{"id":386062,"date":"2024-11-25T12:36:06","date_gmt":"2024-11-25T12:36:06","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&#038;p=386062"},"modified":"2024-11-25T12:36:06","modified_gmt":"2024-11-25T12:36:06","slug":"clickjacking","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/clickjacking\/","title":{"rendered":"Qu&rsquo;est-ce que le d\u00e9tournement de clic (clickjacking)\u00a0?"},"content":{"rendered":"<p>Une\u00a0<strong>attaque de type d\u00e9tournement de clic<\/strong>, parfois appel\u00e9e simplement \u00ab\u00a0clickjacking\u00a0\u00bb, est un type de\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-qu-une-cyberattaque\">cyberattaque<\/a>\u00a0qui manipule les utilisateurs pour les amener \u00e0 cliquer sur un lien malveillant, que ce soit pour t\u00e9l\u00e9charger un\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/que-sont-les-malwares\/\">malware<\/a>, fournir des informations personnelles identifiables (<a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/donnees-personnelles\/\">PII<\/a>), transf\u00e9rer de l&rsquo;argent ou acheter un produit en ligne.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Prot\u00e9gez les donn\u00e9es et la r\u00e9putation de votre organisation avec NinjaOne.<\/p>\n<p style=\"text-align: center;\">\u2192\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/?page_id=313347\">T\u00e9l\u00e9chargez ce guide gratuit.<\/a><\/p>\n<\/div>\n<h2>Comment fonctionne le d\u00e9tournement de clic\u00a0?<\/h2>\n<p>En r\u00e8gle g\u00e9n\u00e9rale, une attaque de type \u00ab\u00a0clickjacking\u00a0\u00bb commence par l&rsquo;affichage d&rsquo;une page invisible ou d&rsquo;un \u00e9l\u00e9ment HTML sur l&rsquo;\u00e9cran. Un\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-a-threat-actor\/\">acteur malveillant<\/a>\u00a0utilise plusieurs couches transparentes ou opaques pour inciter les utilisateurs \u00e0 cliquer sur cet \u00e9cran invisible plut\u00f4t que sur l&rsquo;\u00e9cran pr\u00e9vu, ce qui entra\u00eene un \u00ab\u00a0d\u00e9tournement\u00a0\u00bb du clic, qui vous dirige vers une autre page. Si la plupart des attaques par d\u00e9tournement de clics m\u00e8nent \u00e0 une page malveillante, elles peuvent parfois \u00eatre utilis\u00e9es pour acc\u00e9der \u00e0 une autre page l\u00e9gitime que vous n&rsquo;avez jamais voulu visiter. En voici quelques exemples\u00a0:<\/p>\n<ul>\n<li><strong>Likejacking (d\u00e9tournement de \u00ab\u00a0J&rsquo;aime\u00a0\u00bb)\u00a0:<\/strong>\u00a0se produit lorsqu&rsquo;un acteur malveillant clique sur un bouton \u00ab\u00a0J&rsquo;aime\u00a0\u00bb sur Facebook de sorte que vous \u00ab\u00a0aimez\u00a0\u00bb par inadvertance une page que vous n&rsquo;aviez pas l&rsquo;intention d&rsquo;aimer.<\/li>\n<li><strong>Cursorjacking (d\u00e9tournement de curseur)\u00a0:<\/strong>\u00a0se produit lorsque votre perception de l&rsquo;endroit o\u00f9 se trouve votre curseur est diff\u00e9rente de sa position r\u00e9elle. Cela repose sur certaines vuln\u00e9rabilit\u00e9s d&rsquo;outils tels que Flash ou le navigateur Firefox.<\/li>\n<\/ul>\n<p><em>Remarque\u00a0: Si le clickjacking peut initialement ressembler une\u00a0<\/em><a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-spoofing\/\"><em>usurpation d&rsquo;identit\u00e9 (spoofing)<\/em><\/a><em>, o\u00f9 un acteur malveillant recr\u00e9e des sites web pour faire croire aux utilisateurs qu&rsquo;une fausse page est l\u00e9gitime, l&rsquo;attaque par clickjacking est beaucoup plus sophistiqu\u00e9e. La victime d&rsquo;un clickjacking consulte le site web r\u00e9el d&rsquo;une entit\u00e9 connue et l\u00e9gitime, mais un cybercriminel a ajout\u00e9 une couche invisible suppl\u00e9mentaire sur son contenu en utilisant diverses technologies HTML.\u00a0<\/em><\/p>\n<h3>Le d\u00e9tournement de clics dans l&rsquo;actualit\u00e9<\/h3>\n<p>Parce qu&rsquo;une attaque de type \u00ab\u00a0clickjacking\u00a0\u00bb n&rsquo;est pas une pr\u00e9occupation de\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-que-la-cybersecurite\/\">cybers\u00e9curit\u00e9<\/a>\u00a0 \u00ab\u00a0typique\u00a0\u00bb, la plupart des gens n&rsquo;en sont pas conscients. Cela peut expliquer pourquoi de nombreuses attaques par d\u00e9tournement de clics ont eu lieu sur Facebook, o\u00f9 de nombreux utilisateurs ont tendance \u00e0 cliquer sur des titres provocateurs sans en examiner la validit\u00e9 au pr\u00e9alable.<\/p>\n<p>Par exemple, dans un r\u00e9cent article de\u00a0<a href=\"https:\/\/www.darkreading.com\/cyberattacks-data-breaches\/facebook-hit-with-clickjacking-attack\" target=\"_blank\" rel=\"noopener\">Dark Reading<\/a>\u00a0, une nouvelle attaque de ce type a \u00e9t\u00e9 constat\u00e9e apr\u00e8s que plusieurs utilisateurs ont \u00e9t\u00e9 redirig\u00e9s vers une page malveillante apr\u00e8s avoir cliqu\u00e9 sur un lien cens\u00e9 les conduire \u00e0 \u00ab\u00a0<em>101 Hottest Women in the World<\/em>\u00ab\u00a0. Apr\u00e8s avoir cliqu\u00e9 sur une photo de l&rsquo;actrice Jessica Alba, les utilisateurs ont soudainement \u00e9t\u00e9 redirig\u00e9s vers un site web compl\u00e8tement diff\u00e9rent et sans aucun rapport.<\/p>\n<p>Cela a d\u00e9clench\u00e9 un nouveau d\u00e9bat massif sur le niveau et la robustesse de la s\u00e9curit\u00e9 de Facebook, en particulier en ce qui concerne le d\u00e9tournement de clics, ce qui repr\u00e9sente un probl\u00e8me avec ce site \u00a0<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/the-clickjacking-bug-that-facebook-wont-fix\/\" target=\"_blank\" rel=\"noopener\">depuis 2018<\/a>.<\/p>\n<p>Cependant, l&rsquo;exemple le plus c\u00e9l\u00e8bre d&rsquo;une attaque par d\u00e9tournement de clics est sans doute l&rsquo;incident de la\u00a0<a href=\"https:\/\/github.com\/OWASP\/www-community\/blob\/master\/pages\/attacks\/Clickjacking.md\" target=\"_blank\" rel=\"noopener\">page des param\u00e8tres du plugin Adobe Flash.<\/a>\u00a0Selon les utilisateurs, une attaque par d\u00e9tournement de clics les a amen\u00e9s \u00e0 modifier accidentellement leurs param\u00e8tres de s\u00e9curit\u00e9 Flash, ce qui a permis \u00e0 des acteurs malveillants d&rsquo;utiliser le microphone et l&rsquo;appareil photo de leur ordinateur.<\/p>\n<h2>Se prot\u00e9ger contre une attaque de type \u00ab\u00a0clickjacking\u00a0\u00bb<\/h2>\n<p>Il convient de noter qu&rsquo;il n&rsquo;existe pas de m\u00e9thode infaillible pour emp\u00eacher le d\u00e9tournement de clics, mais qu&rsquo;il existe des strat\u00e9gies pour r\u00e9duire le risque dans votre r\u00e9seau informatique.<\/p>\n<p>Le plus simple est d&rsquo;utiliser l&rsquo;en-t\u00eate de r\u00e9ponse X-Frame-Options, qui fait partie de la r\u00e9ponse HTTP d&rsquo;une page web. L&rsquo;en-t\u00eate X-Frame-Options indique si un navigateur peut afficher une page \u00e0 l&rsquo;int\u00e9rieur d&rsquo;une &lt;FRAME&gt; ou &lt;IFRAME&gt;.<\/p>\n<p>Trois types de valeurs sont autoris\u00e9s pour l&rsquo;en-t\u00eate X-Frame-Options\u00a0:<\/p>\n<ul>\n<li>DENY\u00a0: emp\u00eache le domaine d&rsquo;afficher une page \u00e0 l&rsquo;int\u00e9rieur d&rsquo;un \u00ab\u00a0frame\u00a0\u00bb.<\/li>\n<li>SAMEORIGIN\u00a0: permet d&rsquo;afficher la page en cours dans un frame sur une autre page.<\/li>\n<li>ALLOW FROM URI\u00a0: permet d&rsquo;afficher la page en cours dans un frame, mais uniquement dans un URI sp\u00e9cifique.<\/li>\n<\/ul>\n<p>Les d\u00e9veloppeurs peuvent emp\u00eacher une attaque de type \u00ab\u00a0clickjacking\u00a0\u00bb en utilisant l&rsquo;option SAMEORIGIN.<\/p>\n<p>Pour d\u00e9terminer l&rsquo;option qui vous convient le mieux, nous vous recommandons d&rsquo;abord de v\u00e9rifier si votre site est vuln\u00e9rable au clickjacking en suivant les \u00e9tapes du\u00a0<a href=\"https:\/\/cheatsheetseries.owasp.org\/cheatsheets\/Clickjacking_Defense_Cheat_Sheet.html#Defending_with_X-Frame-Options_Response_Headers\" target=\"_blank\" rel=\"noopener\">guide de test de l&rsquo;OWASP<\/a>.<\/p>\n<h2>Comment NinjaOne peut aider \u00e0 minimiser le risque de clickjacking<\/h2>\n<p><a href=\"https:\/\/www.ninjaone.com\/fr\/solution-anti-ransomwares\/\">NinjaOne Protect<\/a>\u00a0est un logiciel tout-en-un de protection, de r\u00e9ponse et de r\u00e9cup\u00e9ration contre les ransomwares. Il va au-del\u00e0 de l&rsquo;antivirus traditionnel et fournit un outil exhaustif pour d\u00e9fendre vos environnements g\u00e9r\u00e9s et am\u00e9liorer votre vitesse de r\u00e9ponse et votre r\u00e9silience.<\/p>\n<p>Si vous \u00eates pr\u00eat, demandez un\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/tarifs\/\">devis gratuit<\/a>, profitez d&rsquo;un\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/phase-de-test-gratuit\">essai gratuit de 14 jours<\/a>, ou\u00a0<a href=\"https:\/\/www.ninjaone.com\/fr\/planifiez-une-demo-gratuite-fr\/\">regardez une d\u00e9mo<\/a>.<\/p>\n","protected":false},"author":152,"featured_media":0,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[4185],"class_list":["post-386062","content_hub","type-content_hub","status-publish","hentry","content_hub_category-endpoint-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/content_hub\/386062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/152"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=386062"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/hub_categories?post=386062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}