Lorsqu'un utilisateur saisit une information confidentielle (identifiant, numéro de compte bancaire,...) dans un formulaire sur une application, il fait confiance à cette application pour ne pas détourner les informations saisies. Les attaques de type phishing reposent sur l'abus de cette confiance en présentant à l'utilisateur un formulaire qui usurpe l'identité d'un site auquel l'utilisateur est enclin à faire confiance. L'authentification des sites web repose généralement sur la validation d'un certificat, matérialisée par une petite icône verte en forme de cadenas fermé. Mais un attaquant peut être capable de manipuler ce qui est présent à l'écran pour faire croire à tort à l'utilisateur qu'il est bien dans un cas de confiance. Cela va de la simple possibilité de faire passer une fenêtre en mode plein-écran pour recréer un environnement factice, à des attaques capables de contrôler le framebuffer à un niveau plus bas. Cet article commence par rappeler les mécanismes de protection présents dans le système graphique X. Il montre ensuite quelles solutions peuvent être utilisés pour augmenter cette sécurité, en présentant les mécanismes de compartimentage implémentés dans Qubes OS. Il montre également comment le système Wayland, qui remplace petit à petit X, dispose de mécanismes permettant d'augmenter la sécurité des applications graphiques.