Tabjacking/Tabnabbing: Qu'est-ce que c'est?
L'onglet humble navigateur est quelque chose que nous tenons pour acquis de nos jours, et la plupart d'entre nous n'ont probablement jamais pensé à l'impact qu'il a eu sur la façon dont nous surfons sur Internet. Le concept est apparu pour la première fois dans ce qui est maintenant un navigateur peu connu appelé NetCaptor il y a plus de 20 ans, et bien que l'adoption ait été initialement lente, une fois qu'Opera et Firefox l'ont introduit au début des années 2000, Internet Explorer de Microsoft s'est rendu compte qu'il n'avait pas d'autre option que suivre le pack, et les tabulations sont devenues la norme.
De nos jours, ils nous donnent la flexibilité de nous concentrer sur plusieurs tâches différentes en même temps. Grâce aux onglets du navigateur, nous pouvons basculer rapidement entre les pages Web et trouver les ressources dont nous avons besoin en quelques secondes. Les onglets sont extrêmement utiles, mais ils peuvent également être un très bon vecteur d'attaque.
Table of Contents
Qu'est-ce que tabnabbing ou tabjacking?
Le concept a été discuté pour la première fois il y a une dizaine d'années lorsque les chercheurs en sécurité ont réalisé qu'une technique simple mais intelligente pouvait permettre aux cybercriminels de réussir ce qui est potentiellement une attaque de phishing extrêmement intelligente. Voici le scénario.
Disons que pendant votre journée de travail, vous disposez d'une douzaine d'onglets de navigateur qui doivent être ouverts en permanence. L'un des sites Web ouverts dans un onglet a déjà été compromis par des pirates informatiques qui ont injecté un morceau de code JavaScript. Pendant que vous vous concentrez sur un autre onglet, le code malveillant modifie silencieusement le contenu de l'onglet dans lequel il est ouvert, et au lieu du site Web que vous avez chargé, il affiche une copie carbone malveillante de la page de connexion de Gmail. À un moment donné, vous parcourez tous les onglets que vous avez ouverts et vous remarquez l'invite de connexion. En pensant que Gmail vous a automatiquement déconnecté de votre compte, vous entrez votre nom d'utilisateur et votre mot de passe, le code JavaScript malveillant envoie les informations d'identification aux escrocs, et pour rendre les choses encore plus crédibles, il vous redirige vers le vrai Gmail. Parce que vous n'avez jamais été déconnecté de votre compte, vous êtes très susceptible de voir le contenu de votre boîte de réception et de ne rien suspecter.
Comme vous pouvez le voir, c'est une attaque intelligente, mais quelle est la probabilité que vous en soyez victime?
Tabnabbing a du mal à gagner en popularité auprès des cybercriminels
En 2010, Brian Krebs a discuté en détail de l'attaque et a expliqué combien d'avantages elle a sur les outils plus traditionnels ou le commerce des pirates. À l'époque, les spécialistes de la sécurité de l'information avaient déjà créé quelques pages de validation de principe, qui montraient comment le tabnabbing pouvait fonctionner à l'état sauvage. Depuis lors, nous avons vu des conceptions encore plus raffinées qui ont surmonté quelques difficultés techniques. Cependant, ils ont tous été publiés par des chercheurs en sécurité, et ils étaient tous affichés avec l'idée de protéger et d'éduquer les utilisateurs, sans leur nuire.
Nous n'avons pas encore vu d'attaques de tabulation à grande échelle contre des utilisateurs d'Internet sans méfiance. Il semble que, pour le moment du moins, les escrocs préfèrent utiliser des schémas plus traditionnels pour voler les informations d'identification des gens. Ce n'est pas facile de justifier cette décision.
En effet, tabnabbing implique de compromettre un site Web et d'y injecter du code, ce qui en fait davantage un défi technique. Dans le même temps, cependant, l'ingénierie sociale impliquée dans les campagnes de phishing classiques est absente dans ce cas. La plupart des escrocs sont peut-être satisfaits des résultats des méthodes éprouvées et estiment que l'innovation supplémentaire ne vaut pas la peine. Cela étant dit, vous ne devez pas sous-estimer la menace.
Que pouvez-vous faire pour vous protéger du tabnabbing?
De toute évidence, une attaque par tabulation ne peut fonctionner que contre les utilisateurs qui n'ont pas l'habitude de fermer leurs onglets inactifs. Malheureusement, pour beaucoup de gens, utiliser moins d'onglets est plus facile à dire qu'à faire. Néanmoins, une meilleure gestion des onglets peut toujours aider. Les experts conseillent d'utiliser plusieurs fenêtres de navigateur et d'y organiser différents ensembles de tâches. Bien qu'il ne soit pas infaillible, il pourrait simplement vous aider à repérer quelque chose de suspect.
D'un point de vue technique, vous pouvez essayer d'utiliser une extension comme No Script pour bloquer tout code potentiellement malveillant des pages actualisées en silence et charger des faux formulaires de connexion. Cependant, si vous le laissez bloquer tout le code JavaScript, bon nombre de vos sites Web préférés ne fonctionneront pas correctement, et pour la majorité des utilisateurs, il est trop difficile de sélectionner manuellement les scripts à arrêter.
La chose qui peut vraiment vous sauver est votre propre attention aux détails. Comme nous l'avons déjà mentionné, une attaque par tabulation s'appuie sur un faux formulaire de connexion, et la bonne chose à propos des faux formulaires de connexion est qu'ils ne peuvent pas être hébergés sur le domaine qu'ils tentent d'emprunter l'identité. Si vous prenez l'habitude de revérifier la barre d'adresse de votre navigateur avant de saisir votre nom d'utilisateur et votre mot de passe, vous avez de bonnes chances de vous protéger à la fois du tabnabbing et du phishing plus traditionnel.
