DoubleClickjacking : le nouveau piège qui peut vider vos comptes

Emmanuelle Raimbault Durée de lecture : 2 minutes
Une internaute confrontée au DoubleClickjacking.
© Il Ă©tait une pub - DoubleClickjacking : le nouveau piège qui peut vider vos comptes
Afficher les titres Masquer les titres

Le DoubleClickjacking transforme votre double-clic en arme pour les hackers : en une fraction de seconde, la page modifie l’élément sur lequel vous validez, et vous autorisez à votre insu un paiement, une installation ou la prise de contrôle de votre compte. Popularisée par des chercheurs en sécurité, cette variante du clickjacking mise sur notre automatisme le plus ancré. Pour éviter que ce geste banal ne devienne catastrophique, voici un point complet sur le mode opératoire et les parades.

DoubleClickjacking : comprendre la mécanique

L’attaque repose sur un faux bouton “appât”. Entre vos deux clics, un script échange le visuel initial contre un formulaire critique exactement à la même position. Le second clic valide alors l’action que le pirate souhaitait.

Pourquoi les protections classiques Ă©chouent ?

Antivirus et filtres anti-phishing ne détectent pas toujours ces manipulations internes, car le code semble légitime pour le navigateur. Ce qui rend le DoubleClickjacking redoutable pour les internautes.

Aucune alerte visuelle

Tout se passe dans le DOM : aucun pop-up suspect, aucun téléchargement. L’utilisateur ne perçoit pas la substitution.

Cookies sécurisés et CSP limitées face au DoubleClickjacking

Des en-têtes comme « SameSite » ou des politiques CSP strictes bloquent les injections externes, mais pas la reconfiguration éclair orchestrée par le script local.

Les bons réflexes pour neutraliser le DoubleClickjacking

Adopter quelques outils et habitudes suffit souvent à rendre le piège inopérant.

  • Bloquer les scripts non essentiels avec NoScript ou uBlock Origin en mode avancĂ©.
  • Freiner le double-clic rĂ©flexe : vĂ©rifiez toujours l’élĂ©ment après le premier clic.
  • Mettre Ă  jour le navigateur pour bĂ©nĂ©ficier des nouvelles dĂ©fenses contre la manipulation de frames et le DoubleClickjacking.
  • Installer une suite de cybersĂ©curitĂ© rĂ©cente capable d’analyser les changements DOM en temps rĂ©el.
  • Fuir les sites douteux : un cadeau trop gĂ©nĂ©reux cache souvent un dĂ©tournement de clic.

Que faire si vous avez déjà cliqué ?

D’abord, commencez par changer le mot de passe du service concernĂ©. Puis activez la double authentification si disponible. Enfin, surveillez vos relevĂ©s bancaires, lancez un scan antivirus complet et vĂ©rifiez les extensions installĂ©es dans votre navigateur.

En ralentissant vos clics, en filtrant les scripts et en tenant vos logiciels à jour, vous privez le DoubleClickjacking des quelques millisecondes dont il a besoin pour dériver vos données personnelles.

À lire aussi dans la même catégorie :

Sources : capital.fr

Signaler une erreur

Il était une pub est un média indépendant. Soutenez-nous en nous ajoutant à vos favoris Google Actualités :

Suivez-nous sur Google News

Publiez un commentaire

Suivez-nous :

Entretenir votre maison