Le simple fait de cliquer sur son ordinateur semble inoffensif. Pourtant, une nouvelle technique de piratage vient bouleverser cette tranquillité d’esprit. À l’aide d’un double-clic, des cybercriminels peuvent désormais piéger un grand nombre d’internautes, et ce, avec une facilité déconcertante. Comment est-ce possible ? C’est ce que nous allons découvrir ensemble.

Une nouvelle menace se profile derrière un des gestes les plus anodins de notre vie numérique. © Shutterstock
Une nouvelle menace se profile derrière un des gestes les plus anodins de notre vie numérique. © Shutterstock

Le cœur du problème se situe dans une méthode appelée « DoubleClickjacking ». Il s’agit d’une évolution du « clickjacking », un type d’attaque bien connu qui existe depuis plus d’une décennie. L’idée reste la même : pousser la victime à cliquer sur un élément trompeur pour passer à une action malveillante. Mais cette fois, tout se joue dans l’intervalle de quelques millisecondes entre deux clics.

Pourquoi ce risque est-il si sérieux ?

À l’origine, les navigateurs web et les systèmes de sécurité avaient déjà mis en place des mécanismes antifraude pour combattre le clickjacking classique. Ils bloquaient notamment les iframes malveillantes et neutralisaient l’envoi de cookies cross-site. Mais dans le cas du DoubleClickjacking, l’attaquant utilise le premier clic pour ouvrir une fenêtre bénigne (par exemple un « Captcha ») et le second pour rediriger instantanément sur un site dangereux. De cette façon, les systèmes de défense classiques ne détectent rien d’anormal.

En soi, cliquer une deuxième fois est un geste anodin. Pourtant, c’est l’occasion rêvée pour un cybercriminel d’introduire un nouvel élément d’interface. Pendant ce bref laps de temps, l’utilisateur n’a pas conscience que la page a changé dans l’ombre : il croit toujours finaliser une opération légitime. Résultat : il peut autoriser un accès à ses données ou valider une connexion OAuth sans même s’en rendre compte.

C’est un peu comme si l’on signait un contrat vide la première seconde, et que le texte était subrepticement modifié au moment de la signature finale. © Shutterstock
C’est un peu comme si l’on signait un contrat vide la première seconde, et que le texte était subrepticement modifié au moment de la signature finale. © Shutterstock

Cette attaque est d’autant plus préoccupante qu’elle ne requiert pratiquement aucune interaction de la victime, sinon un double-clic. Les sites web touchés peuvent être très variés : réseaux sociaux, boutiques en ligne, plateformes de travail collaboratif ou de stockage. Les conséquences, elles, peuvent aller d’un simple accès frauduleux à un compte jusqu’à la prise de contrôle complète d’un profil ou le vol d’identifiants bancaires.

Un danger omniprésent, même sur mobile

Comme si tout cela ne suffisait pas, la variante mobile est toute aussi redoutable. Sur un smartphone ou une tablette, un double-tap convient parfaitement pour déclencher cette attaque. Les gestes tactiles étant devenus la norme, un utilisateur habitué à valider rapidement des pop-ups risque de se faire piéger encore plus vite.

Heureusement, il existe des parades. Les développeurs de sites web peuvent renforcer leurs applications en désactivant, par défaut, les boutons sensibles tant qu’ils ne détectent pas une intention claire (ici, un mouvement de souris ou une saisie clavier). Mais du côté de l’utilisateur, la vigilance est le meilleur bouclier. Avant de valider un double-clic, on peut s’assurer de la légitimité de la fenêtre en vérifiant l’adresse du site ou en prenant le temps de lire ce qui apparaît à l’écran.

Soyons réalistes : il est difficile de résister à l’automatisme du double-clic. Les pirates misent sur notre habitude à vouloir rapidement valider des captures ou remplir des Captchas le plus vite possible. Garder en tête que tout écran intermédiaire peut, potentiellement, être manipulé est un réflexe salvateur.

Source : Tech Radar

À découvrir
Meilleur antivirus, le comparatif en janvier 2025

30 décembre 2024 à 09h35

Comparatifs services