Un blogueur a fait la démonstration qu’il était possible d'activer à distance la webcam et le micro d’un internaute jouant à un jeu Flash. Sa technique baptisée « clickjacking » profite d'une faille qui affecterait tous les navigateurs du marché.
En jouant à un jeu Flash, vous cliquez dans la fenêtre de jeu et, soudain, votre webcam et votre micro se mettent discrètement en marche pour espionner vos faits et gestes. Ce scénario, que l'on pourrait croire issu d'un remake moderniste de 1984, est le fruit d'une démonstration faite par un blogueur anonyme : il a créé un logiciel utilisant une faille de Flash pour prendre le contrôle à distance d'un PC et de ses périphériques connectés.
L'auteur a mis sa démonstration en ligne, mais après une période de test, il a désactivé le logiciel malveillant pour ne pas encourager d'éventuels vrais pirates. Reste une vidéo publiée sur YouTube pour prouver ses dires.
Un correctif pour Flash d'ici à la fin du mois
Cette technique de prise de contrôle à distance, s'appelle le « clickjacking » et peut être insérée dans des applications Flash. Mais selon le blogueur, elle peut aussi être utilisée via des applets Java ou Silverlight, ou encore dans des pages écrites en Dynamic Hyper Text Markup Language.
Adobe a déjà publié sur son site une procédure pour se prémunir de cette vulnérabilité ; il espère publier un correctif pour Flash d'ici la fin du mois.
Mais cette faille pourrait être exploitée par des webmasters peu scrupuleux sur des sites utilisant d'autres langages et cadres de programmation. Associée à une dose de social engeneering, cette vulnérabilité pourrait s'avérer une arme redoutable pour des pirates. Si bien qu'elle figure en haut de l'agenda des failles à combler de tous les éditeurs de navigateur internet.
Par Vincent Birebent, ZDNet France
Aucun commentaire:
Publier un commentaire