Quand Flash permet de vous espionner
Par Clochix le dimanche 12 octobre 2008, 23:17 - Technoweb - Lien permanent
Les milieux de la sécurité bruissent depuis quelques semaines de rumeurs à propos d'une nouvelle attaque par clickjacking. Les détails en auraient été transmis aux acteurs concernés et ne seraient révélés qu'après correction. On en a enfin su un peu plus cet semaine: l'attaque permet d'utiliser Flash pour vous espionner à votre insu via votre webcam.
Adobe a confirmé le danger il y a quelques jours, le qualifiant de critique.
Cette faille a été découverte par Robert Hansen et Jeremiah Grossman qui devaient la révéler lors d'une conférence en septembre. A la demande d'Adobe, ils ont annulé leur conférence le temps qu'une parade soit trouvée, mais cette annulation a bien sûr alimenté la rumeur.
La publication d'une petit jeu en JavaScript prouvant la faille[1] dimanche dernier les a finalement incités à en révéler un peu plus.
Le principe d'une attaque par clickjacking est d'inciter l'utilisateur à cliquer sur un lien ou un bouton en lui faisant croire qu'il est offensif. De multiples techniques permettent ce vol de clic, en utilisant des iframes ou JavaScript par exemple. Elles sont très dangereuses, puisque ce clic que vous faites sans le savoir peut par exemple déclencher un virement depuis votre compte en banque, la modification des paramètres de votre modem, une suppression de vos mails ou, comme ici, l'utilisation de votre webcam pour vous regarder. Dans leur billet, Robert Hansen et Jeremiah Grossman décrivent huits méthodes d'attaque possibles.
Pour comprendre la principe de cette attaque particulière, regardez cette vidéo. Elle utilise le gestionnaire de préférences du player Flash[2] On ouvre le gestionnaire de préférences dans une iframe que l'on masque en positionnant au dessus un div. On incite alors l'utilisateur à cliquer à divers endroits dans cette div, et au moment du clic, on modifie subrepticement l'empilement pour que l'utilisateur clique en fait sur des réglages de Flash qui activent la webcam.
Adobe a semble-t-il corrigé le problème, en interdisant l'ouverture du gestionnaire de préférences dans une iframe.
Une solution pour se protéger contre ce type d'attaques est d'utiliser NoScript. C'est une des extensions Firefox les plus populaires. Elle permet de contrôler finement l'exécution de scripts, d'applets Java, d'animations Flash, etc. Aussitôt le problème connu, elle a été mise à jour pour le corriger. Elle serait à présent capable de détecter lorsque vous risquez de cliquer sur autre chose que ce sur quoi vous croyez le faire, et de vous demander confirmation.
Accessoirement, une autre protection est de systématiquement penser à vous déconnecter lorsque vous avez fini d'utiliser une application web quelconque, Fermer l'onglet ne suffit pas, il faut vous déconnecter, ce qui à priori supprime les cookies et évite qu'un site web malicieux n'arrive à récupérer votre session.
A priori, les internautes qui n'ont pas installé le lecteur Flash, qui lui préfèrent Gnash ou des navigateurs en mode texte, ou qui n'ont pas de webcam, ne sont pas concernés. Vous ne risquez donc pas de sitôt de me voir :-).
Accessoirement et à propos de webcams, Brad Lassey, un des développeurs de Fennec (la version de Firefox pour mobiles) a proposé d'ajouter aux formulaires en HTML 5 une balise permettant d'insérer une photo ou une vidéo prise avec la webcam, celle-ci étant gérée directement par le navigateur. Espérons que si sa proposition est retenue, les implémentations seront sécurisé.