Adsense Clickjacking

Le Clickjacking et Adsense

Le Clickjacking est une technique malveillante utilisée afin de duper les visiteurs d'un site Web et de récupérer des informations confidentielles ou bien de prendre la commande de leur ordinateur en utilisant uniquement le fait qu'ils cliquent sur des pages Web apparemment inoffensives.

Cette vulnérabilité répandues sur presque l'ensemble des navigateurs et plates-formes prend la forme de code (à l'aide la la balise embeded) ou de scripts inclus dans une page et qui peuvent s'exécuter sans que l'utilisateur ne s'en aperçoive lorsqu'il, par exemple, clique sur un bouton qui semble remplir une autre fonction.

Le terme Clickjacking a été inventée par Jérémie Grossman et Robert Hansen en 2008. Le Clickjacking peut être considéré comme une élévation de privilège.

Exemple d'utilisation du clickjacking

Un utilisateur arrive sur un site qui semble inoffensif et qui récapitule tous les concerts programmés dans les prochains mois. Celui-ci lui propose de sélectionner une ville dans une liste et de cliquer sur un bouton "Valider" afin de pouvoir lui présenter une liste de concerts disponibles dans sa région. En réalité, une page de facebook est cachée en transparence. C'est sur cette page que le visiteur clique, sans la voir. Les 2 clics qu'ils pensent effectuer sur le site de concerts correspondent en fait exactement aux emplacements, sur la page de facebook, qui rend son profil visible à tous, ou encore envoie une invitation à tous ces contacts.

Le principe du clickjacking

Le Clickjacking est possible non pas en raison d'une erreur de programmation, mais parce que les dispositifs apparemment inoffensifs des pages Web peuvent effectuer des actions inattendues.

L'idée est de créer une page conçue de telle manière que les emplacement des liens ou des boutons correspondent avec ceux de la page cible. L'utilisateur croit cliquer sur un lien de la page visible, il clique en fait sur un bouton de la page cachée.

Clickjacking avec Adsense

Maintenant que le principe est clair, et assez simple, on comprend facilement que l'on peut faire cliquer un visiteur sur n'importe quoi du moment que la page visible est bien conçue.

Rendre les publicités adsense invisibles est bien entendu interdit. Mais si la page qui contient les publicités est consultée directement par certains visiteurs, mais apparait aussi en transparence à partir d'un autre site, faire la distinction entre les deux sources de clics est plus complexe (mais n'oublions pas que rien n'est impossible pour google).

Démo de clickjacking Adsense

Démonstration de clickjacking Adsense

A quoi ça sert le clickjacking avec Adsense?

Ca peut servir à pleins de choses comme

  • comprendre le principe du clickjacking et s'assurer que son site n'en ai pas victime à son insu
  • augmenter ses revenus rapidement. Dans ce cas, je recommande d'afficher l'iframe transparente que tous les 1000 affichagge, ou uniquement si le visiteur est dans une partie privée du site, afin de ne pas permettre à l'équipe de google de détecter la technique facilement.
  • faire bannir le compte adsense de son concurrent rapidement, en lui offrant quelques clics juste avant en dédommagement.
  • faire des paiements en clics, par exemple donner 5 clics par jours en échange d'un lien en footer...

Comment ne pas se faire bannir du programme Adsense avec une telle technique?

Effectivement, c'est la première question à se poser. On peut facilement faire baisser le taux de clics en n'affichant la partie transparente que dans 2% des cas.

<?php 
$a
rand(1,50);

if(
$a==1)  
     {
     echo 
'<iframe id="adsenseid" class="adsense" width="880"
height="350" scrolling="no"
src="https://www.google.com/adsense/static/en_US/AdFormats.html"
margin="0" padding="0"></iframe>'
;
     }
?>

On peut aussi changer la profondeur de l'iframe transparente, pour qu'elle ne soit au-dessus que dans un nombre restreint d'impression. Il suffit d'utiliser z-index dans la feuille de style css. En procédant ainsi, le nombrede clics par rapport au nombre d'affichage peut être maitrisé.

A vous de trouver d'autres idées, et de les partager en commentaire!

Bien évidement, si vous être éditeurs Adsense, le clickjacking est interdit. L'objet de cet article n'est pas de promouvoir cette technique, mais d'informer les internautes sur les dangers qu'elle peut représenter.

Commentaires
Si vous avez appris des trucs, je vous remercie de cliquer sur le bouton google plus