Defaults.Exposed › Glossary › Détournement de clic (clickjacking)

Détournement de clic (clickjacking)

Also known as: attaque par superposition d'interface, détournement de clic

Une ruse où votre vrai site est caché à l'intérieur de la page d'un attaquant pour que les visiteurs cliquent sur des éléments invisibles — contrée par un simple réglage qui empêche votre site d'être encadré.

Ce que c’est

Le détournement de clic est une tromperie. Un attaquant charge votre site authentique de façon invisible par-dessus (ou en dessous) de sa propre page, puis incite un visiteur à cliquer sur ce qui ressemble à un bouton inoffensif. En réalité, le clic atterrit sur votre site caché — confirmant un paiement, modifiant un réglage ou validant quelque chose que le visiteur n’a jamais voulu. Votre vrai site fait exactement ce qu’on lui demande ; le visiteur, lui, ne voit simplement pas sur quoi il clique réellement.

Pourquoi c’est important pour votre activité

Si votre site peut être discrètement intégré dans la page de quelqu’un d’autre, un escroc peut manipuler vos clients pour qu’ils effectuent des actions sur leurs propres comptes — et pour le client, ce sera votre site qui semblera responsable. C’est une atteinte directe à la confiance, et potentiellement à l’argent de vos clients.

La défense est simple : un réglage qui dit aux navigateurs « n’autorisez pas l’affichage de mon site à l’intérieur du cadre d’un autre site ». Il est invisible pour les visiteurs légitimes et neutralise complètement la technique. Il est rare qu’un site d’entreprise ordinaire ait besoin d’être intégrable ailleurs, c’est donc en général un gain sûr et gratuit.

Comment le vérifier / que faire

Notre vérificateur gratuit vous dit si votre site est protégé contre l’encadrement. Si ce n’est pas le cas, le guide de correction du détournement de clic montre comment ajouter le réglage protecteur — une petite modification faite par la personne qui gère votre site, sans coût.

Want to fix this on your own domain? See the free guide →