CyberGlossary

Attaques et menaces

Tabnabbing

Aussi appelé: Reverse tabnabbing

Définition

Attaque où un onglet en arrière-plan ou nouvellement ouvert se réécrit silencieusement pour ressembler à une page de connexion légitime, dans l'espoir que l'utilisateur ressaisisse ses identifiants.

Le tabnabbing exploite le fait que les onglets inactifs sont rarement surveillés. Dans la version classique, du JavaScript dans un onglet quitté par l'utilisateur change le titre, le favicon et le contenu pour imiter un service connu (webmail, banque) ; au retour, l'utilisateur saisit volontiers ses identifiants. Le reverse tabnabbing exploite les liens target="_blank" : la page malveillante ouverte dans le nouvel onglet utilise window.opener pour rediriger l'onglet d'origine vers une page de phishing. Les navigateurs modernes appliquent par défaut rel="noopener" sur target="_blank", mais le code historique reste vulnérable. Défenses : rel="noopener noreferrer" sur les liens sortants, CSP, ouverture des URLs fournies par l'utilisateur avec noopener, et sensibilisation à vérifier la barre d'URL en revenant sur un onglet.

Exemples

  • Un onglet laissé ouvert se réécrit silencieusement pour ressembler à la page de connexion Gmail et demande un mot de passe.
  • Un lien dans un commentaire ouvre un nouvel onglet et utilise window.opener pour rediriger l'onglet d'origine vers un site de phishing.

Termes liés