Tabnabbing : l'attaque de Phishing qui se cache dans vos onglets
Le tabnabbing est une attaque de phishing qui modifie silencieusement le contenu d’un onglet inactif de votre navigateur pour le faire ressembler à un site de confiance (banque, Gmail, réseau social) et vous voler vos identifiants au moment où vous revenez dessus. Contrairement au phishing classique, aucun e-mail suspect ni lien douteux n’est nécessaire : il suffit d’avoir visité un site piégé. Pour vous protéger immédiatement : vérifiez toujours l’URL avant de saisir un mot de passe, activez l’authentification à deux facteurs, et limitez le nombre d’onglets ouverts simultanément.
Introduction
Vous avez une dizaine d’onglets ouverts en ce moment ? C’est exactement sur cette habitude que misent les cybercriminels avec le tabnabbing. Dans cet article, on vous explique comment elle fonctionne, pourquoi elle trompe même les utilisateurs avertis, et surtout quoi faire concrètement pour ne pas en être victime.
Qu'est-ce que le tabnabbing ?
Le tabnabbing est une technique de phishing par manipulation d’onglets de navigateur. Le terme a été forgé en 2010 par Aza Raskin, designer chez Mozilla Firefox, qui l’a publiquement décrit pour alerter la communauté. L’attaque repose sur un principe simple : exploiter le fait que les utilisateurs ouvrent de nombreux onglets sans surveiller leur contenu en permanence.
Concrètement, un site malveillant détecte via un script JavaScript que vous êtes passé sur un autre onglet. Il en profite alors pour remplacer silencieusement son propre contenu : titre, favicon, et page entière par l’imitation parfaite d’un site légitime. Quand vous revenez sur cet onglet, vous pensez voir votre banque, votre messagerie ou votre réseau social. Vous saisissez vos identifiants. Ils sont envoyés directement aux attaquants.
Tabnabbing vs Reverse Tabnabbing : quelle différence ?
C’est le point que presque aucun article grand public ne distingue clairement, et pourtant c’est fondamental pour comprendre la menace dans sa totalité.
|
Tabnabbing classique |
Reverse Tabnabbing |
|
|
Qui est piégé ? |
L’onglet du site malveillant lui-même |
L’onglet du site légitime qui vous a ouvert un lien |
|
Mécanisme |
Le site pirate détecte l’inactivité et change son propre contenu |
Le site lié exploite window.opener pour rediriger la page d’origine |
|
Vecteur |
Vous visitez directement un site piège |
Vous cliquez sur un lien depuis un site de confiance |
|
Qui est vulnérable ? |
L’utilisateur final |
Les sites web qui n’utilisent pas rel= »noopener » |
|
Détection |
Plus facile si on vérifie l’URL |
Très difficile : l’URL semble provenir d’un site connu |
Le reverse tabnabbing est techniquement plus insidieux : un site légitime affiche un lien (article de presse, forum, réseau social) qui ouvre un nouvel onglet. Ce nouvel onglet (le site malveillant) exploite alors la propriété JavaScript window.opener pour réécrire la page d’origine à votre insu. Quand vous revenez sur ce que vous pensiez être le site de confiance, c’est déjà une copie de phishing.
Pourquoi cette attaque est-elle si efficace psychologiquement ?
Le tabnabbing exploite plusieurs biais cognitifs simultanément :
- La confiance passive : un onglet déjà ouvert est mentalement associé à quelque chose de connu et de sûr.
- L’inattention aux détails : avec de nombreux onglets ouverts, personne ne surveille chaque favicon ou titre en temps réel.
- L’automatisme de la reconnexion : voir une page de login sur un site qu’on pense connaître déclenche un réflexe de saisie quasi-automatique.
- L’absence de signal d’alarme habituel : pas d’e-mail bizarre, pas de lien suspect reçu, pas de pop-up agressif.
C’est précisément ce qui rend l’attaque efficace même sur des utilisateurs sensibilisés à la cybersécurité.
Comment fonctionne concrètement une attaque de tabnabbing ?
Le mécanisme technique step by step
Scénario tabnabbing classique :
- Vous ouvrez un site quelconque (article de blog, résultat de recherche, lien reçu) qui héberge un script malveillant.
- Vous passez sur un autre onglet pour continuer votre navigation.
- Le script détecte l’inactivité via l’événement visibilitychange ou blur.
- Il remplace en temps réel le titre de l’onglet (ex : « Gmail – Boîte de réception »), la favicon, et le contenu HTML complet de la page par une imitation d’un site populaire.
- Quand vous revenez sur cet onglet, vous voyez une page de connexion familière.
- Vous saisissez vos identifiants, qui sont transmis au serveur des attaquants.
Scénario reverse tabnabbing :
- Vous êtes sur un site légitime (forum, réseau social, site d’actualités) qui affiche un lien externe s’ouvrant avec target= »_blank » sans l’attribut de protection rel= »noopener ».
- Vous cliquez sur ce lien. Il s’ouvre dans un nouvel onglet.
- Ce nouvel onglet exécute le code JavaScript suivant : if (window.opener) {window.opener.location = « https://faux-site-de confiance.com »)
- L’onglet d’origine : le site légitime que vous visitiez — est silencieusement redirigé vers une copie de phishing.
- Vous revenez sur ce qui vous semble être le site d’origine. Une demande de reconnexion s’affiche. Vous saisissez vos identifiants.
Quels sites et données sont ciblés en priorité ?
Les attaquants reproduisent en priorité les interfaces les plus connues et les plus utilisées :
- Banques en ligne et services financiers (compte courant, assurance, bourse)
- Messageries (Gmail, Outlook, Yahoo Mail)
- Réseaux sociaux (Facebook, LinkedIn, Instagram)
- Plateformes e-commerce (Amazon, PayPal)
- Outils professionnels (Microsoft 365, Slack, Salesforce)
Les données ciblées sont les identifiants de connexion, les mots de passe, et dans certains cas les informations bancaires si la page imitée pousse jusqu’à un formulaire de paiement.
Les navigateurs modernes ont-ils vraiment corrigé le problème ?
Oui… partiellement. Et c’est un point crucial que peu d’articles mentionnent.
Depuis 2021, tous les navigateurs majeurs appliquent rel= »noopener » de manière implicite sur tout lien target= »_blank » :
- Safari : protection active depuis 2018
- Firefox : protection active depuis mi-2020
- Chrome / Edge / Chromium : protection active depuis Chrome 88 (janvier 2021)
Mais cela ne signifie pas que le problème est résolu pour autant, pour trois raisons :
- Les sites anciens non maintenus continuent d’utiliser du code non protégé, notamment des CMS ou applications métier vieillissants.
- Le contenu généré par les utilisateurs (forums, commentaires) peut contenir des liens malveillants avec rel= »opener » explicite, qui réactive la vulnérabilité.
- Le tabnabbing classique : où le site malveillant modifie son propre contenu et n’est pas corrigé par cette mise à jour navigateur. Il repose sur du JavaScript basique qui reste parfaitement fonctionnel.
La protection navigateur couvre le reverse tabnabbing. Le tabnabbing classique, lui, reste entièrement de votre responsabilité en tant qu’utilisateur.
Comment se protéger du tabnabbing ?
Pour les utilisateurs : les bons réflexes au quotidien
- Vérifiez systématiquement l’URL avant toute saisie d’identifiant, même sur un onglet que vous pensiez reconnaître. L’URL est le seul élément que l’attaquant ne peut pas falsifier dans la barre d’adresse.
- Limitez le nombre d’onglets ouverts simultanément. Moins d’onglets = moins de surface d’attaque et plus de vigilance.
- Fermez les onglets inutilisés dès que possible, notamment ceux de sites que vous ne connaissez pas bien.
- Activez l’authentification à deux facteurs (2FA/MFA) sur tous vos comptes importants. Même si vos identifiants sont volés, le 2FA bloque l’accès sans le second facteur.
- Utilisez un gestionnaire de mots de passe : il ne remplira jamais automatiquement vos identifiants sur un faux domaine, ce qui constitue une protection supplémentaire.
- Maintenez votre navigateur à jour : les correctifs de sécurité couvrent les nouvelles variantes d’exploitation.
Pour les webmasters et développeurs : ce qu’il faut implémenter
Si vous gérez un site web, vous avez une responsabilité directe sur la protection de vos visiteurs contre le reverse tabnabbing.
- Sécuriser tous les liens externes ouvrant dans un nouvel onglet :
<a href= »https://site-externe.com » target= »_blank » rel= »noopener noreferrer »>Lien</a>
- Sécuriser les liens ouverts via JavaScript : var newWin = window.open(‘https://site-externe.com’, ‘_blank’, ‘noopener,noreferrer’);
if (newWin) newWin.opener = null;
- Ajouter l’en-tête HTTP Cross-Origin-Opener-Policy (COOP) :
Cross-Origin-Opener-Policy: same-origin
Cet en-tête isole votre document et empêche tout accès cross-origin à window.opener, même pour les cas non couverts par rel= »noopener ».
- Sanitiser le contenu généré par les utilisateurs : si votre site affiche des liens posté par des utilisateurs (forums, commentaires), assurez-vous que votre back-end applique noopener noreferrer à tout lien avec target= »_blank », y compris ceux qui portent rel= »opener » explicitement.
- Appliquer l’attribut sandbox aux iframes pour limiter les capacités des contenus embarqués (publicités, widgets tiers).
Note WordPress : depuis la version 4.7.4, WordPress ajoute automatiquement rel= »noopener noreferrer » à tous les liens externes en target= »_blank ». Si vous utilisez un CMS à jour, cette protection est native.
L’attribut rel= »noopener noreferrer » : la parade technique que tout le monde devrait connaître
Quand un lien HTML utilise target= »_blank » sans protection, le site ouvert dans le nouvel onglet obtient un accès partiel à la fenêtre d’origine via l’objet JavaScript window.opener. C’est ce que les attaquants exploitent.
La protection côté développeur est simple à implémenter :
<!– ❌ Lien vulnérable –>
<a href= »https://site-externe.com » target= »_blank »>Lire l’article</a>
<!– ✅ Lien sécurisé –>
<a href= »https://site-externe.com » target= »_blank » rel= »noopener noreferrer »>Lire l’article</a>
Ce que font ces deux attributs :
|
Attribut |
Rôle |
|
rel= »noopener » |
Coupe l’accès à window.opener — le site lié ne peut plus réécrire votre page d’origine |
|
rel= »noreferrer » |
Empêche l’envoi de l’URL d’origine au site de destination (confidentialité) — implique aussi noopener |
En JavaScript, la protection équivalente s’écrit : var newWin = window.open(‘https://site-externe.com’, ‘_blank’, ‘noopener,noreferrer’); if (newWin) newWin.opener = null;
Les outils et extensions recommandés
|
Outil |
Type |
Utilité |
|
NoScript (Firefox) |
Extension navigateur |
Bloque les scripts JavaScript des sites non autorisés |
|
uBlock Origin |
Extension navigateur |
Filtre les scripts et ressources malveillants |
|
Panda Dome / équivalent |
Antivirus/Web filter |
Détecte et bloque les sites frauduleux au chargement |
|
Gestionnaire de mots de passe (Bitwarden, 1Password) |
Application |
Ne remplit pas les credentials sur un faux domaine |
|
Authenticator App (Authy, Google Authenticator) |
Application |
2FA — rend les identifiants volés inutilisables seuls |
Chiffres clés : le tabnabbing dans le contexte du phishing en 2025
Le tabnabbing n’existe pas dans le vide. Il s’inscrit dans un paysage de menaces en pleine évolution :
|
Indicateur |
Chiffre |
Source |
|
Attaques de phishing recensées en 2024 |
4,8 millions (record historique) |
APWG 2024 |
|
Hausse des attaques vs 2023 |
+20 % |
APWG 2024 |
|
Taux de clic moyen sur un e-mail de phishing |
3,4 % |
Proofpoint State of the Phish 2024 |
|
Taux de clic sur du phishing généré par IA |
54 % |
Microsoft MDDR 2025 |
|
Coût moyen d’une brèche liée au phishing |
4,76 M$ |
IBM Cost of a Data Breach 2024 |
|
Demandes d’assistance phishing en France (2023) |
50 000 |
Cybermalveillance.gouv.fr |
|
Part du phishing dans les menaces aux particuliers FR |
38 % |
Cybermalveillance.gouv.fr |
|
Hausse des incidents deepfakes en 2025 |
+680 % en glissement annuel |
Secteur, Q1 2025 |
Ces chiffres illustrent pourquoi des attaques comme le tabnabbing : discrètes, sans vecteur e-mail, difficiles à détecter gagnent en attractivité pour des cybercriminels qui cherchent à contourner les filtres anti-phishing traditionnels.
Sources
- Aza Raskin, description originale du tabnabbing (2010) : Mozilla
- OWASP Foundation Reverse Tabnabbing : https://owasp.org/www-community/attacks/Reverse_Tabnabbing
- OWASP Web Security Testing Guide : Testing for Reverse Tabnabbing
- Google Chrome 88 / Chromium : implémentation implicite de noopener (janvier 2021) PortSwigger Daily Swig
- Microsoft Digital Defense Report (MDDR) 2025
- IBM Cost of a Data Breach 2024
- Proofpoint State of the Phish 2024
- APWG (Anti-Phishing Working Group) Rapport 2024
- Cybermalveillance.gouv.fr Statistiques phishing France 2023
- Elementor Blog rel= »noopener noreferrer »
- Twingate : What Is Reverse Tabnabbing?
- Check Point Blog : What is reverse tabnabbing and how can you stop it?
- MetaCompliance Qu’est-ce que le tabnabbing
- Le Blog du Hacker Le Tabnabbing, une attaque par Phishing évoluée
- Vectra AI Phishing par IA : comment les pirates atteignent un taux de clics de 54 %
