Comment sécuriser votre site Web contre le tabnapping et le piratage de navigateur

Combien de fois avez-vous ouvert un onglet, pour ensuite vous en éloigner pendant quelques minutes, heures ou même toute la nuit ? Lorsque vous revenez à cet onglet, il n'est pas inattendu de devoir vous reconnecter. Après tout, qui suit le calendrier d'actualisation et la minuterie de déconnexion de chaque page ? Pas nous! Ce type de comportement rend les pages Web vulnérables au tabnapping, cependant - et ce type de cyberattaque s'attaque aux utilisateurs de sites qui traitent des informations privées, tels que les fournisseurs de messagerie et les portails de médias sociaux. Le tabnapping repose sur la confiance d'un utilisateur dans les sites Web qu'il connaît, ainsi que sur son inattention aux détails, en particulier en ce qui concerne les onglets qu'il a ouverts.

Remarque : Parfois, vous verrez "tabna pp ing" écrit comme "tabna bb ing". Le terme "tabnapping" est une combinaison de "tab" et "kidnapping". Il va de soi que "tabnabbing" est une combinaison de "tab" et "nab". Quoi qu'il en soit, ils se réfèrent tous les deux au même schéma, et dans notre cas, nous allons avec la version "tabna pp ing".

Qu'est-ce que le Tabnapping ?

Le tabnapping est un type spécifique d'exploit et d'attaque de phishing. Avec le tabnapping, l'attaquant crée des sites Web qui se font passer pour des sites Web populaires. Ensuite, le pirate persuade les utilisateurs de soumettre leurs informations de connexion, y compris leurs mots de passe, au faux site. Souvent, les faux sites Web ressemblent tellement aux vrais sites Web que les utilisateurs ont l'habitude de voir qu'ils ne remarquent pas la différence. L'utilisateur pense que le site est authentique et n'hésite pas à entrer ses informations de connexion, comme il l'a toujours fait.

Ce qui différencie le tabnapping des autres types d'attaques de phishing (comme cliquer sur un lien falsifié dans un e-mail), c'est que l'utilisateur ne se rend généralement pas compte que l'onglet est faux. La fausse page de connexion se charge dans un onglet déjà ouvert depuis longtemps dans le navigateur . La plupart des gens ne penseraient pas qu'un onglet qu'ils ont eux-mêmes ouvert a été pris en charge.

Les attaques par tabnapping sont particulièrement efficaces lorsque l'attaquant peut voir les sites Web que l'utilisateur charge souvent. Il peut alors simuler les sites auxquels l'utilisateur se connecte régulièrement.

Supposons que vous vous rendiez sur le site Web de votre banque avec l'intention de vous connecter. Vous accédez directement à la page de connexion en saisissant vous-même l'URL. Mais ensuite, vous êtes pris à faire autre chose dans un autre onglet ou une autre fenêtre. Après environ une heure, vous cliquez de nouveau dans l'onglet banque car vous êtes prêt à vous connecter pour vérifier vos comptes.

Dans le cas d'une attaque par tabnapping, à ce stade, le navigateur a navigué vers une page qui se fait passer pour la page de la banque. Mais vous verrez une page qui ressemble à la page de la banque sur laquelle vous avez été cent fois et que vous avez ouverte plus tôt dans la journée.

Comment fonctionne le tabnapping

Dans les navigateurs, les liens externes peuvent s'ouvrir dans de nouveaux onglets ou fenêtres si les éléments HTML HREF ont des attributs target=_blank spécifiés. Malheureusement, cela rend les utilisateurs vulnérables aux attaques par tabnapping. Parfois, le tabnapping est considéré comme un défaut de conception dans certains navigateurs. Cependant, bien que les navigateurs ne soient pas délibérément vulnérables au piratage et à la manipulation, la conception qui permet le tabnapping est utile.

Après le chargement d'une page et l'onglet a été ouvert pendant une longue période, les navigateurs peuvent naviguer à travers l'origine d'une page dans ces onglets inactifs. Comment? Cela a à voir avec la politique de même origine, un concept de sécurité en ligne. C'est lorsqu'un navigateur permet aux scripts d'une page Web d'accéder aux données d'une autre page Web si les deux pages Web ont la même origine (nom d'hôte, numéro de port et schéma d'URI). L'objectif de la politique est d' empêcher les activités malveillantes. S'il y a un script malveillant sur la première page, il ne peut pas obtenir de données sensibles d'autres pages Web. Cependant, cette mesure de sécurité est également ce qui rend le tabnapping possible.

Lors d'une attaque, l'attaquant envoie une page Web avec l'attribut target=_blank et y intègre un lien malveillant. L'utilisateur clique sur le lien malveillant, ce qui ouvre un nouvel onglet. Ensuite, le pirate transforme le premier onglet en une fausse page de phishing. Cela fait croire à l'utilisateur qu'il s'est déconnecté de son compte et qu'il doit se reconnecter.

Comment les propriétaires de sites Web peuvent empêcher le tabnapping avec l'attribut rel="noopener"

Certains navigateurs ont des extensions ou d'autres mesures de sécurité qui se défendent contre les attaques par tabnapping. Cependant, tous les navigateurs n'autorisent pas la désactivation des redirections d'onglets inactifs car il existe des cas où elles sont légitimes. Et comme le tabnapping n'est pas très courant (bien qu'il soit encore suffisamment important pour les mesures de prévention), ces fournisseurs de navigateurs ne veulent pas risquer de casser leurs applications pour améliorer la sécurité. Cela signifie que certains navigateurs peuvent ne jamais avoir de solutions ou de correctifs pour empêcher le tabnapping. Cependant, vous pouvez toujours prendre des mesures pour empêcher ce type d'attaque contre vos lecteurs.

Pour empêcher le tabnapping sur votre site Web, ajoutez l' attribut rel="noopener" à tout lien configuré pour s'ouvrir dans un nouvel onglet ou une nouvelle fenêtre. WordPress ajoute automatiquement cet attribut pour vous lorsque vous ajoutez un lien, puis sélectionnez Ouvrir dans un nouvel onglet .

Cependant, puisque rel= »noopener » ne fonctionne pas sur Firefox et certains navigateurs plus anciens, il y a un autre attribut que vous devez ajouter : rel= »noreferrer » que WordPress ajoute également aux liens dans les nouveaux onglets si vous êtes à jour.

Que vous utilisiez ou non WordPress, voici à quoi vos liens devraient ressembler pour éviter le tabnapping :

Comment les utilisateurs peuvent se protéger des tabnapping

Les principaux navigateurs ont généralement une sorte de filtre pour éliminer les sites malveillants, ainsi que les sites légitimes infectés. Tant que les listes noires de ces sites sont à jour, les attaques par tabnapping seront probablement bloquées. Si jamais vous voyez un avis indiquant qu'un site auquel vous essayez d'accéder a été compromis, tenez compte de cet avertissement. Ce n'est pas une blague.

Les utilisateurs doivent également toujours vérifier l'URL avant de saisir leurs informations de connexion, en particulier s'ils ont des onglets ouverts depuis longtemps. Il est peu probable que les attaquants soient en mesure de falsifier l'URL du site Web légitime, ce qui peut être un signe mort qu'il s'agit d'un faux. Fermez l'onglet immédiatement si l'URL envoie un drapeau rouge. Ne pas taper, cliquer ou interagir. Fermez-le simplement.

Les gestionnaires de mots de passe sont également utiles. Si vos informations de connexion sont liées au site Web légitime, elles ne doivent être remplies que lorsque vous êtes sur le site Web réel, et non lorsque vous êtes sur un site frauduleux qui ressemble. Les gestionnaires de mots de passe se coordonnent avec l'URL, pas avec le nom de l'entreprise. Si vous ne voyez pas la fenêtre contextuelle des identifiants de connexion, fermez l'onglet et recommencez.

Autres types de menaces de piratage de navigateur

Le tabnapping n'est pas le seul type de menace de piratage de navigateur à connaître. Les cyberattaquants disposent de toutes sortes de moyens pour obtenir vos clics et voler vos informations. En général, le piratage de navigateur est un logiciel qui modifie le comportement ou l'apparence d'un navigateur, et il peut également modifier les paramètres. Tout cela se passe sans votre consentement, bien sûr.

En conséquence, le pirate peut obtenir des revenus, collecter vos données et même enregistrer vos frappes. En fin de compte, ils peuvent voler votre identité s'ils collectent suffisamment d'informations pour établir un profil complet de vous. Les types de piratage de navigateur incluent :

• Adware qui inonde votre navigateur avec des publicités pop-up qui paient par clic. Ce type d'attaque ralentira généralement votre ordinateur car il utilise beaucoup de ressources.
• Suivi des cookies pour garder un œil sur ce que vous faites en ligne. Les mauvais acteurs peuvent tout savoir, de votre emplacement et de votre adresse IP aux pages que vous consultez et à ce que vous recherchez.
• Redirection vers des pages Web ou des moteurs de recherche dangereux ou remplacement de votre page d'accueil ou de votre moteur de recherche par défaut.
• Les logiciels espions qui collectent vos données privées, qui sont ensuite échangées sur les marchés de données (ce qui se termine souvent par une usurpation d'identité).

Pour vous défendre, restez attentif à l'état de votre navigateur et faites attention aux signes révélateurs d'un piratage, comme ceux décrits ci-dessus. Gardez également un œil sur les modules complémentaires, les extensions et les plug-ins du navigateur. Si quelque chose ne va pas après l'installation du logiciel, supprimez-le immédiatement. Vous devez également garder votre navigateur propre avec un nettoyage régulier et un vidage du cache. Et, bien sûr, utilisez régulièrement un logiciel antivirus et évitez d'utiliser le Wi-Fi public et/ou non sécurisé dans la mesure du possible.

Emballer

Pour récapituler, les attaques par tabnapping font croire aux utilisateurs qu'ils ont ouvert l'onglet eux-mêmes et que le site vient d'expirer. La page d'origine est liée à une deuxième page, et la deuxième page est capable de réécrire la page d'origine et de la remplacer par un site de phishing. Étant donné que l'utilisateur a commencé sur la page légitime, il est peu probable qu'il remarque qu'il s'agit d'un remplacement. Le design de la page ressemble à l'original. Lorsque l'utilisateur se connecte à la page "d'origine", ses informations d'identification sont transmises ailleurs.

Pour vous protéger le plus possible contre les tabnapping, ne vous connectez jamais sur un onglet que vous n'avez pas ouvert vous-même. Et même si vous pensez avoir ouvert l'onglet, si vous revenez à une page de connexion après qu'elle est restée inactive pendant un certain temps, fermez-la pour plus de sécurité, puis revenez sur le site Web pour en ouvrir une nouvelle. Vérifiez également toujours l'URL. En ce qui concerne les autres menaces de piratage de navigateur, pratiquez une bonne hygiène du navigateur - limitez et faites attention aux logiciels que vous utilisez, effacez régulièrement le cache du navigateur et investissez dans un logiciel antivirus de qualité.

Vous pouvez également lire notre article sur le détournement de cookies et comment l'empêcher.

Votre navigateur a-t-il déjà été tabnappé ? Parle-nous-en dans les commentaires!

Image sélectionnée par Legend_art / Shutterstock.com