C’est Aza Raskin, employé chez Mozilla Firefox qui vient de découvrir une nouvelle méthode de phishing : le Tabnabbing. Le concept est plutôt simple et peut induire en erreur les plus averti d’entre nous. L’attaque se base sur le fait que nous ouvrons de plus en plus d’onglets sans pour autant les fermer systématiquement. Via un code javascript malveillant sur une page, le pirate pourra détecter un changement de page et modifier la page actuel en créent une page de login identique à celle de Gmail, Facebook ou autre vous demandant de vous ré-authentifier. Comme vous êtes souvent connecté et que vous avez dû ouvrir cette page à un moment, vous le faîte les yeux fermées…

Aza Raskin a publié une vidéo pour vous montrer le fonctionnement ingénieux de ce système :

[vimeo]http ://vimeo.com/12003099[/vimeo]

Cette faille touche actuellement la dernière bêta de Firefox ainsi que la dernière version de Chrome. Il est certain que les éditeurs de navigateurs web vont tout mettre en oeuvre pour que cette faille ne fonctionne plus dans les heures/jours qui viennent. Aza Raskin a publié un exemple de cette faille disponible à cette adresse. Vous pouvez tester son fonctionnement en tout sécurité aucune donnée n’est collectée.

On peut donc voir que les pirates redoublent d’ingéniosité pour récupérer des données sensibles. L’attaque du Tabnabbing est très simple et pourrait ramener aux pirates de nombreuses informations. Imaginons ce code dans un jeu Facebook ou tout autre site viral. Heureusement que cette faille a été découverte par quelqu’un qui n’a pas hésité à la divulgué permettant de la contrer rapidement. Faites en tout cas attention dans les prochains jours et n’hésitez pas à vérifier plusieurs fois que vous êtes sur le bon site. N’hésitez pas non plus à mettre à jours vos navigateurs et leurs plugins associés en espèrant que la prochaine version corrige cette immense faille de Tabnabbing.

Source : Mashable