Une nouvelle menace exploite les doubles clics pour détourner des comptes

Un expert en cybersécurité a dévoilé une nouvelle technique d'attaque sur le web qui pourrait présenter des risques importants pour la sécurité des comptes en ligne.

Nouvelle menace de détournement de clics

La menace dite « DoubleClickjacking », découverte par le chercheur Paulos Yibelo, exploite les doubles clics des utilisateurs pour contourner les mécanismes de sécurité.

Les risques associés au DoubleClickjacking découlent de la manière dont il trompe les utilisateurs en les incitant à effectuer des actions sensibles, telles que l'autorisation d'applications OAuth, la prise en compte d'invites d'authentification multifactorielle (MFA), ou même l'installation d'extensions de navigateur.

Les attaques traditionnelles de clickjacking s'appuient généralement sur des iframes cachées pour manipuler les clics des utilisateurs. Cependant, le DoubleClickjacking utilise un mécanisme unique qui contourne les protections liées aux iframes, en se concentrant plutôt sur un mélange de timing et d'interaction avec l'utilisateur.

Comment fonctionne le DoubleClickjacking

Une attaque typique de DoubleClickjacking se déroule comme suit :

• Le leurre : La victime arrive sur une page Web malveillante qui contient un bouton attrayant accompagné d'un leurre, tel que « Cliquez ici pour obtenir votre récompense »
• La superposition de la tromperie : Un clic sur le bouton fait apparaître une nouvelle fenêtre superposée sur l'écran de la victime, l'invitant à effectuer une action apparemment inoffensive, comme résoudre un captcha.
• L'appât et l'échange : En arrière-plan, JavaScript modifie dynamiquement la page sous-jacente pour en faire un site web légitime, en alignant les boutons ou les liens sensibles sur le curseur de la victime.
• L'exploit : Le deuxième clic de la victime tombe sur le bouton sensible désormais visible, ce qui déclenche des actions telles que l'octroi de permissions ou l'autorisation de transactions.

Conséquences de l'attaque

Cette manipulation contourne les défenses traditionnelles contre le détournement de clics, y compris les restrictions telles que X-Frame-Options ou frame-ancestors. Étant donné que l'exploit implique une interaction directe de l'utilisateur avec des sites légitimes, il contourne efficacement la protection contre les cookies et les restrictions relatives aux requêtes intersites.

Pour ne rien arranger, l'attaque ne se limite pas aux ordinateurs ou aux sites web ; elle peut également affecter les extensions de navigateur et les téléphones mobiles.

« Cette technique peut être utilisée pour attaquer non seulement les sites web, mais aussi les extensions de navigateur », explique Paulos Yibelo. « Par exemple, j'ai fait des preuves de concept pour des portefeuilles de crypto-monnaie de haut niveau qui utilisent cette technique pour autoriser des transactions web3 et des dApps ou pour désactiver le VPN afin d'exposer l'IP, etc. Cela peut également être fait dans les téléphones mobiles en demandant à la cible de 'DoubleTap' ».

Les défenses actuelles sont insuffisantes

Malheureusement, les exploits basés sur le temps manquent encore de mécanismes de défense solides. Cependant, quelques mesures proactives proposées par Yibelo peuvent contrer cette menace émergente :

• Protection JavaScript : Mise en œuvre de scripts pour désactiver les boutons sensibles jusqu'à ce que des gestes explicites de l'utilisateur, tels que des mouvements de souris, soient détectés.
• En-têtes HTTP : Introduction d'en-têtes qui limitent le passage rapide d'une fenêtre de navigateur à l'autre au cours d'une séquence de double-clic, afin d'empêcher les attaquants d'exploiter ce comportement.

Les solutions proposées devraient ajouter de la friction aux interactions des utilisateurs, réduisant ainsi la probabilité de clics involontaires sur des éléments sensibles.

Les logiciels de sécurité spécialisés

Un logiciel spécialisé comme Bitdefender Ultimate Security peut vous protéger contre les pages web malveillantes et autres intrusions numériques. Il combat les virus, les vers, les chevaux de Troie, les spywares, les ransomwares, les zero-day exploits, les rootkits et autres cybermenaces.

Ses principales fonctionnalités sont les suivantes : protection complète des données en temps réel, prévention des menaces réseau, détection comportementale des applications actives, protection multicouche contre les ransomwares, prévention des attaques sur le web, technologie anti-fraude et protection contre les escroqueries assistée par l'IA.