Poser une question à votre IA !
Obtenez des précisions ou des analyses sur cet article en un clic
Tabnabbing : un simple onglet de navigateur oublié peut devenir une fausse page de connexion bancaire
Un onglet familier qui n'en est plus un
Le scénario tient en quelques secondes : vous ouvrez un onglet sur un site quelconque, consulté rapidement, puis vous l'oubliez en passant à autre chose. Pendant que votre attention se porte ailleurs, un script discret tourne en arrière-plan sur cette page inactive.
Quand vous revenez sur l'onglet une demi-heure plus tard, son contenu a changé : à la place de la page d'origine apparaît ce qui ressemble à votre messagerie ou à votre banque en ligne, avec un message rassurant du type « Votre session a expiré, veuillez vous reconnecter ». Vous tapez alors vos identifiants.
Sauf que ces identifiants ne partent pas chez votre banque, mais chez le cybercriminel qui a orchestré le remplacement : votre compte peut être vidé dans la foulée.
Cette technique porte un nom savant, le tabnabbing, contraction de tab (onglet) et nabbing (capturer). La Police nationale espagnole a récemment lancé une campagne vidéo pour alerter le grand public, tant la méthode fait de dégâts.
Quand vous revenez sur l'onglet une demi-heure plus tard, son contenu a changé : à la place de la page d'origine apparaît ce qui ressemble à votre messagerie ou à votre banque en ligne, avec un message rassurant du type « Votre session a expiré, veuillez vous reconnecter ». Vous tapez alors vos identifiants.
Sauf que ces identifiants ne partent pas chez votre banque, mais chez le cybercriminel qui a orchestré le remplacement : votre compte peut être vidé dans la foulée.
Cette technique porte un nom savant, le tabnabbing, contraction de tab (onglet) et nabbing (capturer). La Police nationale espagnole a récemment lancé une campagne vidéo pour alerter le grand public, tant la méthode fait de dégâts.
Pourquoi 2026 marque un tournant pour cette arnaque
Cybermalveillance vient de publier son rapport d'activité 2025, et le constat est sans appel : la plateforme a assisté 504 000 victimes sur l'année, soit une hausse de 20 % par rapport à 2024.
L'hameçonnage reste la première menace pour les particuliers avec près de 33 % des demandes d'assistance, en augmentation de 71 % sur un an, et ce chiffre recouvre des formes de plus en plus sophistiquées dont le tabnabbing fait désormais partie.
Certaines variantes explosent littéralement : l'arnaque au faux conseiller bancaire progresse de 159 % et représente 15 000 recherches d'assistance, pendant que les fraudes au virement bondissent de 196 % à 13 000 cas et que l'usurpation de numéro de téléphone enregistre un +517 % spectaculaire.
Autrement dit : les cybercriminels ne travaillent plus à l'aveugle. Ils achètent des bases de données fraîches sur le darkweb, incluant votre IBAN, votre numéro client ou votre plaque d'immatriculation, pour rendre leurs faux écrans de connexion crédibles jusque dans le détail.
L'hameçonnage reste la première menace pour les particuliers avec près de 33 % des demandes d'assistance, en augmentation de 71 % sur un an, et ce chiffre recouvre des formes de plus en plus sophistiquées dont le tabnabbing fait désormais partie.
Certaines variantes explosent littéralement : l'arnaque au faux conseiller bancaire progresse de 159 % et représente 15 000 recherches d'assistance, pendant que les fraudes au virement bondissent de 196 % à 13 000 cas et que l'usurpation de numéro de téléphone enregistre un +517 % spectaculaire.
Autrement dit : les cybercriminels ne travaillent plus à l'aveugle. Ils achètent des bases de données fraîches sur le darkweb, incluant votre IBAN, votre numéro client ou votre plaque d'immatriculation, pour rendre leurs faux écrans de connexion crédibles jusque dans le détail.
Ce qui rend le tabnabbing plus dangereux qu'un mail frauduleux
L'hameçonnage classique par email joue sur l'urgence : un faux message « votre colis est bloqué » pousse à cliquer sans réfléchir. Vous êtes alors sur vos gardes.
Le tabnabbing joue sur l'inverse exact : la familiarité. L'onglet transformé est un onglet que vous avez ouvert vous-même, il y a quelques minutes ou quelques heures, sur un site auquel vous faites confiance.
Quand vous y revenez et que vous voyez un écran de reconnexion, votre cerveau ne déclenche aucune alerte. Vous pensez simplement que votre session a expiré, comme cela arrive souvent.
C'est précisément ce biais de confiance que la Police nationale espagnole a voulu casser en alertant le grand public le 21 avril 2025, via un message officiel diffusé sur son compte X. L'institution qualifie ce type d'utilisateur multitâche de « victima perfecta » — victime parfaite — parce qu'il cumule exactement les deux comportements qui rendent l'attaque rentable : il garde des onglets ouverts longtemps et il navigue entre eux sans vérifier.
Le tabnabbing joue sur l'inverse exact : la familiarité. L'onglet transformé est un onglet que vous avez ouvert vous-même, il y a quelques minutes ou quelques heures, sur un site auquel vous faites confiance.
Quand vous y revenez et que vous voyez un écran de reconnexion, votre cerveau ne déclenche aucune alerte. Vous pensez simplement que votre session a expiré, comme cela arrive souvent.
C'est précisément ce biais de confiance que la Police nationale espagnole a voulu casser en alertant le grand public le 21 avril 2025, via un message officiel diffusé sur son compte X. L'institution qualifie ce type d'utilisateur multitâche de « victima perfecta » — victime parfaite — parce qu'il cumule exactement les deux comportements qui rendent l'attaque rentable : il garde des onglets ouverts longtemps et il navigue entre eux sans vérifier.
Trois réflexes qui neutralisent l'attaque
Bonne nouvelle : contrairement à des menaces comme le faux conseiller bancaire qui exploitent votre voix et votre émotion dans l'instant, le tabnabbing se neutralise par trois habitudes simples. Ces habitudes ne réclament aucune compétence technique.
Le premier réflexe consiste à fermer les onglets que vous n'utilisez pas. Si vous avez terminé votre consultation bancaire, fermez la page — ne la laissez pas ouverte « au cas où ».
Le deuxième réflexe est de retaper l'adresse du site vous-même dans la barre d'adresse quand un écran de connexion apparaît après une période d'inactivité. Ne faites jamais confiance à la page qui s'affiche toute seule : ouvrez un nouvel onglet, tapez labanquepostale.fr ou impots.gouv.fr à la main.
Le troisième réflexe est de vérifier l'URL avant d'entrer un mot de passe. Une page copiée est toujours hébergée sur une adresse qui ressemble sans être identique — par exemple labanquepost4le.fr au lieu de labanquepostale.fr.
Réflexe n°1 ✅ Fermer les onglets
Ce que vous faites
Vous gardez 15 onglets ouverts dont votre banque
Ce qu'il faut faire
Fermer dès que la consultation est terminée
Réflexe n°2 ⚠️ Retaper l'adresse
Ce que vous faites
Vous cliquez sur l'écran de reconnexion qui apparaît
Ce qu'il faut faire
Ouvrir un nouvel onglet et taper l'adresse à la main
Réflexe n°3 ⚠️ Vérifier l'URL
Ce que vous faites
Vous tapez vos identifiants sans regarder la barre d'adresse
Ce qu'il faut faire
Lire caractère par caractère avant toute saisie
Le premier réflexe consiste à fermer les onglets que vous n'utilisez pas. Si vous avez terminé votre consultation bancaire, fermez la page — ne la laissez pas ouverte « au cas où ».
Le deuxième réflexe est de retaper l'adresse du site vous-même dans la barre d'adresse quand un écran de connexion apparaît après une période d'inactivité. Ne faites jamais confiance à la page qui s'affiche toute seule : ouvrez un nouvel onglet, tapez labanquepostale.fr ou impots.gouv.fr à la main.
Le troisième réflexe est de vérifier l'URL avant d'entrer un mot de passe. Une page copiée est toujours hébergée sur une adresse qui ressemble sans être identique — par exemple labanquepost4le.fr au lieu de labanquepostale.fr.
Sur le même sujet :
Ce faux e-mail du Trésor public peut vider votre compte en 24 heures
Ce faux e-mail du Trésor public peut vider votre compte en 24 heures
Ce que vous risquez concrètement si vous tombez dedans
La Cour de cassation l'a rappelé à plusieurs reprises : en cas de fraude, c'est à la banque de prouver que vous avez été négligent pour refuser de vous rembourser. Si vous avez saisi vos identifiants sur un faux écran de reconnexion qui vous paraissait légitime, la négligence sera difficile à caractériser pour l'établissement.
Encore faut-il agir vite : dès que vous soupçonnez avoir été victime, le réflexe est de changer immédiatement le mot de passe du service concerné, puis celui de tous les services qui partageaient ce mot de passe — c'est l'erreur la plus fréquente.
Le signalement à votre banque doit intervenir dans les heures qui suivent, pas les jours : plus vous attendez, plus la récupération des sommes devient aléatoire. La plateforme 17Cyber , dispositif national d'assistance en ligne lancé fin 2024 par Cybermalveillance, vous guide étape par étape.
Ne comptez pas non plus sur un éventuel antivirus pour vous protéger : le tabnabbing n'installe rien sur votre ordinateur. Il ne laisse aucune trace détectable par les logiciels de sécurité classiques, ce qui en fait une technique particulièrement redoutable.
Encore faut-il agir vite : dès que vous soupçonnez avoir été victime, le réflexe est de changer immédiatement le mot de passe du service concerné, puis celui de tous les services qui partageaient ce mot de passe — c'est l'erreur la plus fréquente.
Le signalement à votre banque doit intervenir dans les heures qui suivent, pas les jours : plus vous attendez, plus la récupération des sommes devient aléatoire. La plateforme 17Cyber , dispositif national d'assistance en ligne lancé fin 2024 par Cybermalveillance, vous guide étape par étape.
Ne comptez pas non plus sur un éventuel antivirus pour vous protéger : le tabnabbing n'installe rien sur votre ordinateur. Il ne laisse aucune trace détectable par les logiciels de sécurité classiques, ce qui en fait une technique particulièrement redoutable.
Ce qu'il faut retenir
- Le tabnabbing remplace le contenu d'un onglet inactif de votre navigateur par une fausse page de connexion, pour récupérer vos identifiants quand vous y revenez sans méfiance.
- L'hameçonnage sous toutes ses formes a progressé de 71 % en 2025 selon Cybermalveillance et représente 33 % des assistances reçues par la plateforme côté particuliers.
- Trois réflexes suffisent à neutraliser l'attaque : fermer les onglets inutilisés, retaper l'adresse du site à la main dans un nouvel onglet, vérifier l'URL avant toute saisie.
- En cas de doute, le dispositif national 17Cyber vous guide gratuitement, et votre banque doit prouver votre négligence pour refuser le remboursement.
Sources :
- Cybermalveillance.gouv.fr, Rapport d'activité 2025, publié en mars 2026
- Cybermalveillance.gouv.fr, Top 10 des cybermalveillances pour les particuliers en 2025, publié le 22 avril 2026
- Police nationale espagnole (Policía Nacional), campagne de prévention tabnabbing, avril 2025
- OWASP, Reverse Tabnabbing Prevention Cheat Sheet
- Cour de cassation, jurisprudence sur la charge de la preuve en cas de phishing bancaire
- Cybermalveillance.gouv.fr, Rapport d'activité 2025, publié en mars 2026
- Cybermalveillance.gouv.fr, Top 10 des cybermalveillances pour les particuliers en 2025, publié le 22 avril 2026
- Police nationale espagnole (Policía Nacional), campagne de prévention tabnabbing, avril 2025
- OWASP, Reverse Tabnabbing Prevention Cheat Sheet
- Cour de cassation, jurisprudence sur la charge de la preuve en cas de phishing bancaire
Pour aller plus loin :
- Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
- Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
Par 
