Le tabnabbing, également appelé détournement d'onglet est une technique d'hameçonnage (phishing) discrète et insidieuse. Elle exploite une faille souvent négligée, la confiance qu'un internaute accorde à ses propres onglets de navigation. Apparue dès 2010, cette technique se perfectionne et suivant les évolutions du web et surfant sur le multitâche, devenu aujourd'hui une norme incontournable. Elle s'impose aujourd'hui comme une menace réaliste, redoutable et toujours plus crédible dans sa mise en œuvre. Décryptage.
Origines et premières constatations
C'est en 2010 que Aza Raskin, designer et chercheur en sécurité, actif dans la recherche contre le phishing, signale la possibilité d'exploiter des onglets laissés inactifs (ou non) à des fins malveillantes.
Il démontre la possibilité de détourner un onglet, sans interaction direct de l'utilisateur, en le transformant en page de phishing parfaitement crédible.
Une attaque susceptible de contourner les filtres habituels du phishing "traditionnel" en trompant la confiance de l'utilisateur au travers de son propre environnement, réputé "sûr". Peu d'utilisateurs (aucun) vérifient l'intégrité d'un onglet resté inutilisé quelques minutes. C'est pourtant suffisant pour permettre à cette attaque insidieuse de se mettre en place.
Fonctionnement d'un piège invisible
Le tabnabbing repose sur un mécanisme extrêmement simple, mais redoutablement ingénieux, la transformation d'une page légitime en fausse page d'identification.
- Un internaute visite un site légitime, réputé inoffensif. Pourtant, ce site contient un script malveillant, souvent écrit en JavaScript, capable de détecter l'inactivité de l'onglet qui l'héberge.
- Après un délai d'inactivité défini dans le script, celui-ci modifie le contenu de la page, son titre et jusqu'à la favicon (icone affichée dans l'onglet représentative du site visité) pour laisser penser au visiteur qu'il est toujours sur le site visité initialement.
- De retour sur l'onglet, l'utilisateur se retrouve sur la page de connexion, usurpée, du site, qu'il perçoit comme légitime.
- Il saisit ses identifiants qui sont immédiatement transmis au serveur de l'acteur malveillant.
Aucun téléchargement de pièce jointe douteuse ni aucun besoin de cliquer sur un lien renvoyant vers une adresse suspicieuse n'est nécessaire, tout se passe sans action supplémentaire de l'utilisateur.
Provenances du script
Le code utilisé pour détourner les onglets inactifs peut provenir de différentes sources :
- un site légitime infecté via une injection XSS,
- des publicités malveillantes (malvertising) hébergées par des régies peu regardantes,
- un malware local sur le poste de l'utilisateur,
- des campagnes de phishing indirect distribuant le malware.
Contrairement à un malware "classique" dont le but est d'infecter une machine, ce type de script sert à manipuler l'utilisateur en lui laissant à penser qu'il est toujours sur le site légitime désiré. Le tabnabbing est une attaque très sophistiquée d'ingénierie sociale déguisée en événement technique.
Une porte ouverte au phishing moderne
S'intégrant parfaitement dans l'écosystème des cyberattaques de nouvelle génération, qui visent à exploiter la charge cognitive, les mauvaises habitudes et les faiblesses humaines, le tabnabbing est loin d'être un phénomène isolé. Il se classe donc naturellement dans la famille des attaques par hameçonnage que sont le phishing classique, le spear phishing (phishing ciblé), le smishing (via SMS) ou encore le vishing (phishing vocal).
Le tabnabbing jouit aujourd'hui d'un environnement propice à son exploitation. Les navigateurs modernes proposent une forme de navigation multitâches grâce aux onglets. Avec une dizaine d'onglets ouverts simultanément, les utilisateurs élargissent, involontairement, leur surface d'attaque. Par ailleurs, en 2025, plus de 80% des attaques opportunistes exploitent les comportements humains plutôt que les vulnérabilités techniques.
Ce type d'attaque s'appuie sur ces 2 constats et renforce son efficacité en contournement les dispositifs de sécurité au profit d'une invitation à se faire remettre, sans contrainte, des données privées.
Comment identifier ce type de menace
La détection de ce type de menace est assez complexe, surtout pour un utilisateur peu expérimenté. Mais, tout comme pour un mail de phishing, quelques éléments de vigilance et de bonnes pratiques peuvent éveiller la vigilance et limiter les risques.
- La page demande une identification alors que d'ordinaire la session est maintenue. C'est un signe simple à identifier, votre compte de messagerie reste en permanence connecté, mais aujourd'hui, il demande une identification.... Un signe moins probant pour un site bancaire par exemple.
- La page se recharge, sans raison
- Similaire à la demande d'identification ci-dessus.
- L'étude de l'URL de la page ne correspond pas au site visité. Parfois subtiles, l'adresse comporte des différences à même d'éveiller les soupçons : goggle ou lieu de google, faceb00k au lieu de facebook...
- Le gestionnaire de mots de passe ne remplit pas les champs. Cette fonctionnalité des générateurs de mots de passe (remplissage automatique en fonction de l'adresse) permet d'alerter l'utilisateur que le site consulté ne correspond pas à celui attendu. Une raison supplémentaire d'utiliser un générateur de mots de passe.
- Le site n'est pas sécurisé (HTTPS) Pas forcément révélateur (aujourd'hui les pirates enregistrent des noms de domaine avec certificat SSL pour obtenir une légitimité toute relative), mais signal à surveiller en toutes circonstances, aucune donnée "sensible" (mot de passe...) ne doit être transmise si le site visité n'affiche pas le fameux cadenas et une adresse en HTTPS.
- Un aspect visuel particulier
Même très pointus, les pirates se contentent souvent d'aspirer du contenu pour recréer des sites "identiques" ou présentant la même apparence que, toutefois, certaines options, peuvent ne pas s'implémenter comme sur le site d'origine et le visuel final peut varier du site usurpé.
Enfin, une inspection du code source, pour les plus techniques, peut permettre d'identifier des différences notables dans le code, voire même le script malveillant.
Quels sont les risques ?
Les risques sont liés aux données piratées.
Les risques portent principalement sur le vol d'identifiants (compte bancaire, réseaux sociaux...) avec des conséquences variables selon les cas.
Si les identifiants volés sont ceux de :
- compte bancaire = risques d'escroquerie financière, vol de fonds,
- réseaux sociaux = usurpation d'identité, atteinte à la réputation.
L'escalade (augmentation des surfaces d'attaque en croisant les données récupérées) est un risque majeur, renforcé si le couple identifiant / mot de passe volé est réutilisé pour d'autres comptes, qui peut mener à des pertes financières, sociales et morales extrêmes.
Ces données peuvent également être (seront) revendues, souvent en lot, sur le dark web et viendront alimenter les listes utilisées pour mener d'autres attaques plus destructrices.
Comment se prémunir ?
On ne le répètera jamais assez, la première mesure et la plus efficace passe par l'éducation du plus grand nombre. La sensibilisation aux bonnes pratiques, la connaissance des menaces et leurs risques et une bonne hygiène numérique sont la clé à une prévention efficace.
Parmi ces bonnes pratiques, dans le cas particulier du tabnabbing, on peut citer :
- Maintenir son système à jour (les dernières versions des navigateurs embarquent des protections contre le tabnabbing).
- Fermer systématiquement tout onglet inactif dès que possible.
- Vérifier l'URL du site, surtout en cas de comportement particulier (refresh agressif...).
- Utiliser des mots de passe uniques.
- Utiliser un gestionnaire de mots de passe (double intérêt, mots de passe uniques et complexes et reconnaissance des URL)
- Activer l'authentification à double facteur partout où c'est possible.
- Se méfier des sites inconnus ou offrant des services "gratuits"...
- Limiter l'usage d'extensions en tous genres pour des options/services peu ou pas utilisés.
En revanche, l'usage d'extensions anti-phishing et anti-script telles que NoScript, uBlock Origin ou encore Privacy Badger permettra de limiter les risques.
Une menace prise en compte par les navigateurs
Les principaux navigateurs (Chrome, Firefox, Edge, Brave, Safari) intègrent depuis plusieurs années des contremesures à ce type d'attaque. Ainsi, l'isolement des onglets, le blocage de certaines redirections, les alertes de sécurité sont des dispositifs qui, si le navigateur est à jour, luttent efficacement contre cette menace, mais ne sont pour autant pas infaillibles, et l'humain reste l'élément central de la sécurité des systèmes.
Réémergence du phénomène
Plusieurs agences de sécurité (en France et en Espagne notamment) font état d'une recrudescence d'attaques basées sur le tabnabbing depuis le début de l'année 2025.
Exploitant désormais les normes HTML5 et CSS3, les pages contrefaites sont presque indétectables.
Enfin, l'efficacité psychologique, l'usage d'onglets en grand nombre et la transparence de l'attaque expliquent l'attrait de cette technique pour les pirates. Par ailleurs, le tabnabbing est souvent combiné à d'autres attaques complémentaires, servant un dessein plus important que le "simple vol" d'identifiants.
En cas de doute
Si un onglet parait suspect, ces quelques reflexes devraient permettre stopper l'attaque :
- Fermer l'onglet suspect, voire le navigateur
- Rouvrir le site via un lien habituel (favori) ou en saisissant l'adresse manuellement
- En cas de doute, changer immédiatement le mot de passe
- Vérifier les activités récentes sur le compte concerné
- Scanner l'ordinateur avec un antivirus à jour
- Si la tentative est avérée et que des éléments d'identification ont pu être relevés (URL, script..) signaler le site frauduleux (cybermalveillance.gouv.fr)
En bref
Le phishing sous toutes ses formes, et plus encore le tabnabbing illustrent avec une clarté troublante la direction qu’a prise la cybersécurité moderne : le danger ne vient plus seulement des lignes de code, mais de nos propres habitudes.
Nulle question ici d'exploits hauts de gamme aux dégâts spectaculaires, mais un simple fil tendu entre technologie et psychologie humaine. C’est cette discrétion même qui la rend si dangereuse.
Ce qui frappe, c’est la simplicité du concept face à l’ingéniosité de son exécution. Un seul script, quelques secondes d’inattention, et l’utilisateur agit lui-même contre ses propres intérêts.
Dans une société saturée d’informations, où l’attention est devenue une ressource rare, le tabnabbing tire parti de notre manque de concentration mieux que n’importe quel autre malware.
En termes de gravité, l’attaque se situe entre le phishing classique et l’usurpation de session : peu destructrice sur le plan matériel, mais potentiellement catastrophique sur le plan personnel et financier.
Un simple vol d’identifiants peut déboucher sur un effet domino : compromission d’e-mails, de comptes cloud, de profils professionnels… et au final, perte de confiance dans le numérique.
Pour s’en prémunir, la stratégie la plus efficace reste la culture de la méfiance raisonnée, accepter que même un onglet “familier” puisse être piégé, que même un cadenas HTTPS ne garantit pas l’authenticité, et que la vigilance doit accompagner chaque clic, même ceux que l’on croit anodins.
Le tabnabbing n’est pas le plus sophistiqué des dangers cyber, mais il est probablement l’un des plus révélateurs. Il montre que dans le cyberespace, la première ligne de défense n’est pas une barrière logicielle, c’est l’utilisateur lui-même, sa curiosité, son scepticisme et sa capacité à ne jamais baisser la garde.