Cursorjacking

Le cursorjacking, ou détournement de curseur, est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en l'invitant à cliquer sur des endroits d'une page apparemment sûrs. Le terme de cursorjacking a été inventé par Eddy Bordi.

Description

Le CursorJacking est une attaque de type clickjacking qui a pour particularité de « créer » un décalage entre l'endroit où vous semblez cliquer et l'endroit où vous cliquez réellement. De ce fait, on peut vous faire en théorie cliquer n'importe où. Cette attaque combinée à d'autres types de clickjacking peut être efficace et dangereuse.

Le chercheur en sécurité informatique Jordi Chancel a démontré qu'il est possible d'utiliser le cursorjacking pour exécuter du code arbitraire (prise de contrôle d'une machine distante) et de prendre le contrôle de la webcam et du microphone (entre autres) à partir de Mozilla Firefox sur le système d'exploitation Mac OS X. La vulnérabilité a été corrigée dans la version 30.0 de Mozilla Firefox^[1]. Cette démonstration remet en avant les possibilités d'une telle attaque.

La fameuse extension NoScript du navigateur Mozilla Firefox a aussi été sujet à plusieurs vulnérabilités de CursorJacking qui sont actuellement corrigées dans les versions de l'extension 2.2.8 et supérieures ^[2]. Ces vulnérabilités de l'extension NoScript ont été reportées et démontrées par Marcus Niemietz et Mario Heiderich ^[3].

Notes et références

1. (en) « Clickjacking through cursor invisibility after Flash interaction », sur Mozilla (consulté le 25 août 2020).
2. « NoScript 2.2.8 Fixes Regression », sur softpedia, 25 janvier 2012 (consulté le 25 août 2020).
3. « Cursorjacking again », sur kotowicz.net (consulté le 25 août 2020).

Liens externes

• (en) Cursorjacking - Proof of Concept With JavaScript
• (en) Cursorjacking
• (en) ClickJacking and CursorJacking
• (fr) Cursor-Jacking

•   Portail de la sécurité informatique