DoubleClickjacking : Une nouvelle menace pour la sécurité en ligne

[Juanito]

DoubleClickjacking

 
Un chercheur en sécurité, Paulos Yibelo, a récemment découvert une nouvelle variante de l'attaque de clickjacking, baptisée DoubleClickjacking. Cette technique sophistiquée exploite les double-clics pour contourner les protections existantes et compromettre la sécurité de nombreux sites web.
 

Qu’est-ce que le DoubleClickjacking ?

Le clickjacking traditionnel repose sur la manipulation des clics des utilisateurs en les incitant à interagir avec des éléments cachés ou déguisés sur une page web. Ces attaques peuvent mener à des actions indésirables comme le téléchargement de logiciels malveillants ou l’autorisation de connexions frauduleuses.
Le DoubleClickjacking, en revanche, tire parti d'une séquence de double-clics pour détourner une interaction légitime. Lorsqu'un utilisateur double-clique sur un élément, comme un bouton CAPTCHA, un site malveillant redirige entre les deux clics vers une page contenant une action critique, telle qu'une autorisation OAuth. Le second clic valide involontairement cette action.



Les risques et les implications

DoubleClickjacking présente des risques importants, surtout pour les plateformes qui reposent sur OAuth pour l'autorisation des comptes. Les attaquants peuvent prendre le contrôle des comptes des utilisateurs, autoriser des applications malveillantes avec des privilèges étendus, modifier des paramètres de compte critiques ou même initier des transactions financières.


Comment se protéger ?

Pour se protéger contre cette nouvelle menace, il est recommandé de désactiver les interactions critiques par défaut. Par exemple, les boutons sensibles peuvent nécessiter une interaction utilisateur supplémentaire avant d’être activés, comme un mouvement de souris ou une pression prolongée.
Il est aussi recommandé de faire des mise à jour des outils de protection web, comme Dropbox qui ont déjà implémenté des mécanismes pour empêcher ces détournements.

Sources:

https://thehackernews.com/2025/01/new-do...asses.html
https://www.bleepingcomputer.com/news/se...-accounts/
https://www.tomsguide.com/computing/onli...ickjacking

[Marco]

Merci pour cet article.
Décidément, les attaquants ne manquent pas d'idées !
Concernant les moyens de s'en protéger, peut-être existe-t-il des extensions capables de détecter ces attaques et de les bloquer ?

[Juanito]

Merci pour cet article.
Décidément, les attaquants ne manquent pas d'idées !
Concernant les moyens de s'en protéger, peut-être existe-t-il des extensions capables de détecter ces attaques et de les bloquer ?

C'est une très bonne question! Il existe bien des extensions capables de détecter ces attaques et de les bloquer même si le résultat n'est pas garantie à 100%. Je pense d'abord à NoScript pour firefox et ScriptSafe pour Chrome, qui peuvent empêcher l'exécution de scripts et iframes non fiables, réduisant ainsi les risques de manipulation. Il y a aussi après, uBlock Origin et AdGuard qui même si elles sont des extensions créées pour le blocage de publicités, permettent également de filtrer certains scripts malveillants. Si vraiment certains ne sentirai pas assez protégé, il y a toujours la possibilité d'installer Brave comme navigateur, avec ses protections nativement intégrées!

[Mathilde3.0]

Le sujet est intéressant, pour les moyens de protections contre ce type d'attaques, seules des extensions sont possibles ?

[Omnous_Luminae]

Le sujet est intéressant, pour les moyens de protections contre ce type d'attaques, seules des extensions sont possibles ?

Je me suis renseigner et j'ai pu trouver que l'on pouvait :1. Utiliser des en-têtes HTTP de protectiona) Content Security Policy (CSP)Déployez une politique CSP avec la directive

Code :

frame-ancestors 

pour empêcher l'intégration de votre site dans des iframes externes.
 

Code :

Content-Security-Policy: frame-ancestors 'self';

b) X-Frame-OptionsBien que cette directive soit moins flexible que CSP, elle peut également protéger votre site contre l'inclusion dans des iframes.

 

Code :

X-Frame-Options: DENY

2. Désactiver les actions automatiques dangereusesAjoutez des confirmations utilisateur pour des actions sensibles. Cela empêche qu'une double action soit déclenchée accidentellement.
Exemple : Ajouter une étape de confirmation

• Demander une confirmation par bouton (ex. "Êtes-vous sûr ?").
  
• Exiger un mot de passe ou un code CAPTCHA avant de valider une action critique.
  

 3. Protection côté client avec JavaScriptAjoutez des scripts pour détecter si votre site est intégré dans une iframe.
Exemple : Détection d'iframe
 

Code :

if (window.self !== window.top) { // Bloquer l'exécution du site si intégré dans une iframe document.body.innerHTML = '<h1>Accès interdit</h1>'; }

4. Détection des clics rapidesImplémentez un contrôle qui détecte et bloque plusieurs clics rapides (souvent associés au DoubleClickjacking).
Exemple : Limitation du clic rapide
 

Code :

let lastClickTime = 0; document.addEventListener('click', (e) => { const currentTime = new Date().getTime(); if (currentTime - lastClickTime < 500) { // Moins de 500 ms entre deux clics e.preventDefault(); alert("Action bloquée pour éviter des clics involontaires."); } lastClickTime = currentTime; });
 

5. Audit régulier et tests de sécurité

• Effectuez des tests de sécurité pour identifier les vulnérabilités potentielles.
  
• Utilisez des outils comme OWASP ZAP ou Burp Suite pour tester la robustesse de votre site contre le Clickjacking.
  

En combinant ces mesures techniques, vous réduisez considérablement les risques liés au DoubleClickjacking.

[EnZ0]

Je savais que cette news serait posé sur TISI, je me suis retenu de la mettre

Sujet intéressant, générant une discussion qui l'est tout autant. La réponse d'Omnous_Luminae apporte vraiment une dimension technique, mais il ne faut pas confondre génération d'une réponse avec compréhension d'une réponse.

C'est plus du ressort du prof de développement, mais je vais tenter de donner un complément d'information. Pour compléter ce qui a été dit sur les headers de sécurité, il est aussi crucial d'implémenter une protection SameSite pour les cookies : Set-Cookie: session=123; SameSite=Strict

Cette protection est particulièrement efficace car elle empêche l'envoi de cookies lors de requêtes cross-origin, limitant ainsi considérablement la portée des attaques de type clickjacking.

Un point important à noter est que la protection ne doit pas reposer uniquement sur des solutions côté client. Une approche défense en profondeur est nécessaire, combinant les protections côté serveur (headers HTTP, validation des tokens), côté client (détection de frame), et une bonne gestion des sessions.

Les extensions mentionnées par Juanito sont effectivement utiles, mais elles ne devraient être qu'une couche supplémentaire de protection, pas la principale ligne de défense. La sécurité doit être pensée dès la conception de l'application. Hein les développeurs ?

C'est exactement ce genre de vulnérabilités qui montre l'importance d'une veille technologique constante en cybersécurité. Les attaquants innovent continuellement, et nos protections doivent évoluer en conséquence.