Des pirates ont mis en place une méthode pour utiliser une variante de l’attaque au clickjacking afin d’outrepasser les sécurités mises en place. C’est le Doubleclickjacking. On vous explique ce que c’est et pourquoi il faut être très prudent. Le clickjacking est une méthode qui détourne l’utilisation du double clic pour imposer une action à l’utilisateur sans qu’il ne s’en rende compte. Cela peut être le téléchargement d’une application malveillante ou la validation d’une action sensible. Paulos Yibelo, un chercheur spécialisé dans les attaques informatiques, alerte : le Doubleclickjacking est désormais très en vogue. Si cette attaque repose sur le clickjacking, elle diffère dans sa mise en place. Au lieu d’utiliser des fenêtres cachées pour faire cliquer l’utilisateur à son insu, la technique va modifier la page initiale. Concrètement, le pirate va vous attirer sur un site spécifique. Pour vous mettre en confiance, il va faire apparaître un faux captcha qui va demander un double clic pour la validation. C’est là que tout se joue. En effet, avant que le deuxième clic ne soit effectué, le site en arrière-plan (la page parente donc) va être modifié. Ainsi, une fois le deuxième clic validé, l’utilisateur va enclencher une action qui n’était pas prévue. Schéma du fonctionnement du Doubleclickjacking // Crédits : Paulos Yibelo Il montre par exemple comment cette méthode permet d’obtenir l’accès à des comptes comme ceux de Salesforce, Slack ou encore Shopify. Paulos Yibelo invite donc tout le monde à la plus grande vigilance. Ce dernier incite également les développeurs à faire évoluer les systèmes de défense comme X-Frame-Options, CSP et SameSite cookies qui ne permettent pas de se défendre contre cette attaque.