Une nouvelle forme d’attaque appelée double-clickjacking a été mise en évidence par Paulos Yibelo, ingénieur en sécurité chez Amazon. Cette technique permet aux hackers de contourner les protections des navigateurs en incitant les utilisateurs à double-cliquer sur un bouton, ce qui déclenche des actions nuisibles telles que la désactivation de la sécurité des comptes. Pour se protéger, il est recommandé de faire preuve de prudence en ligne et d’utiliser des logiciels antivirus fiables.
Bien que vous deviez toujours faire preuve de prudence lorsque vous cliquez en ligne, une nouvelle variante de l’attaque classique de clickjacking mérite votre attention, surtout lorsqu’un site vous demande de double-cliquer sur un élément.
Selon les informations de Cybernews, Paulos Yibelo, un ingénieur en sécurité chez Amazon, a mis en lumière cette nouvelle méthode d’attaque qui pourrait être utilisée pour désactiver des paramètres de sécurité, supprimer des comptes ou même prendre le contrôle de vos comptes en ligne existants.
Comprendre le clickjacking et ses évolutions
Le clickjacking, comme son nom l’indique, est une technique malveillante où des hackers ou d’autres cybercriminels exploitent vos clics sur un site pour réaliser des actions nuisibles sur un autre site. Par exemple, vous pourriez croire que vous cliquez sur un bouton sur le site que vous visitez, mais en réalité, ce clic pourrait être utilisé pour effectuer un achat sur un site totalement différent.
Récemment, les hackers ont introduit une nouvelle dimension à cette méthode d’attaque pour contourner les protections des navigateurs modernes qui bloquent l’envoi de cookies intersites. Ainsi, une menace qui semblait presque disparue est de retour et est réutilisée par les cybercriminels.
Voici ce que vous devez absolument savoir sur le double-clickjacking et comment vous protéger contre cette menace croissante.
Le processus du double-clickjacking
Dans un article récent, Yibelo décrit le fonctionnement du double-clickjacking, expliquant que, bien que cela semble être un simple ajustement, « cela ouvre la voie à de nouvelles attaques de manipulation de l’interface utilisateur qui contournent toutes les protections connues contre le clickjacking ».
Dans les attaques impliquant cette nouvelle variante, les hackers dirigent d’abord les victimes vers un site de phishing. Une fois sur ce site, une notification CAPTCHA apparaît, mais avec une twist : au lieu de déchiffrer un texte brouillé ou d’identifier des objets dans des images, les utilisateurs sont sollicités de double-cliquer sur un bouton pour prouver qu’ils sont humains.
Entre ces deux clics, les hackers profitent de cette méthode pour charger une page sensible, comme une confirmation d’autorisation OAuth. Le premier clic ferme la fenêtre supérieure, tandis que le second clic conduit à la page sensible pour approuver l’autorisation ou réaliser une autre action.
Fait intéressant, peu importe le temps que l’utilisateur met à effectuer son second clic.
Selon Yibelo, le double-clickjacking peut permettre d’obtenir des autorisations OAuth et API sur de nombreux sites populaires. De plus, cette méthode peut aussi être exploitée pour modifier des paramètres de compte d’un simple clic, comme désactiver des options de sécurité, supprimer un compte, ou approuver des transferts d’argent.
Protégez-vous contre le double-clickjacking
Pour vous défendre contre cette nouvelle forme de clickjacking, il est essentiel que les entreprises comme Google, Microsoft, Apple et Mozilla intègrent des protections dans les mises à jour futures de leurs navigateurs. Néanmoins, vous pouvez prendre des mesures pour éviter de devenir une victime de cette cyberattaque.
Tout d’abord, soyez vigilant quant aux liens que vous cliquez en ligne. Que ce soit dans un e-mail, un message texte ou même un bouton sur un site web, réfléchissez avant d’interagir. Évitez également de visiter des sites suspects, comme ceux qui promettent des prix incroyables tels que des ‘iPhones gratuits’.
Pour garantir la sécurité de vos appareils, utilisez un logiciel antivirus de haute qualité sur votre ordinateur Windows et un bon antivirus sur votre Mac. Bien qu’il n’existe pas d’équivalent pour les iPhones, le logiciel antivirus Mac d’Intego peut analyser un iPhone ou un iPad pour des menaces lorsqu’il est connecté à un Mac.
Avec la résurgence du clickjacking par les hackers, il est probable que les navigateurs et les sites web mettent en place de nouvelles fonctionnalités pour contrer cette menace. En attendant, il est crucial d’adopter de bonnes pratiques en matière de sécurité numérique, et surtout, évitez de double-cliquer sur les CAPTCHA.
Plus d’articles utiles
- Les Macs sous la menace de publicités malveillantes — faites attention aux pièges
- Le FBI recommande l’utilisation de bloqueurs de publicités — découvrez pourquoi
- Plus de 600 000 utilisateurs de Chrome à risque après la compromission de 16 extensions par des hackers