Le "clickjacking" revient sur le devant de la scène au grand dam d'Adobe
Après qu'Adobe Systems le leur ait demandé, deux hackers ont décidé de ne pas effectuer la présentation technique dans laquelle ils allaient montrer comment prendre la main sur le navigateur web d'un internaute, via une attaque de type « clickjacking ». Les deux experts, Robert Hansen et Jeremiah Grossman, devaient s'exprimer la semaine prochaine, lors de la conférence OWASP (Open Web Application Security Project) à New York. Mais le programme qu'ils ont développé pour prouver leurs dires mettait en évidence une faille d'un des produits d'Adobe. Après une semaine de négociations avec Adobe, ils ont finalement décidé vendredi 12 septembre dernier de ne pas faire leur présentation. Bien qu'ils pensent que la faille découverte provienne de la manière dont les navigateurs web sont conçus, Adobe les a convaincu de patienter jusqu'à ce qu'il puisse proposer un correctif. Dans une attaque par « clickjacking », on amène la victime à cliquer sur des liens dangereux sans qu'elle s'en aperçoive. Il s'agit d'une attaque connue depuis des années, sans qu'elle ait été considérée comme étant spécialement dangereuse. Elle peut servir par exemple pour de la publicité en ligne, de la fraude ou augmenter le taux de pages vues sur un site web. Mais les deux experts en sécurité se sont rendus compte que les dangers étaient plus élevés que prévu. "Si on peut contrôler là où vous cliquez, jusqu'où peut-on aller ? interroge Jeremiah Grossman. Selon Tom Brennan, organisateur de la conférence OWASP, ce qu'il a vu de la démonstration des deux experts prouvait que l'on pouvait le contrôle complet du PC de la victime. Quant aux deux experts, ils déclarent qu'ils n'ont pas subi de pression de la part d'Adobe. Lundi, dans la soirée, Adobe a remercié les deux experts et indiqué que la société était en train de chercher un correctif. Robert Hansen et Jeremiah Grossman indiquent que Microsoft devrait également proposer un correctif lié au même bug pour internet explorer.
