postés
23201
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
18 mai 2019
1602 > claude -
si tu as mis des pubs toi même = oui , faut alors vérifier voire supprimer
si tu as placé des pubs via un script = le script est plus que suspect alors ....
elgazar
Messages postés
5247
Date d'inscription
mercredi 30 octobre 2013
Statut
Membre
Dernière intervention
22 mai 2019
761 > claude -
tu crois vraiment qu'un hacker va utiliser un script pour envoyer tes visiteurs sur ton site ????
le principe du clickjacking est de substituer le lien d'origine par un lien qui peut pointer sur n'importe quel site.
avion-f16
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
4074 -
Hello bg62 et elgazar !

« il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés. »

Tu veux dire par là, afficher le formulaire de connexion authentique (à l'aide d'une frame), et placer au-dessus de celle-ci, un formulaire sous le contrôle du hacker, pour récupérer les informations de connexion ?
Il s'agit là d'une "variante" du phishing habituel, le hacker ne se fatiguerait pas à reproduire la page de connexion originale sur son propre serveur, mais il afficherait la page "officiel"...

« pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien. »

Si le hacker parvient à infecter/modifier le site original, le problème est pire qu'un "clickjacking"... Il ne s'embêterait pas à attendre que le visiteur clique quelque-part pour le rediriger ;)

Pour le clickjacking (ce que j'entends par là en tout cas), le "hacker" ne modifie/pirate pas le site original, tout se passe sur une page sous son contrôle. Ce n'est donc même pas un "hacker", mais ça reste un parasite. Il doit aussi trouver un moyen pour que le visiteur accède à cette page frauduleuse.
Si le but est d'imiter le site officiel (ou l'insérer dans une frame, sous un autre layer "invisible"), c'est plutôt un problème de "phishing".
elgazar
Messages postés
5247
Date d'inscription
mercredi 30 octobre 2013
Statut
Membre
Dernière intervention
22 mai 2019
761 > avion-f16
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
-
le clickjacking que tu décris est celui d'origine, un faux site incitant aux clics qui faisait de vrais actions sur un autre site
Démonstration avec ce site du clickjacking d'origine


Depuis il y a eu des variantes comme iI y a quelques années quand le problème est apparu sur des thèmes wordpress
Si je me souviens bien, des petits malins distribuaient des thèmes premium gratuitement, les thèmes étaient normaux, personne ne se méfiait mais lors de la première mise à jour, des iframes invisibles étaient placés sur le bouton connexion, dès lors au lieu d'envoyer les membres sur la page d'identification normale, cela les envoyait sur une page de connexion piége qui récupérait les identifiants .
il suffisait ensuite de prétexter un bug dans le thème pour justifier l'impossibilité de se connecter et de remettre la version saine du thème (sans iframe) dans une nouvelle mise à jour
résultat :ils ont récupérés un max d' identifiants de connexion (y compris celui des administrateurs) sans que personne ne le remarque et pendant quelques temps, ils ont détournés des clics publicitaires toujours en se servant d'une iframe invisible
avion-f16
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
4074 -
D'accord, je vois le problème, on peut parler de "clickjacking" car cette technique vole en effet des clics, mais c'est encore pire car si les auteurs des thèmes font cela (modifier le thème à leur gré) : un thème WP est constitué de fichiers PHP, donc les auteurs peuvent faire tout et n'importe quoi. On ne dira jamais assez qu'il ne faut pas télécharger tout et n'importe quoi, n'importe où. Et encore, même les sources "sûres" ne le sont pas toujours, ou pas à tout instant.

Pour en revenir à X-Frame-Options, cette entête permet d'indiquer aux navigateurs que notre site ne peut pas être inclus dans d'autres sites et ainsi éviter le clickjacking (= notre site inclus de manière invisible dans un autre).

X-Frame-Options n'empêche pas notre site d'inclure d'autres sites en iframe, et donc, ne permet pas de se prémunir contre le problème mentionné ici (= notre site qui, via un thème corrompu, vol des clics/données).
Commenter la réponse de elgazar
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
4074
0
Merci
Bonjour,

Le clickjacking consiste à insérer le site légitime de manière invisible dans une page suspecte, sous le contrôle du hacker.

Par exemple : insérer le bouton « J'aime » de Facebook, pour une page pour laquelle le "hacker" souhaite faire gagner en visibilité, au-dessus d'un site qui semble légitime par apparence mais qui ne l'est pas. Son seul but est de pousser le visiteur à cliquer à un endroit spécifique en affichant un lien par exemple, mais au-dessus duquel le bouton "J'aime" se situe (de manière invisible).

Tu as raison de dire que cela ne représente pas de risque pour la sécurité de ton site, dans le sens où les actions effectuées par les visiteurs de la page frauduleuse, à leur insu, ne dépassent pas les privilèges que ces visiteurs ont sur ton site. Toutefois, cela peut avoir des conséquences très néfastes pour tes visiteurs qui ne se rendront pas compte immédiatement de ce qu'il se passe. Il peut s'agir d'un simple "J'aime" de Facebook (si FB n'était pas protégé contre cela), mais le hacker pourrait faire cliquer les visiteurs sur le bouton pour détruire leur compte sur ton site, par exemple.
En revanche, le clickjacking ne permet pas le vol d'informations.

Des explications illustrées valent mieux que 1000 mots :
https://www.owasp.org/index.php/Testing_for_Clickjacking_%28OTG-CLIENT-009%29
elgazar
Messages postés
5247
Date d'inscription
mercredi 30 octobre 2013
Statut
Membre
Dernière intervention
22 mai 2019
761 -
euh malheureusement c'est plus grave que ca

si celui qui clique sur le détournement de liens est l'administrateur de son site, il peut dans certaines conditions effacer une partie de son site sans même s'en apercevoir si celui-ci est couplé avec la faille csrf comme expliqué dans cet article d'openclassroom
avion-f16
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
4074 -
C'est une des conséquences possibles en effet, mais ça serait dommage de la part d'un administrateur de ne pas se rendre compte qu'il est sur son site dans la barre d'adresse. Mais c'est vrai qu'avec du "social engineering", un peu de distraction de la part de l'utilisateur, la pression de devoir faire le boulot rapidement, etc, etc, etc, on a vite fait une petite boulette ;)

La protection CSRF habituelle (token caché) est sans effet si le "hacker" parvient à faire du clickjacking... D'où l'importance de toujours regarder sa barre d'adresse ;)
elgazar
Messages postés
5247
Date d'inscription
mercredi 30 octobre 2013
Statut
Membre
Dernière intervention
22 mai 2019
761 > avion-f16
Messages postés
18284
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
11 mai 2019
-
comme dirait frédéric dard:
" j'ai une très grande confiance dans l'espèce humaine, je suis certain que nous sommes tous des cons intégraux"
Commenter la réponse de avion-f16