Clickjacking: Une faille à priori détonante...

par Jean-François Audenard

Les informations disponibles sont pour le moment légères. Ce que l'on sait c'est que la présentation  initialement prévue lors de la conférence OWASP AppSec 2008 a été  repoussée pour permettre aux éditeurs de préparer une réponse.

De quoi s'agit-il ?  Ce serait une faille qui concerne tous les navigateurs "modernes" (seuls ceux qui utilisent Lynx ne seraient pas vulnérables) et qui permettrait à un attaquant de faire en sorte que votre navigateur clique sur n'importe quel lien ou bouton de façon automatique et sans action préalable de votre part. Seraient notamment concernés les toutes dernières versions des navigateur Internet Explorer et Firefox. 

Cette faille ne serait pas liée à du code JavaScript mais serait basée sur le DHTML (Dynamic HTML). Si ces informations sont véridiques, c'est clairement de l'or en barre pour les phishers de tout poil...

Quelques liens qui tournent autour du sujet :
ZDNet, Clickjacking: Researchers raise alert for scary new cross-browser exploit
BreakingPoint Labs, Not Clickjacking (Almost Certainly)

Bien évidemment, nous serons amenés à reparler de ce sujet.

publié le 29/09/2008

auteur : Jean-François Audenard (voir la biographie)
Au sein d'Orange Business Services, je suis en charge d'intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : Pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j'aime aller au delà des chantiers battus et faire "bouger les codes". La franchise est ma "touche" et l'optimisme et le volontarisme mes deux moteurs.
Voir la fiche de Jean-François Audenard sur [En] Orange Business Live »
commentaires : 3
trackbacks : 0

3 Commentaires

Vince | 30 septembre 2008 16h00 | répondre

En effet l'information est détonante. Premier réflexe, je reste de marbre, deuxième réflexe, je ferme mon FFX pour ouvrir Lynx.
Après quelques secondes de réflexion (je sais, cela fait beaucoup de réflex* dans la même phrase), je me dis que (a) ou l'on est ici en présence d'une véritable boite de Pandore, (b) ou bien que l'on est le 1er avril, (c) ou enfin que tout ceci sent bon le Hoax.

Vasseur | 30 septembre 2008 18h18 | répondre

Concernant le navigateur Firefox, le problème est-il identique quel que soit le système d'exploitation ( Windows ou Linux )?

Jean-François Audenard | 1 octobre 2008 5h44 | répondre

Sans que cela soit aucunement confirmé, au vu des informations disponibles, cela ne semble pas etre un canular de bas étage. Si la faille se révèle bien réelle, les impacts sont effectivement potentiellement grands...
Pour ce qui concerne les plateforme impactées, pas de précisions en tant que tel : Pas contre ce que l'on sait c'est que c'est "cross-browser" donc il y a des chances que ce soit "cross-platforms"...
Un sujet à suivre...
Merci à tous et bonne journée !

commenter

 
(Utilisez des balises HTML pour mettre en forme vos commentaires)