Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Le "clickjacking" revient sur le devant de la scène au grand dam d'Adobe


Edition du 17/09/2008 - par david Lentier avec IDG News Service

Après qu'Adobe Systems le leur ait demandé, deux hackers ont décidé de ne pas effectuer la présentation technique dans laquelle ils allaient montrer comment prendre la main sur le navigateur web d'un internaute, via une attaque de type « clickjacking ».

Les deux experts, Robert Hansen et Jeremiah Grossman, devaient s'exprimer la semaine prochaine, lors de la conférence OWASP (Open Web Application Security Project) à New York. Mais le programme qu'ils ont développé pour prouver leurs dires mettait en évidence une faille d'un des produits d'Adobe. Après une semaine de négociations avec Adobe, ils ont finalement décidé vendredi 12 septembre dernier de ne pas faire leur présentation. Bien qu'ils pensent que la faille découverte provienne de la manière dont les navigateurs web sont conçus, Adobe les a convaincu de patienter jusqu'à ce qu'il puisse proposer un correctif.

Dans une attaque par « clickjacking », on amène la victime à cliquer sur des liens dangereux sans qu'elle s'en aperçoive. Il s'agit d'une attaque connue depuis des années, sans qu'elle ait été considérée comme étant spécialement dangereuse. Elle peut servir par exemple pour de la publicité en ligne, de la fraude ou augmenter le taux de pages vues sur un site web.

Mais les deux experts en sécurité se sont rendus compte que les dangers étaient plus élevés que prévu. "Si on peut contrôler là où vous cliquez, jusqu'où peut-on aller ? interroge Jeremiah Grossman. Selon Tom Brennan, organisateur de la conférence OWASP, ce qu'il a vu de la démonstration des deux experts prouvait que l'on pouvait le contrôle complet du PC de la victime.

Quant aux deux experts, ils déclarent qu'ils n'ont pas subi de pression de la part d'Adobe. Lundi, dans la soirée, Adobe a remercié les deux experts et indiqué que la société était en train de chercher un correctif. Robert Hansen et Jeremiah Grossman indiquent que Microsoft devrait également proposer un correctif lié au même bug pour internet explorer.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
SQL-Server : une nouvelle faille signalée par Microsoft

Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée (...)

Selon Aberdeen, la principale vulnérabilité vient des bases de données de l'entreprise

Alors que le périmètre extérieur des réseaux d'entreprises a été considérablement (...)

Une banque russe déploie 20 000 cartes à puce sur des tokens USB afin de sécuriser ses services en ligne

Alfa-Bank opère dans tous les secteurs de la finance, notamment les prêts, les dépôts, (...)

Le groupe laitier Sodiaal dématérialise les factures papier pour les faire circuler

Candia et Sodiaal International ont eu recours aux solutions ReadSoft pour dématérialiser (...)

Cisco signale une dégradation inquiétante de la sécurité des systèmes

Pire que dans les pires scénarios. C'est en substance le constat que Cisco délivre (...)

La lutte contre la fuite d'information manque de maturité

Les outils de DLP (Data Loss Prevention) visent à empêcher la fuite d'informations (...)

Le service courrier de La Poste disponible en ligne

La Poste lance son bureau de poste virtuel via son site Internet. Il qui permet aux (...)
Recherche
Sondage flash
Parmi les nouveaux outils de communication, lequel est le plus important :
Conférences
27/01/2009
JOURNEE TELECOMS : CONVERGENCE ET MOBILITE AU SERVICE DE LA COMPETITIVITE DE L'ENTREPRISE
De 8h30 à 16h00 à l'Automobile Club de France - Paris
  s'inscrire
conférencestoutes les
conférences
Agenda
Du jeudi 22 janvier 2009 au jeudi 22 janvier 2009
Les RIA, nouvel internet pour l'économie numérique
Paris
en savoir plus
agendatout
l'agenda