Un pirate pourrait vous espionner via votre webcam et votre microphone. Et vous leur avez permis cet accès. Voici comment.

Vous ouvrez un site pour regarder une vidéo. Assez innocent, non? Mais en cliquant simplement sur un bouton, un cyberattaquant pourrait avoir accès à votre caméra et à votre microphone. Ils pourraient vous observer sans même que vous le sachiez. Il s'agit d'une forme d'attaque appelée clickjacking.

Alors qu'est-ce que cela signifie réellement? Comment fonctionne le détournement de clic? Et comment pouvez-vous vous protéger?

Qu'est-ce que le détournement de clic?

Le détournement de clic est un type d'attaque d'ingénierie sociale que les cybercriminels peuvent utiliser pour accéder aux informations des utilisateurs.

Le but principal du détournement de clics est de tromper l'utilisateur pour qu'il clique sur quelque chose de spécifique que le cyberattaquant veut qu'il clique. Grâce à cela, ils peuvent saisir votre appareil, en particulier lors de l'utilisation de la caméra et du microphone. Dans la plupart des navigateurs, il vous suffit de cliquer sur un seul bouton pour accorder les autorisations de microphone et de caméra; les utilisateurs peuvent alors partager sans le savoir leurs caméras avec un cyberattaquant, ce qui peut avoir de graves conséquences, notamment pour la vie privée.

instagram viewer

Comment fonctionne le détournement de clic avec les sites transparents

Les attaquants créent de faux environnements pour tromper les utilisateurs. Les faux sites Web peuvent atteindre un grand nombre de personnes et augmentent ainsi la probabilité de succès de l'attaque. Les escrocs conçoivent un site qui semble innocent, mais dont le véritable objectif est d'accéder à votre caméra et à votre microphone ou de vous inciter à télécharger des logiciels malveillants.

Par exemple, considérez un simple jeu de clic qui fonctionne entièrement dans votre navigateur. Son objectif principal est d'évaluer votre capacité à coordonner les mouvements de vos mains et de vos yeux. Pour ce faire, le jeu vous présente des boutons colorés qui apparaissent dans différentes parties de l'écran et vous invite à cliquer dessus. Plus vite vous pouvez exécuter cette activité, plus votre niveau de réalisation sera élevé.

Bien que cela semble inoffensif, les coordonnées des boutons qui apparaîtront à l'écran sont prédéterminées par l'attaquant. Vous pensez que vous cliquez sur un bouton et gagnez le jeu, mais vous cliquez en fait sur un bouton complètement différent en arrière-plan.

Accéder à votre caméra avec le détournement de clic

Il en va de même pour accéder à votre autorisations du microphone et de la caméra. Parfois, les sites ont besoin de votre caméra et de votre microphone. Par exemple, une application comme Zoom nécessite ces autorisations pour que vous puissiez parler et pour que votre image apparaisse dans la visioconférence. Pour accorder des autorisations, vous verrez un bouton "autoriser" quelque part sur l'interface de votre navigateur. Bien sûr, toutes les plateformes ne sont pas aussi sécurisées que Zoom.

Ainsi, lorsque vous cliquez sur un bouton de lecture d'apparence innocente pour regarder une émission de télévision ou un film, il peut s'agir d'un bouton d'autorisation créé par le pirate pour ouvrir votre appareil photo.

Comment vous protéger contre les attaques de détournement de clic?

Un attaquant malveillant utilise divers codes et scripts pour vous faire cliquer exactement où il veut et manipuler votre écran. De nombreux développeurs avec même peu expérience avec HTML et CSS peuvent facilement le faire: ils n'ont qu'à jouer avec les valeurs d'opacité des deux pages qu'ils ont conçues l'une sur l'autre et ne pas montrer la dernière page à l'utilisateur final.

Pour éviter de devenir la proie d'une astuce basée sur un script apparemment simple, l'une des approches les plus efficaces consiste à désactiver JavaScript. La plupart des navigateurs Web offrent une fonction de sécurité qui vous permet de désactiver le JavaScript code qui s'exécute en arrière-plan des sites Web. Par exemple, dans Chrome, vous pouvez accéder à la page en tapant "chrome://settings/content/javascript" dans la barre d'adresse. En arrivant sur cette page, vous tomberez sur Ne pas autoriser les sites à utiliser Javascript option.

Cependant, vous devez faire preuve de prudence lorsque vous sélectionnez cette option car elle bloquera tous les codes existants sur chaque site Web. Activez-le uniquement lorsque vous vous connectez à des sites auxquels vous ne faites pas confiance et que vous considérez comme dangereux. Vous pouvez toujours inverser ce paramètre ultérieurement.

Alternativement, vous pouvez utiliser des plugins open source gratuits et fiables pour activer et désactiver JavaScript plus facilement. Suite de sécurité NoScript est une bonne solution pour cela et offre un support pour de nombreux navigateurs différents. Il vise à empêcher non seulement les attaques de détournement de clic, mais également les logiciels malveillants qui existent sur n'importe quel site auquel vous accédez.

Les attaquants malveillants ne codent pas toujours leurs sites pour effectuer une attaque de détournement de clic en utilisant des sites transparents. Ils peuvent également tirer parti des vulnérabilités en ligne qu'ils trouvent en naviguant sur Internet. Par exemple, ils peuvent injecter du code en exploitant une vulnérabilité dans la section des commentaires d'un blog. Dans de tels cas, vous devez faire attention à ce sur quoi vous cliquez réellement, même si cela semble un peu paranoïaque.

Comment savoir si un site est digne de confiance?

Comment savoir si vous pouvez faire confiance à un site? Les attaquants ne consacrent souvent pas beaucoup de temps à la conception et au développement d'un site; c'est du temps inutile et de l'argent gaspillé. Vous pouvez le savoir à partir des certificats de sécurité et de la conception d'un site. Par exemple, un grand site organisationnel de confiance aura très probablement un certificat SSL. Pour vérifier cela, regardez l'URL. Si l'adresse commence " https://", cela signifie que le site dispose d'un certificat SSL. Ce "S" supplémentaire après "HTTP" signifie "Sécurisé". Ne comptez pas uniquement sur cela, cependant.

Vous devriez également jeter un œil à la conception et au contenu du site. Les informations sur la page de contact, les politiques de confidentialité, et même L'avertissement GDPR peut indiquer si un site est digne de confiance. Faites également des recherches sur le site. Qu'en disent les autres utilisateurs de plateformes comme Twitter, Facebook et Trustpilot ?

Si vous avez des connaissances sur le codage, vous pouvez examiner les codes sources du site. De cette façon, vous verrez une partie du travail de fond et les autres sites auxquels il est lié.

Devriez-vous vous inquiéter du détournement de clic?

Le détournement de clic est une chose effrayante, d'autant plus que les cybercriminels pourraient accéder à votre webcam et espionner activement vos activités. C'est une atteinte majeure à la vie privée et à la sécurité.

Alors oui, il peut sembler un peu OTT de faire attention à l'endroit où vous cliquez réellement sur un site Web. La plupart d'entre nous le font sans réfléchir. Mais il est également important que vous restiez vigilant afin de ne pas être la proie d'un pirate informatique.