mercredi 15 octobre 2008

Un exemple de sécurite informatique visualisable


J'aborde peu le thème de la sécurité informatique dans ce blog, car les sujets sont complexes et je risquerais de dériver de l'objectif central de ces contenus : répondre aux questions de mon entourage et banaliser les sujets traités.

Depuis quelques semaines, le terme clickjacking est omniprésent dans ce monde de la sécurité informatique et je peux aborder le sujet ici car pour une fois, il est visuel.

Le principe banalisé est :
  • Il est possible pour une personne qui a un minimum de connaissances en informatique, de faire une page web principale et aussi de mettre derrière celle-ci une autre page web que vous ne voyez pas.
  • Si cette personne met par exemple un jeu ou une animation dans une page web principale, il peut vous amené à cliquer à des endroits précis.
  • En jouant à ce jeu, vous allez cliquer sur la page qui est cachée et presser sur ses boutons sans vous en rendre compte.
Démonstration à travers un jeu :
Lorsque vous regardez une vidéo sur Internet, la technologie qui est utilisée se nomme Adobe Flash et en plus d'afficher, elle peut aussi servir à utiliser les appareils de votre ordinateur comme votre webcam (petite caméra). Afin d'éviter de mauvaise surprise, avant d'allumer la webcam, il vous est demandé une autorisation d'utilisation dans un panneau de configuration que vous voyez ici.

Trêve de palabres, vous trouverez ci-dessous une vidéo réalisée par Guy Aharonovsky décrivant une réalisation basée sur ce principe. Il a créé un jeu en technologie flash et sous celui-ci, il y a la page d'autorisation avec des boutons qui allume votre caméra et vous filme. En conclusion, si vous aviez joué, vous auriez pensé cliquer à différent endroits, mais en réalité vous auriez allumé votre caméra.
Cette démonstration ne marche plus, car le technologie flash a été corrigée, mais vous êtes désormais un peu plus éclairé.



En plus des résumés réalisés par des journalistes du domaine, les deux experts qui ont mis en avant cette possibilité ont publié leurs explications (Jeremiah Grossman, ha.ckers.org) et avaient fait déjà introduit le sujet au Owasp5005. D'ailleurs, ces derniers ont laissé suffisamment de temps à la société Adobe qui développe la technologie flash, pour corriger le problème.
Maintenant, vous pouvez imaginer un scénario basée sur ce problème avec le site de votre banque. En y pensant vous réaliserez qu'il est difficilement réalisable car aujourd'hui les sites web sont bien pensés et il vous est demandé d'entrer de nouveau votre mot de passe avant de réaliser une action de virement de fond.
  • Vous êtes connecté sur le site et consultez votre compte.
  • Vous avez reçu un lien par mail ou autre et vous cliquez dessus,
  • Une page apparait, et il y a un jeu auquel vous jouez,
  • En fait en cliquant, vous être en train de faire une opération sur votre compte.

Une autre démonstration interactive
Je fais référence ici à votre banque, car vous y serez plus sensible, mais par exemple vous pouvez aussi regarder ici la démonstration réalisée par planb-security, même si elle a déjà vieillie. Vous comprendrez que dans la page principale on peut mettre du texte ou de la couleur pour changer la page en arrière qui est celle du site myspace (Pressez sur les liens Click Here).
Des photos prises à la réalisation de la démonstration montrent que l'objectif était de changer les libellés des boutons.

Enfin si vous avez un compte Twitter, vous pouvez essayer la démonstration proposée ici par Aviv Raff.

Quels problèmes (vulnérabilités) ne sont pas corrigés ?
Si vous désirez avoir plus détail regardez "Clickjacking Details" qui liste l'ensemble des vulnérabilités non corrigées dans les navigateurs.

Comment se protéger
Si vous utilisez le navigateur Firefox et êtes une personne mécanique alors vous pouvez essayer d'installer le module complémentaire NoScript. Celui contient diverse protection dont une pour prévenir de la vulnérabilité pré décrite.
Mais franchement, ce module demande régulièrement votre accord de confiance aux sites web et tout ceci dépasse la plupart des communs des mortelles.

La démarche à suivre lorsque que vous allez utiliser un site web contenant des données sensibles (banque, site e-commerce, site contenant vos données personnelles, etc.) est :
  • Ouvrez votre navigateur
  • Supprimez tous les cookies
  • Tapez le site web ou vous voulez aller à la main
  • faites vos opérations
  • Supprimez les cookies et votre historique

Sources :
Zero Day : Webcam hijack demo highlights clickjacking threat
Jeremiah Grossman: Clickjacking: Web pages can see and hear you
ha.ckers.org : Robert Hansen (Rsnake) Clickjacking Details
Sectheory : Robert Hansen et Jeremiah Grossman : Clickjacking
guya.net : Malicious camera spying using ClickJacking
Macromedia : Panneau Paramètres de contrôle de l'accès des sites
Planb-security : Real Clickjacking?
Raffon : Aviv Raff. Demo sur twitter
Owasp5005 : J. Grossman/R. Hansen - New Zero-Day Browser Exploits -ClickJacking
NoScript : Protection supplémentaire pour votre Firefox!