Tabnabbing
Qu'est-ce que Tabnabbing ?
TabnabbingAttaque où un onglet en arrière-plan ou nouvellement ouvert se réécrit silencieusement pour ressembler à une page de connexion légitime, dans l'espoir que l'utilisateur ressaisisse ses identifiants.
Le tabnabbing exploite le fait que les onglets inactifs sont rarement surveillés. Dans la version classique, du JavaScript dans un onglet quitté par l'utilisateur change le titre, le favicon et le contenu pour imiter un service connu (webmail, banque) ; au retour, l'utilisateur saisit volontiers ses identifiants. Le reverse tabnabbing exploite les liens target="_blank" : la page malveillante ouverte dans le nouvel onglet utilise window.opener pour rediriger l'onglet d'origine vers une page de phishing. Les navigateurs modernes appliquent par défaut rel="noopener" sur target="_blank", mais le code historique reste vulnérable. Défenses : rel="noopener noreferrer" sur les liens sortants, CSP, ouverture des URLs fournies par l'utilisateur avec noopener, et sensibilisation à vérifier la barre d'URL en revenant sur un onglet.
● Exemples
- 01
Un onglet laissé ouvert se réécrit silencieusement pour ressembler à la page de connexion Gmail et demande un mot de passe.
- 02
Un lien dans un commentaire ouvre un nouvel onglet et utilise window.opener pour rediriger l'onglet d'origine vers un site de phishing.
● Questions fréquentes
Qu'est-ce que Tabnabbing ?
Attaque où un onglet en arrière-plan ou nouvellement ouvert se réécrit silencieusement pour ressembler à une page de connexion légitime, dans l'espoir que l'utilisateur ressaisisse ses identifiants. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Tabnabbing ?
Attaque où un onglet en arrière-plan ou nouvellement ouvert se réécrit silencieusement pour ressembler à une page de connexion légitime, dans l'espoir que l'utilisateur ressaisisse ses identifiants.
Comment se défendre contre Tabnabbing ?
Les défenses contre Tabnabbing combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Tabnabbing ?
Noms alternatifs courants : Reverse tabnabbing.