Une nouvelle forme d'hameçonnage cible les internautes qui naviguent avec plusieurs onglets ouverts. Les pirates profitent de cela pour transformer les pages web en pièges à vol d'identifiants.
Avouez-le, vous naviguez souvent avec dix, quinze, parfois vingt onglets ouverts en même temps sur votre navigateur. Une habitude qui fait de vous une cible de choix pour une arnaque particulièrement vicieuse. Le tabnabbing, contraction anglaise de « tab » pour onglet et « nabbing » pour piéger, mise tout sur votre inattention et l'oubli de fermer vos onglets. Classé parmi les techniques d'hameçonnage, le tabnabbing, aussi appelé tabjacking, ne vous demande même pas de cliquer sur un lien suspect, il vient vous chercher directement là où vous vous sentez en sécurité.
Comment les pirates détournent vos onglets inactifs
L'alerte vient d'être lancée par le Commandement du ministère de l’Intérieur dans le cyberespace, le COMCYBER-MI. Imaginez tomber sur un site apparemment anodin, peut-être un blog de recettes ou un forum de discussion. Ce que vous ignorez, c'est qu'un cybercriminel contrôle cette page, ou pire encore, qu'il a réussi à compromettre un site parfaitement légitime en y glissant un script malveillant. Vous consultez rapidement l'information recherchée, puis passez à autre chose, en laissant l'onglet ouvert quelque part dans votre navigateur.
C'est précisément ce moment d'inattention que guette l'attaquant. Le script détecte que vous avez quitté la page et se met alors au travail. En quelques secondes, l'onglet se métamorphose complètement. Sa petite icône, ce qu'on appelle le favicon, devient celle de votre banque en ligne. Son titre se change en « Connexion - Ma Banque ». L'interface entière se transforme en copie conforme du portail d'authentification que vous utilisez régulièrement.
Quinze minutes plus tard, une heure peut-être, vous revenez machinalement sur cet onglet. Mais surprise, votre session bancaire aurait expiré, vous devez vous reconnecter. Rien d'anormal en apparence, cela arrive couramment. Vous tapez consciencieusement votre identifiant et votre mot de passe. Ces informations atterrissent directement entre les mains du pirate qui vous observe. Le COMCYBER-MI, Commandement du ministère de l'Intérieur dans le cyberespace, tire la sonnette d'alarme sur cette menace assez inhabituelle il faut le dire, qui exploite nos réflexes de navigation moderne.
Se protéger efficacement du tabnabbing, c'est possible
Alors peut-on se protéger ou lutter contre le phénomène du tabnabbing ? Le premier réflexe à avoir est de scruter systématiquement l'adresse web affichée dans la barre de navigation avant de saisir quoi que ce soit de confidentiel. L'URL doit correspondre exactement au site officiel, sans variation suspecte dans le nom de domaine. Cette simple vérification déjoue l'immense majorité des tentatives de tabnabbing, nous dit le COMCYBER-MI, même les mieux exécutées.
L'adoption d'une hygiène numérique rigoureuse au quotidien est bien entendu conseillée. Fermez apar exemple régulièrement les onglets devenus inutiles, plutôt que de les accumuler indéfiniment, car n'oubliez pas que chaque onglet abandonné représente une opportunité potentielle pour un attaquant. Maintenez aussi votre navigateur constamment à jour pour bénéficier des derniers correctifs de sécurité, et envisagez d'installer des extensions spécialisées, comme des anti-phishing ou des bloqueurs de scripts malveillants. Ces outils créent une première barrière de défense automatique.
L'authentification forte est le dernier rempart. Pensez à activer systématiquement la double authentification sur tous vos comptes importants, qu'elle passe par un code reçu par SMS ou généré via une application dédiée. Même si vos identifiants tombent dans de mauvaises mains, ce second verrou complique l'exploitation de vos données volées.
Car ne vous y trompez pas, l'hameçonnage reste aujourd'hui la méthode privilégiée des cybercriminels pour collecter des informations personnelles. Ces données sont fréquemment revendues sur des marchés noirs en ligne et alimentent les usurpations d'identité, les escroqueries sophistiquées et les cyberattaques de plus grande envergure.
