Voici le clickjacking que Facebook ne corrigera pas

Publié le

Savez-vous ce qu’est le clickjacking ? En français, on traduirait ce terme par « détournement de clic ». Il s’agit d’une technique consistant à récupérer les données d’utilisateurs en dirigeant leur clic sur un élément donné tout en leur faisant croire qu’ils sont sur des pages sécurisées. Sur Facebook, les pages de ce type sont nombreuses et il est parfois difficile de les différencier. C’est justement ce qu’un professionnel de la sécurité a expliqué au site Bleeping Computer.

De la publication de contenu sans l’autorisation de l’utilisateur

Le chercheur en sécurité en question a constaté qu’une campagne de spam sévissait en France, principalement sur Facebook Android. Les utilisateurs étaient invités à cliquer sur un lien pour accéder à du contenu amusant et devaient déclarer qu’ils étaient âgés d’au moins 16 ans.

Facebook Spam

Une fois cette formalité acceptée, ils arrivaient bel et bien sur les images drôles promises (accompagnées de beaucoup de publicités) mais, en contrepartie, le lien sur lequel l’utilisateur avait cliqué était posté en public sur son mur sans validation au préalable. En clair, on met un leurre (ici les images amusantes) pour attirer l’utilisateur tandis que d’autres actions sont effectuées en parallèle par la personne qui diffuse le spam.

Pour arriver à poster du contenu sans le consentement de l’utilisateur, la page cible contient une balise iFrame située dans l’en-tête et celle-ci n’est pas lue par le navigateur web intégré à Facebook Android. De ce fait, la balise iFrame donnait l’ordre de partager le lien, ce qui était fait dans la foulée. Si la même opération était effectuée à partir d’un navigateur Windows ou Mac, la demande était bloquée.

Facebook Spam

Une demande qui n’intéresse pas Facebook

Le chercheur en sécurité a rapidement exposé sa trouvaille au réseau social. Ce dernier n’a pas jugé qu’il s’agissait d’un problème car cela ne modifiait pas l’intégrité du compte, par exemple en changeant les paramètres de l’utilisateur.

La réponse reste intrigante quand on sait à quel point un lien dangereux peut faire des victimes : « Imaginez à quel point un lien vers un document malveillant ou un site d’hameçonnage peut causer des dégâts lorsqu’il est partagé par une personne connue avec des milliers de personnes » explique l’expert en sécurité. Par sûr que cela fasse réagir Facebook…

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet