Qu’est‑ce que le tabnabbing ?
Le tabnabbing est une forme de phishing subtile et redoutable : lorsqu’un onglet que vous avez ouvert reste inactif, un script malveillant peut remplacer le contenu et l’icône de l’onglet pour le faire ressembler à un site familier (messagerie, banque, réseau social).
En revenant à cet onglet, vous croyez être sur un site fiable et recommencez votre connexion, livrant ainsi vos identifiants aux cybercriminels.
Pourquoi cette attaque est insidieuse
- Elle joue sur votre confiance visuelle : favicon, titre d’onglet, design identique.
- Vous êtes trompé sans devoir cliquer sur un lien apparent ni déclencher une alerte – le mal s’opère dans le silence
- Très efficace quand vous naviguez avec beaucoup d’onglets ouverts
Comment fonctionne un tabnabbing
- Vous cliquez sur un lien dans un nouvel onglet, souvent anodin.
- Vous continuez de travailler ailleurs, laissant l’onglet en arrière‑plan.
- Au bout de quelques secondes, un script dans la page détecte l’inactivité et redirige le contenu vers une fausse page d’identification d’un site légitime (ex. Gmail, Facebook, votre banque)
- En revenant à l’onglet, vous pensez devoir vous reconnecter. Vous saisissez vos identifiants… qui sont alors volés par l’attaquant
4 bonnes pratiques pour vous protéger
| Astuce | Détails pratiques |
|---|---|
| Fermez les onglets inutiles | Moins d’inactifs = moins de risques |
| Vérifiez l’URL à chaque connexion | Ne vous fiez ni aux visuels ni aux automatismes. |
| Attention aux favicons et titres inattendus | Ils changent souvent subtilement pour tromper. |
| Activez l’authentification multifactorielle (MFA) | Même si vos identifiants sont volés, vos comptes restent sécurisés. |
Solutions techniques complémentaires
- Utilisez des extensions comme NoScript (Firefox) ou des modules anti-phishing pour bloquer les scripts suspects
- Activez la protection contre le meta-refresh dans votre navigateur.
Faites appel à un antivirus/web filter comme Panda Dome : il détecte et bloque les sites frauduleux au moment où l’onglet se recharge.
En résumé
Le tabnabbing est une menace discrète mais réelle : votre onglet inattentif peut se transformer en piège à données. Pour rester à l’abri : fermez les onglets inutiles, vérifiez toujours l’adresse, activez la MFA et utilisez des outils de sécurité.
Un peu de vigilance suffit à empêcher vos onglets de devenir des auxiliaires de cybercriminels.