Clickjacking - un nouveau danger ou un nouveau nom ?
Informations sur la sécurité – Semaine 41, 2008
|
Ce bulletin d’informations intègre des liens pointant vers des sites web externes. Pour permettre la lecture suivie du texte d’origine (ce texte) tous les liens externes s’ouvrent dans une fenêtre de navigation séparée. Nous vous présentons par avance nos excuses si cela vous gêne ou vous irrite. Bien entendu, Norman n’est pas responsable des contenus ou des informations des sites web externes. |
Le problème
Un nouveau nom circule depuis quelques semaines dans les écrits relatifs à la sécurité – le « clickjacking », que l’on pourrait traduire par détournement de clic. Certains organismes de sécurité – ex : US CERT - ainsi que plusieurs agences de presse du web ont reporté cette nouvelle menace, qui était supposée devenir un fléau majeur au cours des semaines suivantes.
Le flou a commencé par l’annulation de l’intervention de Jeremiah Grossman & Robert « Rsnake » Hansen, initialement prévue pour le 24 septembre dans le cadre de la conférence OWASP AppSec 2008 de New-York. Cette intervention était intitulée « Les nouvelles exploitations 0-Day des navigateurs : Le clickjacking - oui, c’est très mal... ». Grossman et Hansen avaient découvert une nouvelle vulnérabilité qui affectait presque tous les navigateurs. Toutefois, cette intervention avait été annulée (reportée) à la demande des éditeurs.
Les messages du 15 septembre postés par Grossman et Hansen à propos de l’annulation de cette intervention sont accessibles ici :
Le clickjacking était succinctement défini ainsi :
« Le Clickjacking permet à un attaquant d’inciter un utilisateur à cliquer sur un élément à peine ou momentanément visible. »
Comme vous le constaterez en consultant les liens ci-dessus, Hansen et Grossman n’ont pas publié beaucoup de détails à propos de la (ou des) vulnérabilité(s).
Apparemment, l’éditeur qui a demandé le report de cette intervention prévue au cours de la conférence était Adobe (mais peut-être y-en avait-il d’autres). L’équipe de réponse aux incidents de sécurité d’Adobe (le PSIRT) a publiquement remercié Grossman et Hansen sur son blog public.
Un débat
Comme on pouvait s’y attendre, le fait que des experts en sécurité aient découvert une vulnérabilité et choisi d’en informer les éditeurs affectés – et non l’ensemble de la communauté Internet – a rouvert le débat général concernant les divulgations. Qu’est-ce qu’une divulgation responsable, avantages et inconvénients, etc.
Certains dilemmes à ce sujet ont déjà été abordés dans les articles Informations sur la sécurité de Norman, voir, par exemple le bulletin de la semaine 40/2002; ils ne font pas l’objet de cet article.
Paroles et spéculation
Les spéculations ont commencé dès la divulgation des informations concernant cette vulnérabilité inter-navigateurs. L’un des problèmes était la rareté des informations spécifiques. Selon Grossman et Hansen :
- « À l’heure actuelle, on peut dire que les personnes utilisant les dernières versions d’Internet Explorer (version 8 comprise) et Firefox 3 sont affectées. » (Grossman)
- « (...) la seule solution est de désactiver les scripts et les modules externes du navigateur. » (Grossman)
- « Nous avons discuté de cette préoccupation majeure avec Microsoft et Mozilla et ils sont d’accords, chacun de leur côté, sur le fait que c’est un problème ardu et qu’il n’y a aucune solution simple en vue pour le moment. (Hansen)
La recherche du terme clickjacking produit quelques centaines de milliers de résultats. Voici quelques liens supplémentaires qui peuvent être utiles pour appréhender l’enjeu. Certains de ces liens suggèrent aussi des méthodes de protection (tout au moins, jusqu’à un certain point) :
- Clickjacking et NoScript - Hackademix.net (par Giorgio Maone, auteur, par exemple, du module NoScript de Firefox)
- Clickjacking et les autres navigateurs (IE, Safari, Chrome, Opera) - HackademixHackademix.net (par Giorgio Maone)
- Mesures contre les vulnérabilités de l’interface utilisateur inhérentes au web actuel - suggestion sur la nature présente/passée du clickjacking et plusieurs propositions pour la résolution du problème (par Michal Zalewski)
- Les chercheurs évaluent les menaces du « clickjacking » - SecurityFocus (par Robert Lemos)
- Cette semaine dans HTML 5 - Épisode 7 - discussion sur le message de Zalewski ci-dessus (par Mark Pilgrim, Google)
- Pas de Clicjacking (c’est presque certain) - quelques exemples intrigants de choses effrayantes autres que (ce que l’auteur croit être) le clickjacking (par Tod Beardsley)
Estimation du danger
Bien entendu, il n’est pas possible de chiffrer le danger représenté par cette vulnérabilité, les informations divulguées étant insuffisantes. De même, personne ne peut estimer le travail impliqué par la fourniture de correctifs destinés aux navigateurs et autres applications affectées par cette vulnérabilité.
Toutefois, les faits connus permettent d’émettre quelques suppositions spéculatives éclairées :
- Le problème affecte une implémentation importante de la conception du navigateur ; il n’est d’ailleurs probablement pas lié à un défaut de conception des navigateurs proprement dits, mais aux fonctionnalités supportées par ces derniers.
- La personne qui surfe n’est pas vulnérable tant qu’elle ne fréquente pas de sites web exploitant cette vulnérabilité. C’est un facteur d’atténuation majeur.
- Malheureusement, de nombreux sites web sont compromis à l’insu de leurs responsables. Il peut donc être très dangereux de consulter un site web compromis, même pour les utilisateurs prudents.
- La résolution de ce problème dans les navigateurs impliquera probablement une refonte majeure.
- Il est possible de renforcer la sécurité du navigateur (plus ou moins, selon le navigateur utilisé). Toutefois, cela entraîne souvent un déclin de la pratique de la navigation et/ou des fonctions disponibles pour l’utilisateur.
D’autres informations seront disponibles
Une chose est certaine à propos du clickjacking : cet article n’est pas le dernier écrit sur ce problème !