![[ ZAA.CC] Design web – Conception de sites web et créations graphiques](https://www.zaa.cc/wp-content/uploads/zaacc-logo-253x80-1.png){kind=logo}
Le Clickjacking est un type d’attaque dans laquelle la victime clique sur un lien frauduleux à son insu. Lors de sa navigation, l’utilisateur clique sur un lien invisible superposé sur un autre lien (voir l’image).
Le clickjacking exploite principalement des techniques d’encapsulation ou d’« iframe » invisibles pour superposer des pages ou boutons frauduleux par-dessus du contenu légitime. En pratique, la victime croit interagir avec le site officiel alors qu’elle clique sur un élément malveillant dissimulé. Outre la récupération des identifiants, cette technique peut permettre à un attaquant de déclencher à distance des actions non souhaitées par l’utilisateur, telles que le partage automatique d’informations sensibles, l’installation silencieuse de logiciels malveillants ou encore la modification des paramètres de sécurité sans aucun consentement visible.
Impacts :
- Amener l’utilisateur à cliquer sur un lien qui mène à un site frauduleux (virus, spyware et autres);
- Un attaquant peut récupérer les identifiants des utilisateurs et utiliser ces informations pour se connecter au site.
Pour les propriétaires de site WordPress
Vous pouvez facilement protéger votre site et vos utilisateurs en installant le plugin WP Anti-Clickjacking. Notez que votre site ne pourra plus être utilisé via un « iframe », mais c’est très rare que ce soit nécessaire et en cas de doute, n’hésitez pas à nous écrire au support@zaa.cc ou à nous appeler au +1 514 723-2673.
Pour les propriétaires de site SPIP ou ceux qui ne veulent pas utiliser le plugin
Une modification manuelle est possible pour protéger vos sites, voici comment ajouter l’en-tête HTTP X-Frame-Options sur votre site web :
Utiliser .htaccess
Ajoutez ces lignes à votre fichier .htaccess situé à la racine de votre site :
apache
# Protéger contre le clickjacking en interdisant l'affichage dans un iframe
Header always append X-Frame-Options "DENY"
OU, si vous voulez autoriser uniquement votre site à être intégré dans une iframe sur le même domaine :
apache
# Autoriser uniquement les iframes provenant du même domaine
Header always append X-Frame-Options "SAMEORIGIN"
Les commentaires sont fermés.