Le tabnabbing, une arnaque avec nos propres navigateurs!

C'est une arnaque en ligne particulièrement traître, un véritable piège qui exploite notre confiance et notre inattention.

Le terme "tabnabbing" est une contraction de "tab" (onglet) et de "nabbing" (piéger ou subtiliser). Il s'agit d'un type d’attaque d’hameçonnage, donc d’arnaque, très sophistiquée.

Voici comment ça fonctionne: c'est machiavélique!

Quelle est la signification de tabnabbing? 

L'attaque démarre quand on va sur un site malveillant, consciemment ou pas.

Sur ce site malveillant ou compromis, on va cliquer sur un lien et une nouvelle page avec un nouvel onglet va s’ouvrir.

Toutefois, pendant qu’on n'est pas attentif, un script malveillant va changer le contenu de l’onglet de base auquel on ne porte plus forcément attention.

Cet onglet se transforme alors en une fausse page de connexion qui imite à la perfection un site légitime qu’on connait bien, comme notre messagerie, notre banque, Facebook, Google, X, ou d'autres plateformes populaires.

Ce qui rend la supercherie difficile à détecter, c'est que l'onglet peut changer son titre ou son icône, mais l'allure générale reste celle d'un site connu.

Quand on revient sur cet onglet, on est incité à saisir nos identifiants, croyant être sur le vrai site.

Si on entre nos informations, les pirates les collectent. Et le plus sournois, c'est qu’on est souvent redirigé vers le vrai site après la "connexion", nous faisant croire que notre première tentative a simplement échoué, alors que nos informations ont déjà été dérobées!

Pourquoi c'est si dangereux ?

Une fois que les cybercriminels ont mis la main sur nos identifiants et mots de passe, ils peuvent les utiliser à diverses fins malveillantes. Ils peuvent :

• Prendre le contrôle de nos comptes
• Utiliser nos informations pour tenter de se connecter à d'autres de nos comptes en utilisant les mêmes identifiants et mots de passe volés.
• Usurper notre identité.
• Mener des campagnes d'hameçonnage très ciblées.

Comment se protéger face à une telle arnaque ?

On ne peut pas faire marche arrière quand des données ont fuité, mais on peut redoubler de vigilance et adopter les bonnes mesures pour protéger nos comptes !

Voici des recommandations pour garder nos informations à l'abri:

• Vérifier l’URL
• Limiter le nombre d’onglets ouverts
• Adopter un bon gestionnaire de mots de passe
• Activer l’authentification à deux facteurs
• Mettre à jour nos appareils
• Prendre le contrôle de nos comptes
• Un bon antivirus

Vérifier toujours, toujours, l'URL!

C'est le réflexe numéro un à avoir. Avant d'entrer la moindre information personnelle, on doit s’assurer que l'adresse web dans la barre d'URL est exactement celle du site légitime.

Les sites clonés par les pirates peuvent avoir des URLs étranges, une suite de chiffres, ou de légères fautes de frappe.

Si l'adresse ne semble pas correcte ou nous met le doute, fermez l'onglet immédiatement.

Limiter le nombre d'onglets ouverts

Plus on a d'onglets, plus le risque qu'un d'entre eux soit compromis augmente.

Il faut garder son espace de navigation rangé !

Adopter un bon gestionnaire de mots de passe

C'est notre meilleur allié! Il générera des mots de passe solides et uniques pour chaque compte, et les retiendra pour nous.

Le meilleur de tous les mondes : ne pas avoir à se souvenir de son mot de passe, avoir un mot de passe super sécurisé et qui respecte les mille et un critères.

Consultez nos gestionnaires de mots de passe préférés ici.

Activer l'authentification à deux facteurs (2FA) partout où c'est possible

L’authentification à deux facteurs, c’est lorsqu’une plateforme nous demande une deuxième preuve de connexion sur un autre appareil.

L’application Authentificator de Microsoft est un bon exemple. Elle envoie une notification sur notre téléphone pour vérifier que c’est bel et bien nous qui nous connectons.

C'est une protection essentielle qui ajoute un obstacle supplémentaire pour les pirates, même s'ils réussissent à obtenir notre mot de passe.

On a une chronique complète sur les 2FA et leur importance!

Mettez régulièrement à jour nos appareils et applications

Ces mises à jour ne sont pas juste là pour le plaisir : elles corrigent des failles de sécurité et nous protègent contre les nouvelles menaces.

On doit aller s’assurer d’être toujours à jour dans les mises à jour de notre ordinateur ou navigateur web.

Surveillez nos comptes

Activez les alertes de connexion ou les notifications d'activité suspecte offertes par nos services.

Cela nous permettra de repérer rapidement tout ce qui semble anormal ou toute tentative d'accès non autorisé.

Utilisez un bon antivirus

On a beau être autant vigilant que l'on veut, on ne pourra jamais tout prévenir. C'est physiquement impossible, on se fait bombarder par tellement de liens malveilleux, on est destiné à tomber dans le piège.

Un antivirus performant peut détecter et éliminer les logiciels malveillants, y compris les voleurs d’informations qui sont conçus pour dérober des données sensibles comme des mots de passe.

Mais un antivirus ne nous empêche pas juste de télécharger un logiciel malveillant, ça nous aide aussi à repérer quand on tombe dans le panneau.

L'antivirus va nous empêcher complètement d'accéder au site.

Le tabnabbing fait exactement ça: on écrit nos informations personnelles sur un site qui ressemble à celui de confiance. Le fraudeur n'a pas eu besoin de s'infiltrer en passant par la porte d'en arrière sur votre ordi. Vous avez remis vos informations personnelles sur un plateau d'argent.

Avoir ce genre de protection, c'est l'étape numéro 1 pour avoir une bonne utilisation de nos appareils qui vont sur Internet. C'est le strict minimum parce qu'on sait jamais quand on pourrait tomber dans le piège.

Chez francoischarron.com, on accorde énormément d'importance aux antivirus, parce qu'on sait que la protection de nos renseigments c'est la priorité. 

Découvrez nos antivirus préférés ici.