Sécurité en ligne. Un simple double-clic peut valider une action à votre insu : illustration des risques de « double clickjacking » et des bons réflexes à adopter. Credit : Pixabay
Un nom barbare pour une arnaque très simple à exécuter et redoutable à détecter. Le double clickjacking consiste à dissimuler un bouton malveillant (autoriser un accès, valider un paiement, installer un logiciel…) sous un bouton légitime qui, lui, paraît inoffensif — du type « Validez le CAPTCHA » ou « Cliquez ici pour votre cadeau ». Vous cliquez une première fois… puis, au moment du deuxième clic, une fenêtre superposée s’intercale et capte votre action. Résultat : vous pensez passer une étape banale, vous accordez en réalité une autorisation sensible ou lancez l’installation d’un programme intrusif.
Double clickjacking : comment fonctionne ce piège en deux clics
Le scénario type tient en quelques secondes :
- Appât visuel sur une page web (jeu-concours, vérification anti-robot, bouton « continuer »).
- Superposition furtive d’un second élément (autoriser l’accès au compte, confirmer une transaction, accepter des notifications/extension).
- Votre second clic tombe sur la couche cachée et valide l’action malveillante sans que vous vous en rendiez compte.
Dans la foulée, les fraudeurs peuvent installer un malware, récupérer des données personnelles ou déclencher des autorisations (accès au compte, aux SMS, au micro, aux notifications push, etc.).
Ce qui rend la manœuvre trompeuse : tout semble provenir du site que vous visitez. Pas de fautes criantes, pas de pop-up agressif ; juste une interface familière… et un calque invisible.
Se protéger du double clickjacking : les bons réflexes à adopter
- Méfiez-vous de l’urgence et des promesses trop belles. Un compte à rebours, un cadeau « garanti », un CAPTCHA qui revient sans cesse : autant de signaux d’alerte.
- Regardez l’URL, vraiment. Domaine officiel, orthographe exacte, présence du HTTPS (cadenas) — et méfiance avec les sous-domaines trompeurs (ex. sécurité.votre-banque.exemple.com ≠ votre-banque.com).
- Évitez le double-clic « réflexe » sur le Web. Préférez un clic unique et prenez une demi-seconde pour vérifier ce qui s’affiche avant de cliquer à nouveau.
- Bloquez ce qui s’exécute tout seul. Activez le blocage des pop-ups, tenez navigateur et extensions à jour, et, si vous êtes à l’aise, utilisez des outils qui limitent les scripts et superpositions (ex. NoScript, uBlock Origin) ou une suite de sécurité (ex. Bitdefender Ultimate Security).
- Activez la double authentification (2FA) sur vos comptes sensibles : même si un clic a dérapé, un code secondaire peut couper la chaîne.
- Revoyez les autorisations de votre navigateur et de vos applications (notifications, accès micro/caméra, installations d’extensions) et révoquez ce qui vous paraît louche.
Que faire si vous avez cliqué ?
Déconnectez-vous des comptes ouverts, changez vos mots de passe (avec un gestionnaire), scannez l’appareil avec un antivirus à jour, supprimez l’extension ou l’app installée par erreur, surveillez vos relevés (banque, plateformes d’achat) et, en cas de doute sur un paiement, prévenez votre banque rapidement.
About The Author
