Qu’est-ce que le clickjacking ?

Le clickjacking se produit lorsqu’un arnaqueur crée une interface web en trompe-l’œil et dérobe les clics effectués sur le site contrefait afin de les exploiter sur son site, bien réel celui-là. Les utilisateurs tombent sur le site illégitime dans lequel ils pensent remplir un champ, cliquer sur un lien ou taper leurs mots de passe pour accéder à ce qui leur est présenté.

En fait, ils se sont fait avoir par l’arnaqueur. Le clic a été détourné et utilisé pour confirmer une autre action sur un site différent ; de la même manière, ce qui a été tapé au clavier a été détourné pour récupérer le mot de passe et se connecter à des comptes à l’insu de la victime. Les applications de ce type d’activité frauduleuse sont illimitées.

La plupart des temps, ces clics ou ces frappes clavier dérobés sont acheminés vers des pages détenues par d’autres applications ou un autre domaine. Le stratagème est là devant vous et pourtant vous n’avez aucune idée qu’il est en train de s’appliquer.

Comment repérer un clickjacking ?

Pour que son arnaque fonctionne, le spammeur doit en principe inciter l’utilisateur à agir dans un certain sens. Pour cela, les spammeurs ne se gênent pas pour allécher les utilisateurs avec des offres de matériels électroniques, de cartes cadeaux gratuites, etc. Si cela vous semble trop beau pour être vrai, c’est que votre impression ne vous trompe pas, et mieux vaut fuir ces sites.

Dans de nombreux cas, le HTTP qui préfixe l’URL sera absent d’un site frauduleux. Les en-têtes HTTP ou HSTS (Strict Transport Security) aident à verrouiller les communications entre l’utilisateur et le site web de l’organisation. Si aucun de ces en-têtes ne figure dans l’en-tête du site web, quittez ce dernier sans attendre.

N’oubliez pas qu’un site web peut sembler en apparence identique à la réalité : l’arnaqueur qui voudra recréer un site web convaincant n’a qu’à puiser sur le web la plupart des logos, des clients, des polices et des images dont il a besoin pour cela. Mais il ne suffit pas d’avoir l’air authentique pour l’être réellement. En cas de doute, abstenez-vous.

Comment éviter les fraudes au clickjacking

La meilleure manière de se protéger de ces fraudes est de les éviter. Mettez toujours à jour vos navigateurs web avec les dernières versions disponibles. Les nouvelles versions vous avertiront en cas de sites web suspects.

Également, soyez toujours à jour en ce qui concerne la sécurité de vos ordinateurs domestiques en installant des logiciels fiables qui protégeront vos données personnelles.

Déconnectez-vous toujours des sites web que vous utilisez habituellement (e-mails, institutions financières, Facebook et Amazon). Les fraudeurs savent que la plupart des gens ne se déconnectent pas régulièrement de ces sites web et ils profitent de cet état de fait lorsqu’ils conçoivent leurs arnaques. Si vous laissez ces comptes ouverts, des fraudeurs peuvent aimer des choses sur votre page Facebook et même procéder à des achats en ligne à votre nom.

Les entreprises elles aussi doivent prendre des mesures pour se protéger et protéger leurs utilisateurs contre le clickjacking. La manière la plus facile pour cela est d’utiliser X-Frame-Options, l’en-tête HTTP qui décide si un navigateur est autorisé à rendre une page dans un <frame>, un <iframe> ou un <object>. C’est la garantie que le contenu de l’organisation ne sera pas incorporé à un site contrefait.

Tous les utilisateurs doivent faire preuve de vigilance à propos de leur sécurité en ligne et éviter toute situation en ligne qui ne leur paraît pas authentique. La sécurité collective de la communauté en ligne ne pourra que profiter des comportements sécuritaires de tout un chacun.

Enfin, si vous constatez quelque chose qui vous paraît suspect, contactez l’organisation et faites part de ce que vous avez vu et où vous l’avez vu. Vous pourrez aider les autres utilisateurs en ligne à se protéger en signalant du clickjacking aux autorités concernées.