Qu'est-ce que l'arnaque au doubleclick jacking ?

Publié par Anouk Dufresne

le 4/07/2025

4 minutes

Istock

Cette arnaque rappelle une fois encore que, dans le monde numérique, ce qui semble anodin peut cacher des mécanismes redoutables.

Dans le paysage numérique en constante mutation, les cybercriminels rivalisent d’ingéniosité pour contourner les systèmes de sécurité et piéger les internautes. Dernière ruse en date : le doubleclickjacking, une technique qui exploite un geste aussi banal qu’innocent. Derrière cette appellation technique se cache une menace bien réelle, qui peut conduire en quelques secondes à la compromission de données sensibles, voire au vol d’un compte bancaire.

Le doubleclickjacking reprend certains principes du clickjacking, une méthode déjà bien connue des spécialistes en cybersécurité. Le clickjacking consiste à dissimuler des éléments d’interface (boutons, formulaires, liens) sous des contenus afin d’inciter l’utilisateur à cliquer là où il ne le devrait pas. Le doubleclickjacking pousse le concept encore plus loin. Il exploite le temps extrêmement court entre deux clics successifs, laissant croire à l’utilisateur qu’il interagit normalement avec un site, alors que son second clic est détourné à des fins malveillantes.

Le fonctionnement est particulièrement retors. L’utilisateur est invité à cliquer une première fois sur un élément usuel, par exemple pour fermer une fenêtre ou confirmer une action. Ce premier clic déclenche en réalité une manipulation instantanée de la page : un nouvel élément apparaît à l’emplacement exact du deuxième clic, parfois une fraction de seconde plus tard. Ce nouvel élément peut être un bouton de validation d’achat, une autorisation d’accès à un compte bancaire, une demande de signature électronique, ou même l’ajout d’une extension malveillante à un navigateur. Le piège se referme alors sans que la victime ait conscience d’avoir effectué une action dangereuse.

Une technique redoutable

Cette technique est redoutable car elle échappe aux protections traditionnelles. Les en-têtes de sécurité, les politiques de sécurité de contenu ou les restrictions sur les cookies n’ont pas été conçus pour contrer des manipulations aussi furtives et rapides. Pire encore, même les systèmes de double authentification peuvent être contournés si l’utilisateur autorise sans le savoir une connexion tierce via OAuth (Open Authorization), un protocole d’accès largement utilisé par les applications.

Les conséquences peuvent être graves et immédiates. Plusieurs experts en cybersécurité alertent sur le fait que cette technique est déjà exploitée pour voler des identifiants, valider des virements bancaires, et dans certains cas, vider intégralement des comptes en ligne. La simplicité du geste impliqué rend cette attaque difficile à détecter et encore plus difficile à prévenir. Contrairement aux virus classiques, il n’est pas nécessaire d’installer un fichier ou d’ouvrir une pièce jointe : la vulnérabilité réside dans l’interface et dans la façon dont les utilisateurs interagissent avec elle.

D’après des experts interrogés par Capital et Ouest-France, le doubleclickjacking peut être intégré dans des pages frauduleuses qui imitent des services officiels ou populaires. L’attaque peut également survenir via des publicités piégées ou des sites apparemment légitimes compromis. L’un des risques majeurs est que ces attaques sont quasiment indétectables à l’œil nu. La transition entre les deux clics est si rapide et imperceptible que même un internaute prudent peut être victime sans s’en rendre compte.

Déjouer le piège

Cette nouvelle menace souligne l’importance de la vigilance comportementale. Face au doubleclickjacking, la solution ne repose pas uniquement sur des logiciels de protection, mais aussi sur une attention accrue de la part des utilisateurs. Il est crucial d’éviter de cliquer rapidement sur des pop-ups ou des boutons incitatifs, en particulier lorsqu’ils proviennent de sites inconnus ou apparaissent soudainement. Les internautes doivent également mettre à jour leurs navigateurs et extensions régulièrement, car les éditeurs travaillent à l’intégration de mécanismes pour limiter ces manipulations, par exemple en bloquant les changements dynamiques de l’interface après une première interaction.

Par ailleurs, certaines pratiques de conception de sites web sont aujourd’hui remises en question. Les développeurs sont appelés à repenser l’ergonomie des interfaces en différant les actions critiques ou en ajoutant des étapes de confirmation explicites. Un simple délai, une animation, ou une vérification utilisateur pourrait suffire à déjouer le piège du double-clic masqué. De la même manière, des extensions de navigateur conçues pour limiter les scripts dynamiques pourraient s’avérer utiles à l’avenir.

Ce que vous ignorez sur l’eau des piscines pourrait nuire à votre santé cet été

Interview. Le refus d’héritage pour déficit : comment ça marche ?

Vous avez un balcon ? Voici comment cultiver des carottes facilement chez vous

Covid : ce variant “Frankenstein” qui affole l’Europe va‑t‑il gâcher notre été ?

Thierry Ardisson : les slogans publicitaires cultes qu’il a inventés

Voici pourquoi vous devriez toujours changer le papier toilette en arrivant à l'hôtel

Après une opération ou en cas de mal de dos : ce coussin orthopédique peut vraiment faire la différence

En ce moment

Qu'est-ce que l'arnaque au doubleclick jacking ?

Une technique redoutable

Déjouer le piège

Partager :

Pourquoi accepter nos cookies ?