DoubleClickjacking : une nouvelle ère d’attaques d’interface utilisateur
Le DoubleClickjacking est un nouveau type d'attaque qui exploite le minutage des événements de double clic pour contourner toutes les protections connues contre le clickjacking, y compris l'en-tête X-Frame-Options, frame-ancestors de CSP et les cookies SameSite : Lax/Strict. Les attaquants incitent les utilisateurs à double-cliquer sur un bouton apparemment bénin, passant rapidement d'une fenêtre à l'autre en quelques millisecondes pour détourner des actions telles que l'autorisation d'applications malveillantes ou la modification des paramètres de compte. Il tire parti de la subtile différence de temps entre les événements mousedown et onclick, le rendant efficace quelle que soit la vitesse du double clic. Bien que certains sites atténuent ce problème en désactivant les boutons jusqu'à ce qu'une interaction de l'utilisateur (mouvement de la souris ou interaction au clavier) soit détectée, cela nécessite une protection côté client. Des solutions à long terme nécessitent de nouveaux standards de navigateur pour s'en défendre.
Lire plus