











Espionner les internautes du monde entier en allumant leur webcam à leur insu : ce n'est plus un rêve de hacker, mais une possibilité. Des experts en sécurité ont en effet découvert une nouvelle méthode de piratage, le détournement de clic (ou clickjacking), à laquelle les navigateurs et le lecteur vidéo Flash d'Adobe seraient vulnérables.
Exploitée par de mauvaises mains, cette technique permettrait notamment de déclencher à distance la caméra et le micro d'un internaute. Aucune attaque de ce type n'a encore eu lieu, mais Adobe a pris les devants en émettant une alerte de sécurité le 7 octobre dernier.
Le clickjacking a été mis en évidence par des dirigeants des sociétés de sécurité SecTheory et WhiteHat Security. Le procédé consiste à attirer un internaute sur un contenu malicieux capable d'interagir avec sa souris sans qu'il s'en aperçoive. La plupart des navigateurs sont vulnérables à ce type d'attaque, au même titre que Flash Player.
Dans le cas du logiciel d'Adobe, un clickjacker pourrait tout à fait changer ses paramètres pendant que l'internaute est en train de regarder une vidéo Flash sur le Web. Un simple clic droit sur une fenêtre de lecture Flash suffit en effet pour autoriser l'accès d'une application Web à la webcam et au micro de l'utilisateur (voir capture ci-dessous).
Les découvreurs du clickjacking, qui devaient faire part de leur trouvaille lors d'une conférence, ont accepté de reporter leur présentation le temps qu'Adobe prenne ses dispositions ; au grand soulagement de l'éditeur. Depuis, ces informations ont été rendues publiques, bien qu'aucun correctif ne soit encore disponible pour Flash Player. Il faudra attendre l'arrivée de sa version 10.
En attendant, Adobe donne sur son bulletin de sécurité la marche à suivre pour être sûr de ne pas voir sa webcam se transformer en Big Brother. Il s'agit simplement de désactiver par défaut toute demande de contrôle d'accès. Affaire classée pour les webcams, mais nul doute que le clickjacking va doper l'imagination des hackers dans les mois à venir…















