Le clickjacking, ou l’histoire de la fille qui n’a pas vraiment oublié de fermer sa webcam

9 avril 2014 à 13:08

clickjacking

Une fille qui a laissé sa caméra web allumée, des stars du porno démaquillées, un gars qui s’est vengé (et vous ne devinerez JAMAIS comment): des liens du genre s’affichent surement de temps à autre sur votre page Facebook, généralement parce qu’un de vos amis a été victime de «clickjacking», aussi connu sous le nom de détournement de clic. Présentation d’un phénomène souvent anodin, mais parfois dangereux, qui sévit beaucoup sur les réseaux sociaux.

Le clickjacking est une technique qui fait en sorte qu’un internaute clique sur quelque chose afin d’accomplir une fonction, mais qui en accomplit finalement une autre.

Un exemple de clickjacking sur Facebook
Prenez l’exemple de la photo qui accompagne ce billet par exemple. Un de vos amis aime une page sur Facebook, généralement un article ou une vidéo intrigante, ou carrément aguicheuse.

Si vous cliquez à votre tour sur le lien, celui-ci s’ouvre dans un nouvel onglet, où une alerte (plus ou moins réussie) demande de confirmer que vous avez au moins 13 ans.

clickjacking 2

Un petit «bogue» empêche toutefois de confirmer votre âge pour l’instant. Dès que vous cliquez sur le bouton fermer par contre, une fenêtre intempestive s’ouvre, et vous propose une publicité.

clickjacking 4

De retour sur le site principal, le bouton pour certifier que vous avez bel et bien 13 ans apparait. Vous le cliquez, et l’article s’affiche enfin.

clickjacking5

Sans aucun avertissement, vous aimez maintenant le lien et le site sur Facebook, et vous propagez la bonne nouvelle à votre tour.

clickjacking 6

À quoi ça sert?
Dans l’exemple ci-haut, l’auteur du clickjacking a obtenu trois choses.
1 – Son site est maintenant aimé par une personne de plus (ce qui lui permet de vous envoyer d’autres messages par la suite).
2 – Son article est propagé à travers tous vos contacts.
3 – Au moins une grosse publicité payante a été affichée (en plus de celles sur l’article en question).

La technique pourrait toutefois être utilisée à d’autres escients, pour propager un virus en exploitant une faille de sécurité dans le module Flash, par exemple.

Comment reconnaître le clickjacking?
Il n’existe aucun moyen de reconnaître à 100% une tentative de clickjacking, mais quelques éléments peuvent vous indiquer que vous êtes à risque.

Sur le web en général, tentez d’éviter les sites suspects, les sujets trop racoleurs et les applications web avancées (en Flash, par exemple) dont la fiabilité n’a pas été établie. Par exemple, lancer une vidéo qui n’utilise pas un service connu comme YouTube ou Vimeo pourrait être risqué.

Sur Facebook, si une alerte s’ouvre après que vous ayez cliqué un lien, il s’agit probablement d’une tentative de clickjacking. Fermez votre onglet directement, sans cliquer nulle part sur l’alerte en question.

Contactez ensuite la personne qui vous a envoyé le lien malicieux en question afin qu’elle l’enlève de sa page pour protéger ses autres contacts.