DoubleClickjacking
Un chercheur en sécurité, Paulos Yibelo, a récemment découvert une nouvelle variante de l'attaque de clickjacking, baptisée DoubleClickjacking. Cette technique sophistiquée exploite les double-clics pour contourner les protections existantes et compromettre la sécurité de nombreux sites web.
Qu’est-ce que le DoubleClickjacking ?
Le clickjacking traditionnel repose sur la manipulation des clics des utilisateurs en les incitant à interagir avec des éléments cachés ou déguisés sur une page web. Ces attaques peuvent mener à des actions indésirables comme le téléchargement de logiciels malveillants ou l’autorisation de connexions frauduleuses.
Le DoubleClickjacking, en revanche, tire parti d'une séquence de double-clics pour détourner une interaction légitime. Lorsqu'un utilisateur double-clique sur un élément, comme un bouton CAPTCHA, un site malveillant redirige entre les deux clics vers une page contenant une action critique, telle qu'une autorisation OAuth. Le second clic valide involontairement cette action.
![[Image: double-clickjacking-attack-flow.jpg]](https://www.bleepstatic.com/images/news/security/d/doubleclickjacking/double-clickjacking-attack-flow.jpg)
Les risques et les implications
DoubleClickjacking présente des risques importants, surtout pour les plateformes qui reposent sur OAuth pour l'autorisation des comptes. Les attaquants peuvent prendre le contrôle des comptes des utilisateurs, autoriser des applications malveillantes avec des privilèges étendus, modifier des paramètres de compte critiques ou même initier des transactions financières.
Comment se protéger ?
Pour se protéger contre cette nouvelle menace, il est recommandé de désactiver les interactions critiques par défaut. Par exemple, les boutons sensibles peuvent nécessiter une interaction utilisateur supplémentaire avant d’être activés, comme un mouvement de souris ou une pression prolongée.
Il est aussi recommandé de faire des mise à jour des outils de protection web, comme Dropbox qui ont déjà implémenté des mécanismes pour empêcher ces détournements.
Sources:
https://thehackernews.com/2025/01/new-do...asses.html
https://www.bleepingcomputer.com/news/se...-accounts/
https://www.tomsguide.com/computing/onli...ickjacking
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
