DoubleClickjacking, la nouvelle arnaque en ligne qui peut vider votre compte en deux clics

Une nouvelle technique de piratage est en recrudescence ces temps-ci : le DoubleClickjacking. Cette attaque ultrarapide détourne le simple double-clic de l'internaute pour lui faire valider, à son insu, des actions critiques. On vous explique comment s'en prémunir.

Le DoubleClickjacking détourne une habitude banale, celle du double-clic, pour piéger l’internaute. © Jcomp / Freepik

Par Sabrina Guintini

Publié le 2 juillet 2025 à 14h13.

Lecture : 1 min

Les cybercriminels redoublent d'imagination pour contourner les dispositifs de sécurité sur internet. Dernière démonstration en date, repérée par Presse Citron : la technique du DoubleClickjacking. Ce procédé insidieux détourne une habitude banale, celle du double-clic, pour piéger l’internaute et l'amener à valider des actions sensibles sans même en avoir conscience. Inspiré du clickjacking, ou «détournement de clics», le DoubleClickjacking pousse la menace un cran plus loin. En quelques millisecondes, un site malveillant peut modifier l'interface sur laquelle l'utilisateur clique, le menant à autoriser une transaction ou à donner accès à ses données personnelles.

Le double-clic est tellement ancré dans nos habitudes qu'on n'y prête plus guère attention. Les pirates informatiques tentent donc d'en tirer de juteux profits, en prenant le contrôle d’un compte, en installant une extension malveillante ou en accédant à vos informations sensibles. Le mode opératoire est souvent le même : un faux bouton attire l'utilisateur – par exemple, «Cliquez ici pour un cadeau» ou encore «Validez votre captcha» – puis l'interface change subrepticement entre les deux clics. Sans le vouloir, et surtout sans le savoir, un internaute peut ainsi confirmer une opération particulièrement critique s'il s'agit de ses comptes bancaires.

Un simple double-clic et vos données sont en danger

La redoutable efficacité de cette attaque réside dans sa discrétion. Contrairement à d'autres méthodes qui reposent sur des logiciels suspects ou des liens douteux, ici, aucune alerte ne s'affiche. Le geste est naturel, l’action presque automatique. Et les protections classiques (cookies sécurisés, antivirus basiques ou extensions anti-phishing) s'avèrent souvent insuffisantes. Face à ce type d'attaque, la vigilance reste la meilleure défense.

Il est conseillé d'éviter les sites douteux et d'utiliser des outils capables de bloquer l’exécution automatique de scripts, comme l’extension NoScript. Enfin, adopter une suite de cybersécurité moderne et à jour est devenu indispensable. Certaines solutions intègrent désormais des protections contre ce type d’attaques furtives.