Aller au contenu
Accueil » Le « DoubleClickjacking » : nouvelle méthode d’attaque

Le « DoubleClickjacking » : nouvelle méthode d’attaque

Le « DoubleClickjacking » : nouvelle méthode d'attaque

Les chercheurs en sécurité ont identifié une nouvelle méthode d’attaque sophistiquée baptisée « DoubleClickjacking » par Paulos Yibelo, un expert en cybersécurité. Cette technique exploite une faille de timing dans les interactions utilisateur. Elle transforme un double-clic en opportunité malveillante. Elle permet de détourner des clics et de compromettre des comptes sur des sites web majeurs.

DoubleClickjacking : Une évolution du clickjacking

Le clickjacking, ou redressement d’interface utilisateur (UI redressing), est une attaque où les utilisateurs sont trompés pour interagir avec des éléments invisibles ou malveillants sur un site web.

Le DoubleClickjacking reprend ce principe en exploitant l’écart entre le début d’un clic et la fin du deuxième clic effectués par l’utilisateur. Ce mécanisme permet de contourner, avec une interaction minimale, les protections classiques. Parmi celles-ci figurent les en-têtes HTTP X-Frame-Options ou les cookies SameSite: Lax/Strict.

Selon Paulos Yibelo, cette variante ouvre la porte à des attaques inédites contre l’interface utilisateur, mettant en échec toutes les protections existantes.

 

Mécanisme de l’attaque : exploitation des doubles clics

Voici comment fonctionne cette attaque en plusieurs étapes :

  • Déclenchement initial: L’utilisateur visite un site contrôlé par un attaquant. Ce dernier ouvre une nouvelle fenêtre de navigateur sans aucune interaction de l’utilisateur ou en cliquant sur un bouton.
  • Simulation d’interaction légitime: La nouvelle fenêtre, qui peut imiter quelque chose d’anodin comme une vérification CAPTCHA, invite l’utilisateur à double-cliquer pour terminer l’étape.
  • Redirection malveillante : Pendant le double-clic, le site parent utilise l’objet JavaScript Window Location. Cela permet de rediriger furtivement l’utilisateur vers une page malveillante, comme par exemple en approuvant une application OAuth malveillante.
  • Fermeture discrète : Une fois l’action accomplie, la fenêtre est rapidement fermée pour cacher l’attaque.
Le « DoubleClickjacking » : nouvelle méthode d'attaque
Méthode de l’attaque de doubleclickjacking. (Crédit Photo : Paulos Yibelo)

Ce stratagème permet à l’attaquant d’obtenir un accès non autorisé à des comptes ou de contourner des autorisations de sécurité.

 

Défenses classiques inefficaces

Selon Yibelo, les protections traditionnelles, comme les en-têtes X-Frame-Options, les cookies SameSite ou les Content Security Policies (CSP), sont incapables de bloquer ce type d’attaque. Ces mécanismes n’ont pas été conçus pour gérer les vulnérabilités liées aux interactions complexes comme le double-clic.

 

Conseils contre le DoubleClickjacking

Pour mitiger cette menace, plusieurs stratégies sont recommandées :

  • Approches côté client : Désactiver les boutons critiques par défaut tant qu’un mouvement de souris ou une pression de touche n’est pas détecté. Cette approche est déjà adoptée par des services comme Dropbox.
  • Solutions à long terme : Encourager les fournisseurs de navigateurs à intégrer des normes améliorées, comme une extension des X-Frame-Options, pour anticiper les manipulations basées sur le timing.

 

Une menace qui s’inscrit dans une tendance alarmante

Cette découverte suit de près une autre technique démontrée par Yibelo l’année précédente : le détournement de fenêtres croisées, ou « gesture hijacking ». Cette méthode incitait les utilisateurs à maintenir des touches comme « Entrée » ou « Espace » enfoncées pour exécuter des actions malveillantes sur des plateformes telles que Coinbase et Yahoo!.

En combinant des tactiques comme le DoubleClickjacking, les attaquants exploitent des comportements utilisateurs anodins. Ces méthodes permettent de compromettre des comptes et d’accéder à des données sensibles.

 

Conclusion

Le DoubleClickjacking représente une nouvelle frontière dans les cyberattaques, mettant en évidence les limites des solutions de sécurité actuelles. Face à cette menace, les développeurs, les administrateurs de sites et les fournisseurs de navigateurs doivent redoubler d’efforts pour anticiper et contrer ces vulnérabilités émergentes. Sensibiliser les utilisateurs aux risques associés à leurs interactions en ligne est essentiel. Cela permet de minimiser l’impact de ces nouvelles menaces.

 

Source : The Hacker News

Étiquettes: