Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Le "clickjacking" revient sur le devant de la scène au grand dam d'Adobe


Edition du 17/09/2008 - par david Lentier avec IDG News Service

Après qu'Adobe Systems le leur ait demandé, deux hackers ont décidé de ne pas effectuer la présentation technique dans laquelle ils allaient montrer comment prendre la main sur le navigateur web d'un internaute, via une attaque de type « clickjacking ».

Les deux experts, Robert Hansen et Jeremiah Grossman, devaient s'exprimer la semaine prochaine, lors de la conférence OWASP (Open Web Application Security Project) à New York. Mais le programme qu'ils ont développé pour prouver leurs dires mettait en évidence une faille d'un des produits d'Adobe. Après une semaine de négociations avec Adobe, ils ont finalement décidé vendredi 12 septembre dernier de ne pas faire leur présentation. Bien qu'ils pensent que la faille découverte provienne de la manière dont les navigateurs web sont conçus, Adobe les a convaincu de patienter jusqu'à ce qu'il puisse proposer un correctif.

Dans une attaque par « clickjacking », on amène la victime à cliquer sur des liens dangereux sans qu'elle s'en aperçoive. Il s'agit d'une attaque connue depuis des années, sans qu'elle ait été considérée comme étant spécialement dangereuse. Elle peut servir par exemple pour de la publicité en ligne, de la fraude ou augmenter le taux de pages vues sur un site web.

Mais les deux experts en sécurité se sont rendus compte que les dangers étaient plus élevés que prévu. "Si on peut contrôler là où vous cliquez, jusqu'où peut-on aller ? interroge Jeremiah Grossman. Selon Tom Brennan, organisateur de la conférence OWASP, ce qu'il a vu de la démonstration des deux experts prouvait que l'on pouvait le contrôle complet du PC de la victime.

Quant aux deux experts, ils déclarent qu'ils n'ont pas subi de pression de la part d'Adobe. Lundi, dans la soirée, Adobe a remercié les deux experts et indiqué que la société était en train de chercher un correctif. Robert Hansen et Jeremiah Grossman indiquent que Microsoft devrait également proposer un correctif lié au même bug pour internet explorer.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Europol au coeur du futur système de cyber-alerte européen

L'Europe fait un effort pour centraliser les informations sur la cybercriminalité. Le (...)

Les opérateurs mobiles et la grande distribution expérimenteront le paiement mobile

Les opérateurs télécoms et les acteurs de la grande distribution ont annoncé mardi (...)

Etude mondiale CIO/PWC : la sécurité trop souvent réduite à un problème technique

Menée au niveau mondial par le cabinet PriceWaterHouseCoopers (PWC) en partenariat (...)

Dangers du web : une hotline à l'écoute des parents et des mineurs

La ministre de l'Intérieur Michèle Alliot-Marie, et le Secrétaire d'Etat chargé du (...)

5000 PC contaminés par un vieux virus dans les hôpitaux londoniens

Trois hôpitaux de Londres sont presqu'entièrement de nouveau en ligne, après que (...)

Spam : les soubresauts d'un réseau de PC zombies

Seulement deux semaines après avoir été démantelé, Srizbi, un gros botnet (ou réseau (...)

Symantec joue les infiltrés dans les réseaux de cybercriminels

Le rapport de l'éditeur Symantec décrit une véritable économie planétaire du cybercrime. (...)
Recherche
Sondage flash
Communications unifiées : l'offre à voir en priorité est celle de
Conférences
29/01/2009
JOURNEE TELECOMS : CONVERGENCE ET MOBILITE AU SERVICE DE LA COMPETITIVITE DE L'ENTREPRISE
De 8h30 à 14h00 à l'Automobile Club de France - Paris
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 3 décembre 2008 au mercredi 3 décembre 2008
FTTH 2008 - Télécom Paris Tech Alumni
TELECOM ParisTech, 46 rue Barrault, Paris 13e
en savoir plus
agendatout
l'agenda