Blocs d'extension Firefox Attaque Web dangereuse

NoScript est une petite application qui s'intègre à Firefox. Il bloque l'exécution de scripts dans des langages de programmation tels que JavaScript et Java sur des pages Web non fiables. Les scripts pourraient être utilisés pour lancer une attaque sur un PC.

La dernière version de NoScript, la version 1.8.2.1, arrêtera le "clickjacking", où une personne naviguant sur le Web clique sur un lien invisible et malveillant sans le réalisant, a déclaré Giorgio Maone, un chercheur de sécurité italien qui a écrit et maintient le programme.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Clickjacking est connu depuis plusieurs années mais attire à nouveau l'attention après Deux chercheurs en sécurité, Robert Hansen et Jeremiah Grossman, ont mis en garde le mois dernier contre de nouveaux scénarios susceptibles de compromettre la vie privée d'une personne ou, pire encore, de voler de l'argent sur un compte bancaire. permet aux sites Web d'intégrer du contenu à partir d'autres pages Web, a déclaré Maone. Presque tous les navigateurs Web sont vulnérables à une attaque par détournement de clics.

«C'est une chose très difficile à réparer car cela fait partie du tissu même du Web et du navigateur», explique Maone.

une personne peut encore interagir sans le savoir avec elle. Une attaque clickjacking en tire profit en incitant un utilisateur à cliquer sur un bouton qui semble fonctionner mais en fait quelque chose de complètement différent.

Clickjacking peut également être accompli en manipulant les plug-ins d'autres applications, comme Adobe Programme Flash et Microsoft Silverlight. Par exemple, les chercheurs de ces derniers jours ont montré qu'il est possible qu'une attaque par détournement de clics déclenche à leur insu la caméra Web et le microphone d'une personne.

Dans un avis publié mardi, Adobe émettra un correctif pour Flash d'ici la fin de Le mois.

La nouvelle amélioration de NoScript, appelée ClearClick, permet de détecter s'il existe un élément caché et incorporé dans la page Web. Il affiche ensuite un message d'avertissement demandant à l'utilisateur s'il veut toujours cliquer dessus.

Maone a déclaré que ClearClick arrêterait probablement toutes les tentatives de détournement de clic. NoScript est uniquement pour le navigateur Firefox, donc les utilisateurs de Microsoft Internet Explorer - le navigateur le plus utilisé dans le monde - sont vulnérables.

Les propriétaires de sites Web peuvent cependant prendre une mesure pour empêcher leurs utilisateurs d'être victimes, Maone a dit. Les programmeurs peuvent utiliser un script sur leurs sites Web pour vérifier si une page Web est incorporée dans une autre page. Si c'est le cas, le script force la bonne page Web en avant, empêchant le détournement de clics, dit Maone.

La technique est appelée "framebusting". Le service de paiement en ligne d'Ebay, PayPal, qui est fréquemment pris pour cible par les cybercriminels, a déjà mis en place un système de tramage, a expliqué Maone. NoScript va permettre l'exécution d'un script de framebusting, dit Maone.

"La meilleure chose qui puisse arriver est que les propriétaires de sites Web commencent à réfléchir plus attentivement à la sécurité", a déclaré Maone. «Il est important que les propriétaires de sites Web transmettent le message qu'ils devraient mettre en œuvre le« framebusting ».

Clickjacking est un problème sérieux et potentiellement à long terme pour les développeurs de navigateurs. Étant donné que l'attaque est activée par une fonctionnalité HTML, elle nécessite des modifications de la spécification HTML

Les groupes de normes Web travaillent actuellement sur HTML 5, une spécification qui incorporera de nouvelles fonctionnalités dans le langage de programmation. Maone a dit: