Accueil » Le Tabnabbing, c’est quoi cette arnaque invisible aux onglets ?
le tabnabbing

Le Tabnabbing, c’est quoi cette arnaque invisible aux onglets ?

Écrit par La rédaction de blog-espion.fr
Publié le
Technologie

Vous avez sûrement déjà vécu ça : un onglet de votre navigateur web reste ouvert pendant que vous passez à autre chose (un mail, une vidéo, une recherche…). Puis, quelques minutes plus tard, vous revenez dessus et la page vous demande soudain de vous reconnecter.

Derrière cette situation en apparence banale peut se cacher une arnaque discrète mais redoutable : le tabnabbing. Cette technique de piratage vise à profiter de votre confiance envers un onglet resté ouvert pour vous pousser à entrer vos identifiants sur une fausse page.

Le pire, c’est qu’elle totalement invisible : pas de virus, pas d’avertissement, juste une page familière qui a changé pendant que vous faisiez autre chose. Et avec nos dizaines d’onglets ouverts en permanence, cette arnaque est de plus en plus dangereuse.

🛜 À retenir

  • 🧠 Le tabnabbing est une arnaque web discrète où un onglet inactif se transforme en fausse page de connexion.
  • ⚠️ Cette technique exploite la confiance des utilisateurs envers les sites qu’ils visitent souvent.
  • 💻 Elle permet à des pirates de voler identifiants et mots de passe sans qu’on s’en rende compte.

Qu’est-ce que le tabnabbing ?

Le tabnabbing (ou détournement d’onglet en français) est une forme de phishing dans laquelle un onglet inactif est modifié à l’insu de l’utilisateur, pour imiter un site légitime et récupérer des données sensibles.

Ce qu’il faut retenir :

  1. L’attaque ne vise pas à vous faire cliquer sur un lien dans un e-mail, contrairement au phishing classique.
  2. Elle s’appuie sur un moment d’inattention : vous laissez un onglet dormant, puis vous revenez en toute confiance.
  3. L’idée est que vous ne vous posiez pas la question « est-ce que je suis bien sur le bon site ? » car vous avez déjà ouvert cet onglet et vous avez déjà fréquenté le site légitime.

Le terme tabnabbing a été popularisé par Aza Raskin en 2010, chercheur chez Mozilla, qui a démontré la facilité avec laquelle un site pouvait changer d’apparence sans que l’utilisateur ne s’en rende compte.

Comment fonctionne une attaque par tabnabbing ?

Le mécanisme pas à pas

  1. Vous ouvrez un lien (souvent légitime) dans un onglet.
  2. Vous laissez cet onglet inactif : vous passez à un autre onglet ou vous ouvrez une autre fenêtre.
  3. Un script ou une redirection modifie discrètement le contenu de l’onglet : le favicon, le titre, la page affichée.
  4. À votre retour, l’onglet affiche une fausse page de connexion d’un service connu : messagerie, réseau social, site bancaire…
  5. Vous saisissez vos identifiants. Ils sont immédiatement transmis à l’attaquant.
schéma qui explique le fonctionnement sur tabnabbing

Le cas du Reverse Tabnabbing

Autre variante : lorsqu’un site ouvre un lien externe via target="_blank", la page ouverte peut accéder à la page d’origine et la rediriger vers un faux site.

La solution simple pour les développeurs : ajouter rel="noopener noreferrer" à tous les liens externes. Cela empêche la nouvelle page d’interagir avec l’onglet d’origine.

Comment reconnaître un tabnabbing ? Les signes qui doivent vous alerter

Il suffit parfois d’une fraction de seconde d’attention pour se prémunir. Voici les points qui doivent vous faire redoubler de vigilance :

  • Une page familière vous demande de vous reconnecter sans raison.
  • L’URL n’est pas exactement la même que celle que vous utilisez d’habitude (ex : gmails.com au lieu de gmail.com).
  • Le cadenas HTTPS est absent ou le certificat paraît douteux.
  • Votre gestionnaire de mots de passe ne remplit pas automatiquement vos identifiants.
  • Vous aviez laissé l’onglet ouvert depuis un bon moment.
les risques du tabnabbing pour un utilisateur

Checklist rapide pour éviter de se faire avoir :

  • Vérifiez toujours l’adresse avant de saisir quoi que ce soit.
  • Fermez les onglets que vous n’utilisez plus.
  • Évitez de vous reconnecter après une simple inactivité sans vérifier l’adresse du site, notamment sur des sites sensibles comme de celui de votre banque.

Comment s’en protéger ?

Quelques bons réflexes à avoir lorsque vous naviguez sur internet vous aideront à vous prémunir de cette arnaque :

  1. Fermez systématiquement les onglets sensibles après usage : banque, messagerie, administration.
  2. Utilisez un gestionnaire de mots de passe : il refusera de remplir les champs sur un faux domaine.
  3. Activez l’authentification à deux facteurs (2FA) sur vos comptes importants.
  4. Gardez votre navigateur et vos extensions à jour.
  5. Installez des extensions anti-redirect ou anti-tabnabbing si vous utilisez Firefox ou Chrome.

C’est simple, mais redoutablement efficace.

Pourquoi le tabnabbing revient en 2025 ?

Si les origines de cette arnaque remontent à plusieurs années, elle est à nouveau utilisée par les pirates pour plusieurs raisons :

  • On ouvre plus d’onglets que jamais : travail, streaming, messagerie, réseaux sociaux…
  • Le multitâche et le télétravail font exploser le nombre d’onglets inactifs.
  • Les outils d’IA et les kits de phishing modernes facilitent la création de fausses pages quasi parfaites.

FAQ : questions fréquentes sur le tabnabbing

Est-ce que le tabnabbing fonctionne sans JavaScript ?

Oui : il peut utiliser une simple redirection HTML via une balise <meta http-equiv="refresh">.

Mon gestionnaire de mots de passe me protège-t-il ?

Souvent oui : il ne remplit les champs que sur le domaine exact enregistré. Si le site est un faux, il restera vide.

Les navigateurs bloquent-ils cette attaque ?

Pas complètement. Les navigateurs modernes limitent les risques, mais l’attaque reste possible dans certains cas, notamment après de longues périodes d’inactivité.

Le reverse tabnabbing est-il encore d’actualité ?

Oui. Certains sites anciens ou mal configurés oublient encore d’utiliser rel="noopener", ce qui laisse la porte ouverte à ce type d’attaque.