L’attaque par iframe invisible explication :

Publié le 04 octobre 2012

L’attaque par iframe invisible explication : * On pense souvent que les virus et autres malwares
   contaminent les ordinateurs uniquement par des supports  
   amovibles infectés ou le téléchargement de fichiers
   suspects, mais il est également possible d’être infecté
    uniquement en visitant un site web compromis comportant
    des iFrames invisibles.

 
 * La balise IFRAME permet d’insérer une page HTML dans une autre page. Comme toutes les balises HTML, elle dispose de divers attributs dont trois qui nous intéressent particulièrement :
       · Frameborder : permet d’activer ou désactiver la bordure de la page insérée.
       · Height/width : permettent de définir la hauteur/largeur de la page insérée. Il est ainsi possible d’insérer dans une page une autre  page avec une hauteur et une largeur  de zéro et sans bordure, donc totalement invisible pour le visiteur.
 
Si l’affichage d’une page non souhaitée n’est pas dangereux en soit, le code que celle-ci exécute peut l’être. En effet l’IFRAME peut insérer une page contenant des scripts malicieux et causer des dommages au poste du visiteur.
 
Pour compromettre un site avec des iFrames malveillantes, il faut modifier le code source des pages, donc accéder directement au serveur qui les héberge. Soit une faille d’un des logiciels du serveur est exploitée, soit les identifiants de connexion à l’administration du site sont compromis. L’hébergeur doit donc veiller à maintenir l’ensemble des logiciels du serveur à jour et le webmaster doit établir sa connexion depuis un poste sûr et privilégier des protocoles sécurisés. De plus il doit respecter certains « bons usages » lors du développement de ses pages.

Même si le visiteur accède à des sites infectés, il peut également se protéger en suivant quelques recommandations :

· Eviter d’utiliser un compte ayant des droits d’administrateur sur le poste, de cette façon même si du code malicieux s’exécute, aucune modification importante ne peut être apportée au poste
· N’activer l’interprétation de code dynamique (JavaScript, Flash) que sur les sites dignes de confiance. En clair aucun code ne peut s’exécuter sans l’autorisation explicite de l’utilisateur, certains navigateurs proposent des plugins à cet effet, d’autres disposent de l’option de façon native.
· Lire les e-mails au format texte au lieu du format HTML, ainsi aucun code ne peut être exécuté
· Utiliser un antivirus et le garder à jour
·  Maintenir le système à jour