+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne (/showthread.php?tid=4796)
DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - Juanito - 03-01-2025
DoubleClickjacking
Un chercheur en sécurité, Paulos Yibelo, a récemment découvert une nouvelle variante de l'attaque de clickjacking, baptisée DoubleClickjacking. Cette technique sophistiquée exploite les double-clics pour contourner les protections existantes et compromettre la sécurité de nombreux sites web.
Qu’est-ce que le DoubleClickjacking ?
Le clickjacking traditionnel repose sur la manipulation des clics des utilisateurs en les incitant à interagir avec des éléments cachés ou déguisés sur une page web. Ces attaques peuvent mener à des actions indésirables comme le téléchargement de logiciels malveillants ou l’autorisation de connexions frauduleuses.
Le DoubleClickjacking, en revanche, tire parti d'une séquence de double-clics pour détourner une interaction légitime. Lorsqu'un utilisateur double-clique sur un élément, comme un bouton CAPTCHA, un site malveillant redirige entre les deux clics vers une page contenant une action critique, telle qu'une autorisation OAuth. Le second clic valide involontairement cette action.
![[Image: double-clickjacking-attack-flow.jpg]](https://www.bleepstatic.com/images/news/security/d/doubleclickjacking/double-clickjacking-attack-flow.jpg)
Les risques et les implications
DoubleClickjacking présente des risques importants, surtout pour les plateformes qui reposent sur OAuth pour l'autorisation des comptes. Les attaquants peuvent prendre le contrôle des comptes des utilisateurs, autoriser des applications malveillantes avec des privilèges étendus, modifier des paramètres de compte critiques ou même initier des transactions financières.
Comment se protéger ?
Pour se protéger contre cette nouvelle menace, il est recommandé de désactiver les interactions critiques par défaut. Par exemple, les boutons sensibles peuvent nécessiter une interaction utilisateur supplémentaire avant d’être activés, comme un mouvement de souris ou une pression prolongée.
Il est aussi recommandé de faire des mise à jour des outils de protection web, comme Dropbox qui ont déjà implémenté des mécanismes pour empêcher ces détournements.
Sources:
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html
https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts/
https://www.tomsguide.com/computing/online-security/hackers-can-steal-your-accounts-and-all-it-takes-is-a-double-click-dont-fall-for-this-new-form-of-clickjacking
RE: DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - Marco - 05-01-2025
Merci pour cet article.
Décidément, les attaquants ne manquent pas d'idées !
Concernant les moyens de s'en protéger, peut-être existe-t-il des extensions capables de détecter ces attaques et de les bloquer ?
RE: DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - Juanito - 05-01-2025
(05-01-2025, 11:50)Marco a écrit : Merci pour cet article.
Décidément, les attaquants ne manquent pas d'idées !
Concernant les moyens de s'en protéger, peut-être existe-t-il des extensions capables de détecter ces attaques et de les bloquer ?
C'est une très bonne question! Il existe bien des extensions capables de détecter ces attaques et de les bloquer même si le résultat n'est pas garantie à 100%. Je pense d'abord à NoScript pour firefox et ScriptSafe pour Chrome, qui peuvent empêcher l'exécution de scripts et iframes non fiables, réduisant ainsi les risques de manipulation. Il y a aussi après, uBlock Origin et AdGuard qui même si elles sont des extensions créées pour le blocage de publicités, permettent également de filtrer certains scripts malveillants. Si vraiment certains ne sentirai pas assez protégé, il y a toujours la possibilité d'installer Brave comme navigateur, avec ses protections nativement intégrées!
RE: DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - Mathilde3.0 - 05-01-2025
Le sujet est intéressant, pour les moyens de protections contre ce type d'attaques, seules des extensions sont possibles ?
RE: DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - Omnous_Luminae - 05-01-2025
(05-01-2025, 18:41)Mathilde3.0 a écrit : Le sujet est intéressant, pour les moyens de protections contre ce type d'attaques, seules des extensions sont possibles ?
Je me suis renseigner et j'ai pu trouver que l'on pouvait :1. Utiliser des en-têtes HTTP de protectiona) Content Security Policy (CSP)Déployez une politique CSP avec la directive
Code :
frame-ancestors Code :
Content-Security-Policy: frame-ancestors 'self';Code :
X-Frame-Options: DENYExemple : Ajouter une étape de confirmation
- Demander une confirmation par bouton (ex. "Êtes-vous sûr ?").
- Exiger un mot de passe ou un code CAPTCHA avant de valider une action critique.
Exemple : Détection d'iframe
Code :
if (window.self !== window.top) { // Bloquer l'exécution du site si intégré dans une iframe document.body.innerHTML = '<h1>Accès interdit</h1>'; }Exemple : Limitation du clic rapide
Code :
let lastClickTime = 0; document.addEventListener('click', (e) => { const currentTime = new Date().getTime(); if (currentTime - lastClickTime < 500) { // Moins de 500 ms entre deux clics e.preventDefault(); alert("Action bloquée pour éviter des clics involontaires."); } lastClickTime = currentTime; });
- Effectuez des tests de sécurité pour identifier les vulnérabilités potentielles.
- Utilisez des outils comme OWASP ZAP ou Burp Suite pour tester la robustesse de votre site contre le Clickjacking.
RE: DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne - EnZ0 - 06-01-2025
Je savais que cette news serait posé sur TISI, je me suis retenu de la mettre
Sujet intéressant, générant une discussion qui l'est tout autant. La réponse d'Omnous_Luminae apporte vraiment une dimension technique, mais il ne faut pas confondre génération d'une réponse avec compréhension d'une réponse.
C'est plus du ressort du prof de développement, mais je vais tenter de donner un complément d'information. Pour compléter ce qui a été dit sur les headers de sécurité, il est aussi crucial d'implémenter une protection SameSite pour les cookies : Set-Cookie: session=123; SameSite=Strict
Cette protection est particulièrement efficace car elle empêche l'envoi de cookies lors de requêtes cross-origin, limitant ainsi considérablement la portée des attaques de type clickjacking.
Un point important à noter est que la protection ne doit pas reposer uniquement sur des solutions côté client. Une approche défense en profondeur est nécessaire, combinant les protections côté serveur (headers HTTP, validation des tokens), côté client (détection de frame), et une bonne gestion des sessions.
Les extensions mentionnées par Juanito sont effectivement utiles, mais elles ne devraient être qu'une couche supplémentaire de protection, pas la principale ligne de défense. La sécurité doit être pensée dès la conception de l'application. Hein les développeurs ?
C'est exactement ce genre de vulnérabilités qui montre l'importance d'une veille technologique constante en cybersécurité. Les attaquants innovent continuellement, et nos protections doivent évoluer en conséquence.