Tabnabbing (tabjacking) : Phishing par modification d’un onglet ouvert

Un nouveau type de phishing est dévoilé sur le web : le tabnabbing, aussi appelé tabjacking. Cette attaque, découverte par Aza Raskin, exploite l’utilisation actuellement plus que répandue des onglets de nos navigateurs afin de dérober des données sensibles et/ou personnelles.

En situation, l’internaute peut rapidement être trompé sans même s’en apercevoir. En pleine recherche sur un moteur quelconque par exemple, le sujet est amené à visiter un site web vérolé (bien qu’il n’en soit pas conscient), vers lequel il a été conduit depuis les pages de résultats de façon directe ou non. Y trouvant un lien intéressant et souhaitant conserver la page actuellement visible, celui ouvre le site cible dans un nouvel onglet. Et alors que la future victime parcourt ce second site web, le site initial change d’apparence grâce à quelques lignes de JavaScript : contenu, titre de page et même favicon. De retour sur l’onglet précédent présentant désormais un site bien souvent connu de l’internaute, ce dernier précise des informations secrètes, pensant honnêtement qu’elles sont entre de bonnes mains. Ce n’est malheureusement pas le cas puisque cette dernière action aura eu pour effet de communiquer les précieux renseignements aux pirates.

Les explications en vidéo :

Imaginez cette attaque combinée à la faille sur la pseudo-classe CSS :visited permettant d’obtenir une liste des sites d’ores et déjà visités par l’internaute et sur lesquels il a donc à priori un compte ?

Cette vulnérabilité touche actuellement Firefox jusqu’à la version actuelle (3.6.3) et Google Chrome, également jusqu’à la dernière version stable (5). Celle-ci sera cependant dépassée à la sortie des prochaine sversions de Firefox et n’a aucun effet sur la dernière release de Google Chrome 6 (6.0.408.1).

Source : Blog d’Aza Raskin

Baptiste Simon aka TiChou

Ingénieur développeur web dans le secteur du e-commerce et du tourisme mais avant toute chose passionné par internet et ses intarissables ressources.

4 commentaires, pings et rétroliens

Partenaires et blog à la une