Une faiblesse de type Clickjacking a été identifiée sur le service web. Cette attaque consiste à inciter un utilisateur à cliquer sur un élément invisible ou dissimulé, superposé à une page légitime, afin de lui faire effectuer une action non intentionnelle (clic sur un bouton, validation d’une action, navigation forcée). Le service concerné repose sur le serveur web OpenResty.
Le niveau de risque réel est faible à modéré, car cette faiblesse nécessite que l’utilisateur accède à une page malveillante contrôlée par un attaquant, tout en étant simultanément authentifié ou actif sur l’application cible. Elle ne permet pas une compromission directe du serveur, mais peut faciliter des attaques de type ingénierie sociale, telles que des actions non désirées ou des détournements de navigation.
Cette alerte apparaît généralement lorsque l’application web n’implémente pas de mécanisme empêchant son intégration dans une iframe externe. En l’absence de protections spécifiques, une page peut être chargée et masquée partiellement ou totalement dans un site tiers, rendant possible ce type d’attaque. Il s’agit d’une configuration de sécurité perfectible, courante sur des applications techniques ou internes.
Les bonnes pratiques recommandées consistent à empêcher l’affichage du site dans des iframes non autorisées, en mettant en place des en-têtes de sécurité HTTP appropriés, tels que X-Frame-Options ou Content-Security-Policy (directive frame-ancestors). Il est également recommandé de restreindre explicitement les domaines autorisés, voire de bloquer totalement l’inclusion en iframe lorsque celle-ci n’est pas nécessaire.
La mise en œuvre de ces bonnes pratiques permet de supprimer la faiblesse liée au Clickjacking, de renforcer la sécurité côté navigateur, et d’améliorer la protection des utilisateurs, sans impact fonctionnel pour l’application.