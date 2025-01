À l’origine, les navigateurs web et les systèmes de sécurité avaient déjà mis en place des mécanismes antifraude pour combattre le clickjacking classique. Ils bloquaient notamment les iframes malveillantes et neutralisaient l’envoi de cookies cross-site. Mais dans le cas du DoubleClickjacking, l’attaquant utilise le premier clic pour ouvrir une fenêtre bénigne (par exemple un « Captcha ») et le second pour rediriger instantanément sur un site dangereux. De cette façon, les systèmes de défense classiques ne détectent rien d’anormal.

En soi, cliquer une deuxième fois est un geste anodin. Pourtant, c’est l’occasion rêvée pour un cybercriminel d’introduire un nouvel élément d’interface. Pendant ce bref laps de temps, l’utilisateur n’a pas conscience que la page a changé dans l’ombre : il croit toujours finaliser une opération légitime. Résultat : il peut autoriser un accès à ses données ou valider une connexion OAuth sans même s’en rendre compte.