Adobe vient de publier une méthode pour permettre aux internautes d'éviter d'être victime d'un style d'attaque particulier : le clickjacking.
Jeremiah Grossman, Chef des opérations techniques de Whitman Security explique que le clickjacking est est un procédé par lequel le hacker trompe l'utilisateur en le faisant cliquer sur un élément de la page à peine visible. Le hacker place un objet malicieux dans le code HTML de la page et, pour que cet objet puisse être cliquable, il rajoute un cadre ou un bouton en Flash, JavaScript ou Silverlight. Certaines pratiques du clickjacking font usage d'une feuille CSS particulière ou d'un cadre en Ajax pour déguiser leur piège.
Adobe informe donc qu'il faut se rendre dans les paramètres du lecteur Flash Player pour choisir l'option Toujours refuser afin que le site Internet ne puisse accéder à votre webcam ou votre microphone.
D'ailleurs, Guy Aharonovsky a publié une vidéo de démonstration dans laquelle il simule une page truquée qui prend le contrôle de la webcam de l'utilisateur. Le clickjacking concerne une large majorité d'internautes puisqu'il est potentiellement dangeruex pour les utilisateurs d'Internet Explorer, de Firefox, d'Opera, de Safari, et de Google Chrome. les utilisateur de Firefox peuvent cependant installer le plug-in NoScript et le régler pour que les iframes soient bloqués.
Grossman conclut : « le clickjacking est un problème très connu mais largement sous estimé et bien réel ».