Se faire escroquer après un double-clic, c’est possible. Une technique d’attaque numérique inédite, baptisée DoubleClickjacking gagne du terrain chez les pirates informatiques. En exploitant un geste banal, elle permet de contourner les protections les plus robustes, ouvrant la voie à des prises de contrôle de comptes et des fraudes.
Le doubleclickjacking, c’est quoi ?
Le clickjacking, ou détournement de clics, est une technique bien connue des cybercriminels : elle consiste à superposer des éléments invisibles ou déguisés sur une page web légitime, de sorte que l’utilisateur, en cliquant sur un bouton anodin, déclenche en réalité une action cachée et potentiellement dangereuse. Son successeur, le DoubleClickjacking, révélé par le chercheur Paulos Yibelo, franchit un nouveau palier. Cette variante exploite un intervalle de quelques millisecondes entre les deux clics d’un double-clic pour remplacer subrepticement l’élément sur lequel l’utilisateur s’apprête à cliquer. Résultat : le premier clic active une action inoffensive (par exemple, valider un captcha), tandis que le second, quasi simultané, valide une opération critique (autorisation d’accès, transaction, installation d’extension) à l’insu de la victime.
Le mode opératoire du DoubleClickjacking s’articule en quatre temps :
- L’utilisateur est invité à cliquer sur un bouton attractif, à l’apparence inoffensive
- Après le premier clic, l’interface bascule en une fraction de seconde : un élément critique (comme une autorisation OAuth ou un bouton de paiement) apparaît à l’endroit du curseur
- Le second clic, destiné à une action anodine, valide en réalité une opération sensible
- Le pirate obtient un accès non autorisé, valide une transaction ou installe un logiciel malveillant, sans que l’utilisateur ne s’en rende compte.
Cette attaque est d’autant plus efficace qu’elle ne nécessite aucune interaction suspecte (pas de téléchargement, pas de lien douteux) et s’exécute en moins d’une seconde, rendant toute détection ou réaction quasi impossible. Le DoubleClickjacking tire parti d’une faille de timing dans l’interface utilisateur, ce qui lui permet de contourner les mécanismes de défense traditionnels. Même les plateformes majeures comme Shopify, Slack ou Salesforce seraient vulnérables au procédé.
Quelles conséquences pour les victimes ?
Pour les particuliers, le risque réside dans le vol de comptes, l’accès à des données personnelles, la validation de transactions frauduleuses, ou encore l’installation d’extensions malveillantes. Pour les entreprises, la situation est autrement plus sensible : compromission de sessions d’authentification, infractions à la réglementation sur la protection des données, pertes financières…
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
