Sécurité : Le phishing laisse la place au Tabjacking

Olivier Robillart
Publié le 26 mai 2010 à 15h10
Plus dangereuse et surtout plus sournoise, une nouvelle méthode de phishing ou hameçonnage pour les francophiles, vient d'arriver jusqu'à nos oreilles. Le Tabjacking passerait outre les faux e-mails incitant à aider un hypothétique cousin nigérian ou à répondre à sa fausse banque. Il s'agit simplement de l'utilisation d'une possibilité JavaScript qui permet de changer un onglet sans en modifier l'Url. Plutôt fort.
00FA000001952840-photo-phishing.jpg

A en croire l'auteur d'un Proof of Concept (PoC) repris par le site Zataz, quelques secondes seraient nécessaires pour qu'un site web classique se transforme en fausse messagerie Gmail. Azarask (Aza Raskin) explique sur son site (démo à l'appui) qu'un JavasSript malveillant s'active et modifie quelques informations en toute transparence pour l'utilisateur. L'internaute sera dirigé vers une fausse page d'identification sans modification d'Url...

Pour l'instant, la méthode fonctionnerait sous Chrome et Firefox et passerait même les défenses d'outils comme Noscript en cas d'acceptation du script. Sous cette configuration, la fausse page Gmail s'afficherait soit au bout de 20 secondes, soit après 10 rafraichissements de pages avec le clavier.

Reste à savoir si la méthode pourra être utilisée largement par des esprits et logiciels malveillants. Ce Tabjacking pourrait, en effet, conduire un internaute ouvrant plusieurs onglets à se laisser piéger par ce JavaScript malveillant et une fausse page d'identification. Les informations ainsi recueillies pourraient ensuite s'avérer utiles pour trouver et infecter de nouvelles adresses.
Olivier Robillart
Par Olivier Robillart

Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic. Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction. J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles