Le Piège des Liens « iPhone Gratuit » : Comprendre le Détournement de Clic
Difficile de résister à l’attrait d’une offre alléchante, comme un iPhone gratuit. Pourtant, un simple clic peut vous mener droit dans un piège informatique aux conséquences fâcheuses.
Le détournement de clic, ou « clickjacking » (également appelé redressement d’interface utilisateur), est une technique d’attaque qui consiste à dissimuler un lien sous une superposition. L’objectif est d’inciter l’utilisateur à réaliser une action différente de celle qu’il croit entreprendre.
Les utilisateurs de réseaux sociaux apprécient la facilité de rester constamment connectés. Cette habitude est une aubaine pour les cybercriminels. Ils peuvent, par exemple, pousser des utilisateurs à aimer ou suivre du contenu à leur insu. Comment ? En intégrant un bouton attrayant – « iPhone gratuit, offre limitée » – sur une page web. Par-dessus, ils superposent une page de réseau social avec un bouton « J’aime » ou « Partager ». En cliquant sur l’offre iPhone, l’utilisateur active en fait l’interaction sur le réseau social.
Cette simple manipulation permet de forcer les utilisateurs de Facebook à aimer des pages ou groupes sans qu’ils s’en rendent compte.
Dans ce cas, le scénario est relativement anodin, se limitant à l’ajout de la victime à un groupe. Cependant, la même technique peut être exploitée de manière plus dangereuse. Un attaquant pourrait vérifier si un utilisateur est connecté à sa banque en ligne, puis le forcer, via un bouton invisible, à transférer des fonds. La victime ne verrait rien d’anormal, étant donné qu’elle est bien connectée et a cliqué sur un bouton semblant légitime. L’action malveillante reste indétectable.
Étant donné que le détournement de clic repose souvent sur l’ingénierie sociale, les réseaux sociaux sont des cibles privilégiées.
Explorons comment ces attaques se manifestent.
Détournement de Clic sur Twitter
Il y a une dizaine d’années, Twitter a subi une attaque massive. Un message se propageait rapidement, incitant les utilisateurs à cliquer sur un lien, exploitant ainsi leur curiosité.
Des tweets contenant « Ne cliquez pas » suivi d’un lien se sont rapidement répandus sur des milliers de comptes. En cliquant, puis sur un bouton apparemment inoffensif de la page cible, un tweet similaire était envoyé depuis leur propre compte.
Les ingénieurs de Twitter ont corrigé cette attaque rapidement. L’incident, heureusement sans conséquences graves, a agi comme un avertissement sur les dangers du détournement de clic. Le lien malveillant dirigeait vers une page avec une iframe cachée. À l’intérieur, un bouton invisible envoyait le tweet depuis le compte de la victime.
Détournement de Clic sur Facebook
Les utilisateurs de l’application mobile Facebook sont vulnérables à un bug qui permet aux spammeurs de publier des liens cliquables sur leur fil d’actualité, à leur insu. Un expert en sécurité a mis au jour ce bug en analysant une campagne de spam. Il a constaté que plusieurs de ses contacts publiaient un lien vers une page d’images amusantes. Avant d’y accéder, les internautes devaient cliquer sur une « déclaration de majorité ».
Cette déclaration était, en fait, dissimulée sous un cadre invisible.
En acceptant la déclaration, les utilisateurs étaient redirigés vers les images. Pendant ce temps, le lien était publié sur leur propre journal Facebook. La faille résidait dans le fait que le composant de navigateur de Facebook pour Android ne prend pas en charge les en-têtes d’options de cadre, permettant ainsi la superposition de cadres malveillants.
Facebook ne reconnaît pas ce problème comme un bug, car il n’affecte pas directement l’intégrité des comptes. Par conséquent, une correction n’est pas garantie.
Le Détournement de Clic sur d’Autres Réseaux
Twitter et Facebook ne sont pas les seuls touchés. D’autres réseaux sociaux et plateformes de blogs présentent des failles exploitables par détournement de clic. LinkedIn, par exemple, avait une vulnérabilité qui permettait aux attaquants de forcer les utilisateurs à partager des liens sans leur consentement. Avant correction, l’attaque consistait à charger la page LinkedIn ShareArticle dans un cadre invisible, superposé à une page avec des liens ou boutons apparemment inoffensifs.
Tumblr, plateforme de blogs publics, utilise du JavaScript pour se protéger du détournement de clic. Cependant, cette protection est inefficace si les pages sont isolées dans un cadre HTML5 qui empêche l’exécution de JavaScript. Une technique astucieuse peut être utilisée pour voler des mots de passe en combinant cette faille avec un plugin de navigateur de gestion de mots de passe. En incitant les utilisateurs à saisir un faux captcha, leurs mots de passe sont envoyés à l’attaquant.
Falsification de Requêtes Inter-Sites (CSRF)
Une variante du détournement de clic est la falsification de requête inter-sites, ou CSRF. Les cybercriminels, via l’ingénierie sociale, ciblent les utilisateurs en les forçant à exécuter des actions indésirables. L’attaque peut venir d’un lien reçu par email ou chat.
L’objectif des attaques CSRF n’est pas de voler des données, car l’attaquant ne voit pas la réponse à sa fausse requête. Elles visent plutôt à modifier des états, comme un changement de mot de passe ou un transfert de fonds. Si la victime a des privilèges d’administrateur, l’attaque peut compromettre toute une application web.
Une attaque CSRF peut être stockée sur des sites web vulnérables, notamment ceux avec des « failles CSRF stockées ». Cela se fait en insérant des balises IMG ou IFRAME dans des champs de saisie qui seront affichés sur une page, comme des commentaires ou des résultats de recherche.
Se Protéger Contre le Cadrage Malveillant
Les navigateurs modernes sont capables de détecter si une ressource est autorisée à être chargée dans un cadre. Ils peuvent aussi choisir de charger une ressource dans un cadre seulement si la requête provient du même site que celui où se trouve l’utilisateur. De cette façon, les utilisateurs sont protégés contre les clics sur des cadres invisibles, dont le contenu provient d’autres sites, et leur navigation est moins exposée au détournement.
Les techniques d’atténuation côté client, comme le « frame busting » ou « frame killing », peuvent être contournées facilement. Les experts privilégient donc les méthodes côté serveur, telles que X-Frame-Options (XFO) ou Content Security Policy.
X-Frame-Options est un en-tête de réponse que les serveurs web incluent pour indiquer si un navigateur peut afficher son contenu dans un cadre.
L’en-tête X-Frame-Options autorise trois valeurs :
- DENY : interdit l’affichage de la page dans un cadre.
- SAMEORIGIN : permet l’affichage dans un cadre, seulement si le cadre vient du même domaine.
- ALLOW-FROM URI : permet l’affichage, mais seulement dans un URI spécifique (par exemple, une page web précise).
Les méthodes anti-clickjacking récentes incluent la politique de sécurité du contenu (CSP) avec la directive « frame-ancestors ». Elle remplace souvent XFO. CSP permet à un serveur web d’autoriser plusieurs domaines à afficher son contenu dans un cadre. Cependant, elle n’est pas encore prise en charge par tous les navigateurs.
La directive « frame-ancestors » admet trois valeurs : « none », pour empêcher tout domaine d’afficher le contenu; « self », pour autoriser le site actuel uniquement, ou une liste d’URL avec des caractères génériques, comme « *.site.com, » « https://www.example.com/index.html, » pour autoriser le cadrage seulement sur les pages correspondantes.
Comment Se Protéger du Détournement de Clic
Rester connecté aux réseaux sociaux est pratique, mais cela exige de la prudence. Soyez vigilant face aux sites que vous visitez, car tous ne prennent pas les précautions nécessaires. Si vous avez un doute sur un site, ne cliquez pas sur des éléments suspects.
La version de votre navigateur est également importante. Même si un site web utilise les en-têtes de prévention, tous les navigateurs ne les prennent pas en charge. Assurez-vous donc d’utiliser la version la plus récente, compatible avec les fonctionnalités anti-clickjacking.
Le bon sens reste une protection efficace. Devant un contenu inhabituel, ou un lien posté par un ami, demandez-vous si cela correspond à ses habitudes. Si ce n’est pas le cas, informez votre ami qu’il a pu être victime de détournement de clic.
Enfin, si vous êtes une personnalité influente sur les réseaux sociaux, redoublez de vigilance et adoptez un comportement en ligne responsable. Une attaque vous ciblant peut avoir des conséquences pour un grand nombre de personnes.