Si vous ne vous protégez pas contre le DoubleClickjacking, vous risquez de perdre la confiance de vos visiteurs en ligne. Cette récente cybermenace, difficile à détecter, reflète un phénomène rampant de cyberattaques, dont le nombre a explosé depuis 2024.
Un nid de poule digital
Dévoilé par l’expert en cybersécurité Paulos Yibelo, le DoubleClickjacking apparaît malheureusement à un moment qui lui est favorable. En 2024, 20% d’incidents supplémentaires à la normale étaient signalés à la CNIL.
Principalement, les accès non détectés, les vols d’identifiants et les failles de sécurité sont régulièrement revenus sur la table. En guise de riposte, la CNIL a élaboré un plan stratégique pour la période courant de 2025 à 2028.
Concrètement, comment agit le DoubleClickjacking ?
Étudions de l’intérieur une opération de DoubleClickjacking en cas d’attaque d’identité OAuth. L’individu atterrit sur une fenêtre parente, autrement dit un site web malveillant.
Il clique sur un bouton qui ouvre la fenêtre enfant : elle demande explicitement un double-clic. En réalité, la page enfant a déjà utilisé la fonction window.opener.location pour inviter la fenêtre parent à accéder à sa cible : la page OAuth.
L’usager fait un double-clic, qui déclenche deux événements : le premier clic provoque un événement de souris enfoncée qui ferme la fenêtre enfant et fait réapparaître instantanément la fenêtre parent.
Et le second clic accepte les autorisations demandées par l’application malveillante via OAuth. Les 2 boutons cliqués sont si bien superposés que l’utilisateur ne mesure pas le risque qu’il vient de prendre.
Grâce au faux bouton CTA et à une modification discrète de l’arrière-plan, l’internaute finit par valider involontairement une action non souhaitée.
Comme le DoubleClickjacking s’appuie sur le flux naturel de navigation, il est encore plus redoutable pour les utilisateurs de smartphones.
Qu’est-ce qui rend le DoubleClickjacking si dangereux ?
Le DoubleClickjacking est une variante plus élaborée du Clickjacking classique. Discret et quasiment invisible, il échappe aux systèmes actuels de défense contre les attaques de détournement de clic.
En effet, ni l’authentification intersite, ni aucune iframe n’est touchée pendant l’attaque, ce qui rend les défenses actuelles inopérantes.
Quelles sont les conséquences du DoubleClickjacking pour les particuliers et les professionnels ?
Les particuliers victimes du DoubleClickjacking perdent l’accès à leurs comptes. Parfois, ils y ont encore accès mais partagent involontairement des données personnelles telles que leurs coordonnées bancaires, leurs emails ou leurs mots de passe.
Les entreprises ciblées par le DoubleClickjacking peuvent perdre leurs données sensibles. Elles peuvent également subir des intrusions non-désirées dans leurs systèmes d’information.
Comment se prémunir face au danger ?
Tout commence par une prise de conscience du phénomène. La CNIL recommande de protéger vos données par une surveillance continue, la formation et une collaboration étroite avec vos prestataires. Cela équivaut à éviter les doubles-clics incontrôlés ou de partager vos données personnelles sur des plateformes suspectes ou peu sécurisées.
En revanche, vérifiez l’URL, les informations et les destinataires avant de valider une action. Sensibilisez les utilisateurs et formez vos collaborateurs aux risques de cyberattaques.
Enfin, vos navigateurs, extensions et antivirus doivent être régulièrement mis à jour. Mieux encore, ils doivent être testés régulièrement.
Quelques mesures concrètes de protection contre le DoubleClickjacking
Sécurisez vos systèmes grâce à l’authentification multifacteur (MFA). Supprimez les comptes partagés ou génériques, et sensibilisez vos employés face aux dangers du phishing.
Sécurisez mieux vos bases de données. Par exemple, fixez des durées de conservation strictes afin de réduire l’exposition de vos données sensibles. Limitez les volumes de données exportables. Vous pouvez également restreindre les accès et créer une politique d’habilitation stricte.
Renforcez l’identification et les ripostes face aux incidents par une recherche proactive d’éventuelles fuites de données sur le dark web. Détectez d’avance les comportements anormaux via l’analyse en temps réel des flux réseau. Par précaution, surveillez les accès aux données sensibles et optez pour la journalisation.
Protéger vos visiteurs en ligne pour sécuriser votre business
Les données personnelles ont de plus en plus de valeur. En conséquence, elles doivent être protégées. Les utilisateurs sont invités à plus de vigilance en ligne.
Avant et au-delà de toutes expertises et technologies, seule la confiance convertit un visiteur lambda en client concret sur un site professionnel.
C’est ce précieux sésame, gage de rentabilité, que vous conservez en sécurisant votre site web et vos systèmes d’information face au DoubleClickjacking.
