Qu'est-ce que le détournement de clic ?

On parle de détournement de clic lorsqu'un cybercriminel incite un utilisateur à cliquer sur un élément invisible d'une page Web, détournant ainsi les clics de l'utilisateur à des fins malveillantes.

Pour ce faire, les pirates superposent une couche transparente à une page légitime qui, lorsqu'on clique dessus, déclenche une opération malveillante s'exécutant en arrière-plan. Le pire dans tout ça ? Vous n'avez absolument aucune idée de ce qui se passe.

Le détournement de clic, également connu sous le nom de redressement de l'interface utilisateur, a été utilisé par le passé pour :

  • Voler des mots de passe
  • Mettre de fausses mentions J'aime sur Facebook
  • Propager des escroqueries en ligne et diffuser des logiciels malveillants en incitant les gens à cliquer sur des liens de téléchargements malveillants
  • Inciter les gens à allumer leur webcam ou leur microphone

Voici comment ça marche

Pour qu'une attaque fonctionne, un élément spécifique de la page Web doit être ciblé, tel qu'un lien, un bouton ou un en-tête. Pour un impact maximal, les pirates cibleront les zones sur lesquelles les utilisateurs sont le plus susceptibles de cliquer.

En général, les sites HTTP sont souvent le lieu de prédilection pour les attaques de détournement de clic, car ils ne disposent pas de la couche de sécurité qu'offrent les sites HTTPS.

Exemple de détournement de clic n° 1 : voler votre argent

Un pirate utilise plusieurs couches pour vous inciter à transférer votre argent sur son compte bancaire.

  1. En guise d'appât, le pirate présente une page attrayante qui vous promet un voyage gratuit à Bali pour que vous cliquiez sur le bouton « Réserver mon voyage gratuit ».

  2. Pendant ce temps, le pirate vérifie si vous êtes connecté à votre compte bancaire. Si c'est le cas, une page invisible de virement bancaire est chargée derrière la « page de voyage gratuit ». Le pirate insère ses coordonnées bancaires dans le formulaire.

  3. Le bouton « Confirmer le virement » est positionné exactement au-dessus du bouton « Réserver mon voyage gratuit ».

  4. Vous cliquez sur le bouton « Réserver mon voyage gratuit » (qui est en fait le bouton invisible « Confirmer le virement ») et transférez sans le savoir de l'argent directement sur le compte du pirate.

  5. Vous êtes redirigé vers une page factice concernant votre supposé « voyage gratuit », sans savoir tout ce qui s'est passé en arrière-plan.

Exemple de détournement de clic n° 2 : fausses mentions J'aime sur Facebook

Un pirate vous incite à aimer une page Facebook sans que vous vous en rendiez compte, ce qui lui permet de gagner des milliers d'abonnés réels.

  1. Le pirate crée un site Web factice avec un bouton indiquant « Cliquez ici pour revenir à Google. »

  2. Au-dessus de cette page, une page invisible est chargée avec le bouton « J'aime » de Facebook positionné exactement au-dessus du bouton « Cliquez ici pour revenir à Google ».

  3. Vous essayez de cliquer sur le bouton « Cliquez ici pour revenir à Google », mais vous cliquez en fait sur le bouton Facebook « J'aime » invisible du pirate.

Exemple de détournement de clic n° 3 : voler vos identifiants

Un pirate recueille votre nom d'utilisateur et votre mot de passe en superposant une fausse boîte de connexion à une vraie boîte.

  1. Le pirate place une couche transparente sur le site Web légitime, de sorte que les deux champs de texte se chevauchent.

  2. Maintenant, vous ne pouvez pas faire la différence entre le champ de texte que vous voyez et le champ identique que le pirate a détourné.

  3. Pour le plus grand plaisir du pirate, vous saisissez votre mot de passe directement dans leur champ de texte invisible qui se superpose au vrai champ. Cependant, tout ce que vous saisissez sera invisible. La plupart des gens savent alors que quelque chose cloche lorsqu'ils ne voient pas de caractères apparaître lors de la saisie.

Mais combien d'entre nous saisissent des mots de passe et appuient sur la touche Entrée sans même lever les yeux du clavier ? Les pirates profitent de ces moments de précipitation pour dérober vos identifiants.

Quelle est la différence entre le détournement de clic et l'hameçonnage ?

Une escroquerie par hameçonnage est un peu différente du détournement de clic, car elle implique une communication directe avec la victime. En général, un pirate envoie un faux e-mail, imitant une entreprise légitime, qui incite les gens à répondre en fournissant des informations personnelles.

Dans d'autres cas, l'e-mail contient des liens malveillants vers des sites Web fictifs ou ouvre une fenêtre contextuelle qui imite un site Web légitime. En réalité, il ne fait que collecter vos informations.

Atténuation

La plupart des navigateurs se protègent contre le détournement de clic en utilisant la same-origin policy. Cela signifie qu'un navigateur autorisera les scripts d'une page Web à accéder aux données d'une deuxième page, mais uniquement si les deux pages ont la même origine. Le navigateur vérifie l'origine des pages en comparant leurs schémas URI, leurs noms d'hôte et leurs numéros de port, tous doivent correspondre.

Pour éviter que les pirates utilisant le détournement de clic ne tentent de voler vos informations sensibles, il est judicieux de commencer à utiliser un gestionnaire de mots de passe. Par exemple, NordPass détecte les sites Web non sécurisés (tels que les sites HTTP, ceux qui sont généralement utilisés dans les attaques par détournement de clic), en avertissant les utilisateurs qu'ils sont sur le point d'accéder à un site Web non protégé.

De nouvelles escroqueries apparaissent chaque jour dans le but de déjouer votre sécurité. De manière générale, éviter les sites HTTP est un excellent moyen de se prémunir contre toute une série de cyberattaques, et pas seulement contre le détournement de clic. Pour plus de commodité, NordPass vous alerte sur les sites Web peu sûrs en plus de stocker en toute sécurité vos informations les plus sensibles.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.