Le clickjacking est un mot actuellement très à la mode chez les experts de la sécurité informatique et nombre d'entre eux avancent que l'ensemble des navigateurs Web sont vulnérables à ce type d'attaque.Si pour certains experts en sécurité informatique, le clickjacking que l'on pourrait traduire par détournement de clic n'est pas une menace réellement nouvelle, ils s'accordent presque tous à dire qu'il s'agit probablement là de l'une des techniques qui va faire fureur auprès des cybercriminels.

Il faut dire qu'il y a de quoi spéculer et nourrir l'inconscient collectif puisque fin septembre, deux chercheurs en sécurité informatique qui devaient faire part de leurs trouvailles à ce sujet dans le cadre de la conférence OWASP 2008 de New York, ont finalement fait machine arrière à la dernière minute afin de donner le temps nécessaire aux éditeurs... de prendre les devants. Largement suffisant pour semer le trouble avec une menace présentée comme affectant toutes les plateformes et tous les navigateurs Web.

Depuis, quelques jours se sont écoulés, et c'est Adobe qui vient de donner l'alerte suite à la publication d'une démonstration mettant en lumière la menace clickjacking, du moins sous l'une de ses formes. Guy Aharonovky propose ainsi une sorte de jeu en JavaScript où l'utilisateur doit cliquer sur un objet mais sans s'en douter, ses clics sont détournés pour modifier ses paramètres Flash Player afin de permettre à un tiers d'accéder à son microphone et à sa webcam. Petit tour de magie obtenu via une IFrame superposée qui reste dans l'ombre en étant totalement invisible pour l'utilisateur, qui interagit à son insu avec Adobe Flash Player Settings Manager. La preuve dans la vidéo ci-dessous.