Il est difficile de résister à cliquer sur un lien d’offre iPhone gratuit. Mais attention : votre clic peut être facilement piraté et les résultats peuvent être désastreux.
Le détournement de clic est une méthode d’attaque, également connue sous le nom de redressement de l’interface utilisateur, car il est mis en place en masquant (ou en redressant) un lien avec une superposition qui incite l’utilisateur à faire quelque chose de différent de ce qu’il pense.
La plupart des utilisateurs de réseaux sociaux apprécient la commodité de rester connectés à tout moment. Les attaquants pourraient facilement profiter de cette habitude pour forcer les utilisateurs à aimer ou à suivre quelque chose sans s’en apercevoir. Pour ce faire, un cybercriminel pourrait placer un bouton tentant – par exemple, avec un texte attrayant, tel que « iPhone gratuit – offre à durée limitée » – sur sa propre page Web et y superposer un cadre invisible avec la page du réseau social, de telle sorte de manière à ce qu’un bouton « J’aime » ou « Partager » se trouve sur le bouton iPhone gratuit.
Cette simple astuce de détournement de clics peut forcer les utilisateurs de Facebook à aimer des groupes ou des pages de fans sans le savoir.
Le scénario décrit est assez innocent, dans le sens où la seule conséquence pour la victime est d’être ajoutée à un groupe de réseau social. Mais avec un effort supplémentaire, la même technique pourrait être utilisée pour déterminer si un utilisateur est connecté à son compte bancaire et, au lieu d’aimer ou de partager un élément de réseau social, il pourrait être obligé de cliquer sur un bouton qui transfère des fonds vers le compte d’un attaquant, par exemple. Le pire, c’est que l’action malveillante est introuvable, car l’utilisateur était légitimement connecté à son compte bancaire, et il a volontairement cliqué sur le bouton de transfert.
Parce que la plupart des techniques de détournement de clic nécessitent une ingénierie sociale, les réseaux sociaux deviennent des vecteurs d’attaque idéaux.
Voyons comment ils sont utilisés.
Table des matières
Le détournement de clic sur Twitter
Il y a une dizaine d’années, le réseau social Twitter subissait une attaque massive qui diffusait rapidement un message, ce qui amenait les utilisateurs à cliquer sur un lien, profitant de leur curiosité naturelle.
Les tweets contenant le texte « Ne cliquez pas », suivi d’un lien, se sont propagés rapidement sur des milliers de comptes Twitter. Lorsque les utilisateurs ont cliqué sur le lien, puis sur un bouton apparemment innocent sur la page cible, un tweet a été envoyé depuis leurs comptes. Ce tweet comprenait le texte « Ne cliquez pas », suivi du lien malveillant.
Les ingénieurs de Twitter ont corrigé l’attaque de détournement de clic peu de temps après son lancement. L’attaque elle-même s’est avérée inoffensive et a fonctionné comme une alarme indiquant les risques potentiels liés aux initiatives de détournement de clic sur Twitter. Le lien malveillant a dirigé l’utilisateur vers une page Web avec une iframe masquée. À l’intérieur du cadre se trouvait un bouton invisible qui envoyait le tweet malveillant depuis le compte de la victime.
Le détournement de clic sur Facebook
Les utilisateurs de l’application mobile Facebook sont exposés à un bogue qui permet aux spammeurs de publier du contenu cliquable sur leur fil d’actualité, sans leur consentement. Le bogue a été découvert par un professionnel de la sécurité qui analysait une campagne de spam. L’expert a observé que plusieurs de ses contacts publiaient un lien vers une page avec des images amusantes. Avant d’accéder aux images, les internautes étaient invités à cliquer sur une déclaration de majorité.
Ce qu’ils ne savaient pas, c’est que la déclaration était sous un cadre invisible.
Lorsque les utilisateurs ont accepté la déclaration, ils ont été dirigés vers une page avec des images amusantes. Mais entre-temps, le lien a été publié dans la chronologie Facebook des utilisateurs. Cela a été possible car le composant de navigateur Web de l’application Facebook pour Android n’est pas compatible avec les en-têtes d’options de cadre (nous expliquons ci-dessous ce qu’ils sont) et permet donc la superposition de cadres malveillants.
Facebook ne reconnaît pas le problème comme un bogue car il n’a aucun impact sur l’intégrité des comptes des utilisateurs. Il n’est donc pas certain qu’il soit réparé un jour.
Clickjacking sur les réseaux sociaux secondaires
Il n’y a pas que Twitter et Facebook. D’autres réseaux sociaux et plateformes de blogs moins populaires présentent également des vulnérabilités qui permettent le détournement de clics. LinkedIn, par exemple, avait une faille qui ouvrait la porte aux attaquants pour inciter les utilisateurs à partager et à publier des liens en leur nom, mais sans leur consentement. Avant qu’elle ne soit corrigée, la faille permettait aux attaquants de charger la page LinkedIn ShareArticle sur un cadre caché et de superposer ce cadre sur des pages avec des liens ou des boutons apparemment innocents et attrayants.
Un autre cas est Tumblr, la plate-forme publique de blogs Web. Ce site utilise du code JavaScript pour empêcher le détournement de clic. Mais cette méthode de protection devient inefficace puisque les pages peuvent être isolées dans un cadre HTML5 qui les empêche d’exécuter du code JavaScript. Une technique soigneusement conçue pourrait être utilisée pour voler des mots de passe, combinant la faille mentionnée avec un plugin de navigateur d’aide au mot de passe : en incitant les utilisateurs à taper un faux texte captcha, ils peuvent envoyer par inadvertance leurs mots de passe au site de l’attaquant.
Falsification de requêtes intersites
Une variante de l’attaque par détournement de clic est appelée falsification de requête intersite, ou CSRF en abrégé. Avec l’aide de l’ingénierie sociale, les cybercriminels dirigent les attaques CSRF contre les utilisateurs finaux, les forçant à exécuter des actions indésirables. Le vecteur d’attaque peut être un lien envoyé par e-mail ou chat.
Les attaques CSRF n’ont pas l’intention de voler les données de l’utilisateur car l’attaquant ne peut pas voir la réponse à la fausse requête. Au lieu de cela, les attaques ciblent les demandes de changement d’état, comme un changement de mot de passe ou un transfert de fonds. Si la victime dispose de privilèges administratifs, l’attaque peut potentiellement compromettre une application Web entière.
Une attaque CSRF peut être stockée sur des sites Web vulnérables, en particulier des sites Web présentant des « failles CSRF stockées ». Cela peut être accompli en saisissant des balises IMG ou IFRAME dans des champs de saisie qui seront ensuite affichés sur une page, tels que des commentaires ou une page de résultats de recherche.
Empêcher les attaques de cadrage
Les navigateurs modernes peuvent savoir si une ressource particulière est autorisée ou non à se charger dans un cadre. Ils peuvent également choisir de charger une ressource dans un cadre uniquement lorsque la demande provient du même site que celui où se trouve l’utilisateur. De cette façon, les utilisateurs ne peuvent pas être amenés à cliquer sur des cadres invisibles avec du contenu provenant d’autres sites, et leurs clics ne sont pas détournés.
Les techniques d’atténuation côté client sont appelées frame busting ou frame killing. Bien qu’ils puissent être efficaces dans certains cas, ils peuvent aussi être facilement contournés. C’est pourquoi les méthodes côté client ne sont pas considérées comme les meilleures pratiques. Au lieu de casser les images, les experts en sécurité recommandent des méthodes côté serveur telles que X-Frame-Options (XFO) ou des méthodes plus récentes, telles que Content Security Policy.
X-Frame-Options est un en-tête de réponse que les serveurs Web incluent sur les pages Web pour indiquer si un navigateur est autorisé ou non à afficher son contenu dans un cadre.
L’en-tête X-Frame-Option autorise trois valeurs.
- DENY, qui interdit d’afficher la page dans un cadre
- SAMEORIGIN, qui permet d’afficher la page dans un cadre, tant qu’elle reste dans le même domaine
- ALLOW-FROM URI, qui permet l’affichage de la page dans un cadre mais uniquement dans un URI (Uniform Resource Identifier) spécifié, par exemple, uniquement dans une page Web particulière et spécifique.
Les méthodes anti-clickjacking plus récentes incluent la politique de sécurité du contenu (CSP) avec la directive frame-ancestors. Cette option est largement utilisée dans le remplacement de XFO. L’un des principaux avantages de CSP par rapport à XFO est qu’il permet à un serveur Web d’autoriser plusieurs domaines à encadrer son contenu. Cependant, il n’est pas encore supporté par tous les navigateurs.
La directive frame-ancestors de CSP admet trois types de valeurs : « none », pour empêcher tout domaine d’afficher le contenu ; ‘self’, pour autoriser uniquement le site actuel à afficher le contenu dans un cadre, ou une liste d’URL avec des caractères génériques, comme ‘*.some site.com,’ ‘https://www.example.com/index.html,’ etc., pour autoriser uniquement le cadrage sur toute page correspondant à un élément de la liste.
Comment se protéger contre le détournement de clic
Il est pratique de rester connecté à un réseau social tout en naviguant, mais si vous le faites, vous devez être prudent avec vos clics. Vous devez également faire attention aux sites que vous visitez car tous ne prennent pas les mesures nécessaires pour empêcher le détournement de clics. Si vous n’êtes pas sûr d’un site Web que vous visitez, vous ne devez pas cliquer sur un clic suspect, aussi tentant soit-il.
Une autre chose à laquelle il faut faire attention est la version de votre navigateur. Même si un site utilise tous les en-têtes de prévention du détournement de clics que nous avons mentionnés précédemment, tous les navigateurs ne les prennent pas tous en charge, alors assurez-vous d’utiliser la dernière version que vous pouvez obtenir et qu’elle prend en charge les fonctionnalités anti-clicjacking.
Le bon sens est un dispositif d’autoprotection efficace contre le clickjacking. Lorsque vous voyez un contenu inhabituel, y compris un lien posté par un ami sur n’importe quel réseau social, avant de faire quoi que ce soit, vous devez vous demander si c’est le type de contenu que votre ami publierait. Si ce n’est pas le cas, vous devez avertir votre ami qu’il a pu être victime de détournement de clic.
Un dernier conseil : si vous êtes un influenceur, ou si vous avez juste un très grand nombre de followers ou d’amis sur n’importe quel réseau social, vous devez redoubler de précautions et adopter un comportement responsable en ligne. Parce que si vous devenez une victime de détournement de clic, l’attaque finira par affecter un grand nombre de personnes.