Tabnapping : l’attaque invisible qui menace vos utilisateurs (et comment s’en protéger)
Le tabnapping est une technique de phishing redoutablement discrète qui cible les internautes via des onglets de navigateur ouverts. Encore peu connue du grand public, cette méthode d’attaque peut compromettre gravement la sécurité de vos utilisateurs. Découvrez comment elle fonctionne et surtout, comment l’éviter efficacement.
Qu’est-ce que le tabnapping ?
Le tabnapping, contraction de tab (onglet) et kidnapping, désigne une attaque où un onglet inactif de votre navigateur est discrètement modifié par un site malveillant. Cela peut entraîner la redirection de l’utilisateur vers une fausse page de connexion qui imite un service populaire comme Gmail, Facebook ou LinkedIn.
Le but : voler les identifiants de connexion des internautes de manière indétectable.
Comment fonctionne une attaque par tabnapping ?
Voici le scénario classique d’un tabnapping :
- L’utilisateur clique sur un lien ouvrant une nouvelle page dans un nouvel onglet (
target="_blank"). - L’onglet d’origine reste ouvert, mais en arrière-plan.
- Le site ouvert dans le nouvel onglet utilise l’objet JavaScript
window.openerpour modifier la page d’origine. - L’utilisateur revient sur l’onglet initial, désormais falsifié, et pense être sur un site de confiance.
- Il saisit ses identifiants… que l’attaquant récupère instantanément.
Ce type d’attaque est redoutable car elle exploite la confiance visuelle des internautes : la page semble familière, alors qu’elle a été complètement remplacée.
Comment se protéger contre le tabnapping ?
1. Utilisez toujours rel="noopener" (et noreferrer si nécessaire)
Lorsque vous utilisez target="_blank" pour ouvrir un lien externe, ajoutez l’attribut rel="noopener" afin d’empêcher la page nouvellement ouverte d’accéder à window.opener. Cela bloque l’accès JavaScript entre les onglets.
Exemple sécurisé :
<a href="https://example.com" target="_blank" rel="noopener">Visiter le site</a>
Vous pouvez également ajouter noreferrer pour éviter la transmission de l’URL d’origine :
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Visiter le site</a>
2. Automatisez cette bonne pratique
Les CMS comme WordPress, Webflow ou Wix permettent d’intégrer automatiquement ces attributs via des plugins ou des options de thème. Sur WordPress par exemple, le plugin WP External Links vous permet de le faire en quelques clics.
Le tabnapping et le SEO : quel lien ?
Bien que le tabnapping n’ait pas d’impact direct sur votre SEO, il affecte gravement la confiance que les utilisateurs accordent à votre site. Un site non sécurisé peut entraîner :
- des plaintes ou signalements auprès de Google,
- une baisse du trafic,
- une augmentation du taux de rebond,
- voire une mise sur liste noire par les moteurs de recherche.
Pour en savoir plus sur la sécurité web et son impact sur l’expérience utilisateur, consultez notre guide complet sur les meilleures pratiques SEO techniques (source : Google Search Central).
En résumé : protégez vos utilisateurs
| ❗ Le tabnapping en bref |
|---|
| Technique de phishing utilisant des onglets ouverts |
Exploite window.opener pour manipuler un onglet en arrière-plan |
Se protège facilement avec rel="noopener" |
| Améliore la sécurité et la confiance sans impacter le SEO |
À retenir
Les menaces numériques évoluent constamment, et le tabnapping est un exemple parfait d’attaque silencieuse mais efficace. En tant que développeur ou webmaster, vous avez la responsabilité de protéger vos utilisateurs en appliquant des bonnes pratiques de sécurité HTML.
Sécurisez vos liens externes dès aujourd’hui : c’est simple, rapide et essentiel.
À lire aussi sur le blog :
