Clickjacking
Qu'est-ce que Clickjacking ?
ClickjackingAttaque "UI redress" qui pousse l'utilisateur à cliquer sur autre chose que ce qu'il croit voir, en superposant ou en cachant une page cible dans une page contrôlée par l'attaquant.
Le clickjacking embarque une page sensible (par exemple les paramètres de compte, le consentement OAuth, la confirmation de paiement) dans une iframe sur un site malveillant et la déguise visuellement — souvent par de la transparence, des superpositions CSS soignées ou un positionnement stratégique sous des boutons leurres. L'utilisateur croit interagir avec la page visible, alors que ses clics, taps ou glissés sont en réalité délivrés au cadre caché, effectuant des actions dans sa session authentifiée.
Le terme a été forgé en 2008 par Jeremiah Grossman et Robert Hansen, qui ont démontré l'encadrement du gestionnaire de paramètres d'Adobe Flash pour activer silencieusement la webcam et le microphone d'une victime. La défense qui en a émergé, l'en-tête X-Frame-Options, a été standardisée sous la RFC 7034 (2013) et a depuis été remplacée par la directive frame-ancestors de Content-Security-Policy, plus granulaire et capable d'autoriser plusieurs origines. Les variantes ne cessent d'évoluer : cursorjacking, vol de données par glisser-déposer et likejacking. Fin 2024, le chercheur Paulos Yibelo a publié « DoubleClickjacking », qui exploite l'intervalle entre les deux événements d'un double-clic pour échanger la page sous-jacente après le premier clic, contournant X-Frame-Options, frame-ancestors et les cookies SameSite, car aucun cadre cross-site n'est réellement présent au moment du clic.
Les défenses combinent les contrôles d'encadrement (frame-ancestors 'self' ou une liste d'autorisation explicite), des exigences explicites de geste utilisateur et de confirmation pour les actions sensibles, la désactivation des boutons jusqu'à un bref délai après la prise de focus, et les cookies SameSite pour limiter l'état cross-contexte.
flowchart TD A[La victime visite<br/>la page de l'attaquant] --> B[UI leurre :<br/>« Cliquez pour gagner »] B --> C[Une iframe invisible charge<br/>le vrai site cible] C --> D[La victime est connectée<br/>au site cible] B --> E[Une superposition transparente<br/>aligne le bouton caché] E --> F[La victime clique sur le leurre] F --> G[Le clic atterrit sur le bouton<br/>caché « Approuver »] G --> H[L'action s'exécute dans<br/>la session de la victime]
● Exemples
- 01
Une page invite à "cliquer pour gagner" tandis qu'une iframe transparente recouvre le bouton et pointe vers une boîte de dialogue de permission d'un réseau social.
- 02
Une superposition au pixel près incite l'utilisateur à cliquer "Approuver" sur l'écran de consentement OAuth d'une app malveillante.
● Questions fréquentes
Qu'est-ce que Clickjacking ?
Attaque "UI redress" qui pousse l'utilisateur à cliquer sur autre chose que ce qu'il croit voir, en superposant ou en cachant une page cible dans une page contrôlée par l'attaquant. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Clickjacking ?
Attaque "UI redress" qui pousse l'utilisateur à cliquer sur autre chose que ce qu'il croit voir, en superposant ou en cachant une page cible dans une page contrôlée par l'attaquant.
Comment se défendre contre Clickjacking ?
Les défenses contre Clickjacking combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Clickjacking ?
Noms alternatifs courants : Attaque par superposition d'UI.