Les navigateurs web luttent toujours pour prévenir le clickjacking, une technique d’attaque d’abord identifiée en 2008 qui réutilise les éléments de l’interface des pages web pour tromper les visiteurs. Malgré les efforts continus pour atténuer le risque à travers des corrections de bugs et des changements de comportement des navigateurs, des variations d’attaques intrusives continuent d’émerger, laissant aux développeurs web le soin de fournir des défenses là où les navigateurs échouent à ériger des barrières. Le clickjacking, également connu sous le nom d’attaque de détournement de l’interface utilisateur, implique de manipuler la structure de la page web ou les éléments interactifs pour que les clics des utilisateurs soient enregistrés ailleurs que prévu, par exemple sur un iframe masqué contenant une publicité provenant d’un domaine non lié au site hôte. Google a traité ce scénario particulier il y a plusieurs années dans le but d’atténuer la fraude publicitaire, mais il s’agit d’une situation constamment en évolution. La dernière variation de la technique a été surnommée « faux de fenêtre croisée » par Paulos Yibelo, un analyste en sécurité chez Amazon. Dans un rapport personnel en février, il a expliqué que la technique repose sur la persuasion de la victime de presser ou de maintenir enfoncée la touche Entrée ou la barre d’espacement sur un site web contrôlé par l’attaquant. Cela peut prendre la forme d’un site web contenant un élément interactif demandant à l’utilisateur « Appuyez et maintenez Entrée pour continuer ». En utilisant du code qui intercepte l’événement de pression sur la touche et exécute une fonction d’attaque, l’attaquant peut ouvrir une URL de demande d’autorisation OAuth malveillante dans une nouvelle petite fenêtre de navigateur pour recevoir la pression sur la touche toujours active.
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
