Sur TikTok, la police nationale espagnole tire la sonnette d’alarme : le « tabnabbing » est une forme de hameçonnage qui exploite directement notre tendance à garder de nombreuses fenêtres ouvertes sur notre navigateur. Ce comportement, banal chez la plupart des internautes, peut permettre à un cybercriminel de prendre le contrôle d’un onglet laissé inactif et d’en modifier le contenu à notre insu.
Les onglets deviennent des pièges
« Le pirate va remplacer l’une des pages ouvertes par une copie malveillante qui imite à la perfection le site original », explique une agente dans la vidéo. Le pirate utilise un script malveillant pour identifier et remplacer l’onglet ; le faux site reproduit le design de la page inactive. C’est redoutable quand il s’agit du site web de sa banque ou d’une boutique en ligne.
Quand on revient sur cet onglet, parfois des dizaines de minutes plus tard, on est alors invité à entrer ses identifiants ou ses données bancaires, sous prétexte que la session a expiré. Et comme le site semble être celui que l’on a soi-même ouvert plus tôt, la vigilance baisse, les informations sont à nouveau saisies… et le vol est acté.
Pour limiter les risques, la police conseille une mesure simple : « Gardez ouvertes uniquement les pages que vous êtes en train d’utiliser et fermez les autres. » Une bonne habitude à prendre, accompagnée d’une vérification systématique de l’URL quand un site demande de ressaisir ses données.
Le « tabnabbing » n’est qu’une des nombreuses techniques de phishing (ou hameçonnage) en circulation. Le principe de base reste le même : faire croire à l’utilisateur qu’il interagit avec un site ou une entité légitime, afin de lui soutirer des informations confidentielles. Mais les méthodes se sont diversifiées.
Le phishing classique passe souvent par des e-mails frauduleux qui imitent les messages de banques, de fournisseurs d’accès ou d’administrations, avec des liens vers de faux sites web. Le « spear phishing », lui, cible des personnes ou des entreprises précises. Grâce à des recherches en amont, les messages sont ultra-crédibles : noms, fonctions, contexte professionnel, tout est personnalisé. Le « smishing » (SMS + phishing) utilise des textos pour pousser les victimes à cliquer sur un lien ou à installer une application vérolée. Ces messages simulent souvent une urgence (colis bloqué, problème bancaire, etc.).
Tous ces pièges exploitent un point faible : la confiance, ou plutôt l’habitude de cliquer sans trop vérifier. Face à ces techniques toujours plus sournoises, un seul réflexe : prendre son temps. Fermer les onglets inutiles, vérifier les adresses web, se méfier des messages trop pressants… Des gestes simples, mais qui peuvent éviter bien des mésaventures.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
