Le Clickjacking, également connu sous le nom de "UI redressing" ou "User Interface (UI) redressing", est une technique utilisée par les cybercriminels pour tromper les utilisateurs et les inciter à cliquer sur des éléments d'une page Web sans le savoir ou sans leur consentement. Cette technique exploite les failles de sécurité dans la manière dont les navigateurs Web rendent les pages Web.
Voici comment fonctionne généralement le Clickjacking :
- L'attaquant crée une page Web malveillante contenant des éléments transparents ou opaques, souvent superposés à des éléments de contenu attrayants ou familiers d'un autre site Web.
- L'attaquant incite la victime à visiter cette page malveillante, par exemple en la partageant sur les réseaux sociaux, en l'incluant dans un e-mail, ou en l'encadrant dans une page Web légitime.
- Lorsque la victime visite la page malveillante, les éléments superposés peuvent être positionnés de manière à masquer des boutons ou des liens d'actions, tels que des boutons de connexion, des boutons "J'aime" sur les réseaux sociaux, ou des liens pour effectuer des achats en ligne.
- Lorsque la victime interagit avec la page malveillante, elle pense cliquer sur les éléments de la page visible, mais en réalité, elle clique sur les éléments superposés invisibles.
- L'attaque peut être utilisée pour effectuer diverses actions indésirables, telles que liker une page, partager du contenu, effectuer des achats en ligne, ou même activer ou désactiver des fonctionnalités de sécurité involontairement.
Pour se protéger contre le Clickjacking, les développeurs de sites Web peuvent mettre en œuvre des mesures de sécurité telles que l'utilisation de l'en-tête HTTP X-Frame-Options pour limiter l'encadrement de leurs pages Web dans des frames, ou en utilisant la directive frame-ancestors dans les politiques de sécurité CSP (Content Security Policy). Les utilisateurs doivent également être conscients des risques potentiels du Clickjacking et éviter de cliquer sur des éléments de pages Web suspectes ou non familières.
