Blog

Les codeurs conquièrent la sécurité : Série "Partager et apprendre" - Le détournement de clics

Jaap Karan Singh
Publié le 14 février 2019

Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.

Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?

Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.

Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :

Comprendre le détournement de clics

Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.

Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.

Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.

Pourquoi le détournement de clics est dangereux

Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.

Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.

Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.

Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.

L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.

Comment vaincre le détournement de clics

Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.

  • "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
  • "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
  • "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>

Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.

  • DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
  • SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
  • ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>

Ne vous faites pas pirater

Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.

Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.

Voir la ressource
Voir la ressource

Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 14 février 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.

Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?

Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.

Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :

Comprendre le détournement de clics

Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.

Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.

Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.

Pourquoi le détournement de clics est dangereux

Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.

Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.

Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.

Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.

L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.

Comment vaincre le détournement de clics

Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.

  • "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
  • "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
  • "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>

Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.

  • DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
  • SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
  • ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>

Ne vous faites pas pirater

Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.

Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.

Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?

Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.

Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :

Comprendre le détournement de clics

Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.

Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.

Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.

Pourquoi le détournement de clics est dangereux

Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.

Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.

Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.

Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.

L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.

Comment vaincre le détournement de clics

Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.

  • "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
  • "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
  • "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>

Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.

  • DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
  • SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
  • ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>

Ne vous faites pas pirater

Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.

Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 14 février 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.

Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?

Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.

Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :

Comprendre le détournement de clics

Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.

Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.

Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.

Pourquoi le détournement de clics est dangereux

Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.

Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.

Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.

Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.

L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.

Comment vaincre le détournement de clics

Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.

  • "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
  • "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
  • "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>

Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.

  • DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
  • SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
  • ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>

Ne vous faites pas pirater

Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.

Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles