ClickJacking

ClickJacking avec un problème d'encodage. Les navigateurs et antivirus impuissants fassent à cette menace où seul le raisonnement nous aide.
  • Supprimer les virus
Ajouter un commentaire

Ce tutoriel est le second d’une série portant sur la sécurité informatique. Son but est à titre exclusivement pédagogique. Il a pour but de vous montrer comment bien coder/se protéger et vous informer des risques. En aucun cas l’auteur de ce tutoriel, les membres de l’équipe du site SHZ ne pourraient être tenu responsable de vos actes. Nous nous dégageons de toute responsabilité. Lien vers le premier article : https://www.security-helpzone.com/2017/02/17/faille-xss-kesako/

google_Faille_encodage
google_Faille_encodage

Qu’est-ce qu’un Hijacker ?

Un Hijacker désigne au sens propre un pirate. Il est généralement utilisé dans l’informatique pour désigner un programme modifiant les paramètres du navigateurs (page d’accueil, proxy, moteur de recherche, redirection de page lors de la recherche) à l’insu de l’utilisateur.  Son but est de généré des vues sur des sites de façon « artificiel » afin de gagner de l’argent. On peut le nommer Web Hijacker (pirate de navigateur).

Vous remarquerez qu’ici il est question d’un logiciel, son cousin le Click Jacking fonctionne sur la même idéologie.

Qu’est-ce qu’un ClickJacking du coup ?

Cette technique vise à pousser l’internaute à cliquer sur des liens (frauduleux le plus souvent) pour diverse raisons (référencement, installation de programme malveillant, génération de vues).

Bref la liste est longue mais vous devez savoir qu’un site utilisant cette technique n’est pas forcément malveillant (enfin bon c’est pas très cool quand même de sa part).

Des exemples de ClickJacking ou « détournement de click » ?

Vu que je pense que c’est encore flou pour la plupart d’entre vous, voici des exemples d’utilisations : Sur un site de streaming, généralement lorsque vous cliquez sur le bouton Play, plusieurs pages s’ouvrent, certaines malveillantes d’autres non. Vous retrouverez souvent des pubs pour le jeu elvnar par exemple. Mais est-ce réellement de sa faute ? Non, ce sont les gens qui ont mis le système en place qui sont en tords.

Sur Androïde, à une époque vous pouviez cacher des liens de pub sous des boutons dans les jeux. Désormais Google a adopté une politique très stricte concernant ceci afin de limiter son utilisation.

Ici, l’idée est de générer des vues pour gagner de l’argent mais vous pouvez également avoir du ClickJacking depuis Google (voir photo tout en haut).

Sur la photo ci-dessus, vous pouvez-voir deux méthodes de ClickJacking. La première et aussi la plus visible est celle que je vous ai encadré en jaune. Ces caractères bizarres sont le fruit d’un problème de gestion de l’encodage avec des caractères de la langue Thaï.
En l’occurrence le caractère « ç » traduit en Thaï (avec Google Traduction) donne ceci :

ç_thai
ç_thai

Or convertit en UTF8 cela donne le caractère :

ç_thai_UTF8
ç_thai_UTF8

Le problème c’est que les navigateurs actuels n’arrivent pas à afficher correctement ce caractère. Ils vont afficher une sorte de ligne (droite pour Internet Explorer & Edge, penchée pour Chrome, Firefox a lui corrigé cette faille).

Notez qu’Internet Explorer & Edge semble mieux protéger que Chrome car je dois rajouter un caractère Thaï pour afficher le caractère souhaité et que Firefox lui est patché contre ça.

Voyez par vous-même :

Démonstration_sur_navigateurs
Démonstration_sur_navigateurs

Pour vous expliquer le code, c’est juste une simple page html avec une balise paragraphe où je mets le caractère « ç » pour la V1. Pour la V2, j’ai rajouté le code du caractère « les » en Thaï, cela rend Internet Explorer et Edge vulnérable.

A quoi ça sert au juste ?

Bon, vu comme cela n’est pas très utile mais si j’incère code dans la balise méta description, et que votre page est en bas de page dans un moteur comme celui de Google, vous verrez un trait remonter jusqu’en haut de la page.

Cela va attirer votre attention et possiblement votre Click. Un moyen efficace de gagner du référencement (plus de visite sur le site), d’infecter votre ordinateur ou de vous arnaquer. Imaginer que le site contienne une charge malveillante, ou que ce soit une copie d’un site grandement visiter qui vous demande vos données bancaires (du fishing).

Est-ce réellement si puissant ?

La réponse est oui ! Un antivirus ne détectera pas cette menace car en soit n’est pas malveillant. D’ailleurs je vous ai dit qu’il y avait 2 ClickJacking sur la photo tout en haut. Je ne vous ai parlé que d’une d’entre elle mais vous remarquerez deux icônes verts qui attirent votre attention.

Qui est concerné par ce problème ?

A vrais dire seulement vous. Un antivirus n’inclura pas cela dans ces détections, Google peut au mieux pénaliser cette méthode car elle n’est pas « loyale » (typiquement ce qu’elle avait fait avec l’achat de référencement de lien). Quand aux navigateurs, c’est plus vers eux qu’ils fraudaient se tourner. Firefox ayant déjà fait le nécessaire depuis un moment, ne reste qu’à Google et Microsoft de faire le nécessaire.

Je vous joint une archive reprenant les fichier html de la V1 et V2 à titre informatif.

Faille_Encodage

Article publié le

Dernière modification le

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.