Les navigateurs Internet (Chrome, Edge, Firefox, Safari…) permettent d’afficher plusieurs sites Internet simultanément, dans des onglets différents. Une fonctionnalité bien pratique pour passer simplement de l’un à l’autre.
Cependant, chaque onglet ouvert peut contenir des scripts, des publicités ou des trackers (dispositifs permettant de mesurer les interactions de l’utilisateur avec le site), qui consomment des ressources et augmentent les risques de sécurité.
Fermer les onglets inactifs ou utiliser des extensions comme OneTab ou The Great Suspender permet de les suspendre temporairement.
Il convient également de mettre à jour régulièrement son navigateur, au titre des correctifs de sécurité permettant de colmater les failles exploitées par les cybercriminels. Pour ce faire, il faut activer les mises à jour automatiques (dans ce cas, vérifier dans les paramètres leur mise en place effective) ou les accepter manuellement lorsqu’elles sont proposées.
Afin d’éviter un autre risque lié aux onglets restés ouverts, l’activation des paramètres de blocage des publicités et trackers du navigateur ou l’utilisation de bloqueurs tels que uBlock Origin, Privacy Badger…, permettent d’éviter les malwares et les fuites de données.
Par exemple, un onglet ouvert sur un compte bancaire, un email ou un réseau social peut être exploité si l’appareil est compromis ou si quelqu’un y accède physiquement. Il faut donc systématiquement se déconnecter des sites sensibles ou douteux après utilisation.
Utiliser le mode « navigation privée » peut-être une bonne solution pour les usages sensibles. Cette précaution limite l’enregistrement des cookies et de l’historique, réduisant les risques de fuites de données après la fermeture de l’onglet. Elle est effective en utilisant le mode incognito (Chrome, Edge) ou la navigation privée (Firefox, Safari).
Par ailleurs, certaines extensions et plugins installés peuvent être malveillants ou obsolètes, et représenter un risque pour la sécurité. Il convient de les désactiver ou de les supprimer s’ils sont inutiles, et au minimum de vérifier leurs permissions.
L’utilisation d’un gestionnaire de mots de passe (Bitwarden, 1Password ou KeePass) évite de laisser des sessions ouvertes ou de stocker des mots de passe en clair dans le navigateur. Enfin, vérifier régulièrement les onglets ouverts évite de laisser s’exécuter du code ou la collecte de données en arrière-plan.
Quelques exemples d’exploitation d’onglets restés actifs invitent à la plus grande prudence :
En conclusion, faire le ménage régulièrement et fermer les onglets, surtout avant de quitter son poste, permet d’éviter le « coup de froid » de l’onglet mal maîtrisé.
Philippe Leroy, Président de la Commission systèmes d’information
Cependant, chaque onglet ouvert peut contenir des scripts, des publicités ou des trackers (dispositifs permettant de mesurer les interactions de l’utilisateur avec le site), qui consomment des ressources et augmentent les risques de sécurité.
Fermer les onglets inactifs ou utiliser des extensions comme OneTab ou The Great Suspender permet de les suspendre temporairement.
Il convient également de mettre à jour régulièrement son navigateur, au titre des correctifs de sécurité permettant de colmater les failles exploitées par les cybercriminels. Pour ce faire, il faut activer les mises à jour automatiques (dans ce cas, vérifier dans les paramètres leur mise en place effective) ou les accepter manuellement lorsqu’elles sont proposées.
Afin d’éviter un autre risque lié aux onglets restés ouverts, l’activation des paramètres de blocage des publicités et trackers du navigateur ou l’utilisation de bloqueurs tels que uBlock Origin, Privacy Badger…, permettent d’éviter les malwares et les fuites de données.
Par exemple, un onglet ouvert sur un compte bancaire, un email ou un réseau social peut être exploité si l’appareil est compromis ou si quelqu’un y accède physiquement. Il faut donc systématiquement se déconnecter des sites sensibles ou douteux après utilisation.
Utiliser le mode « navigation privée » peut-être une bonne solution pour les usages sensibles. Cette précaution limite l’enregistrement des cookies et de l’historique, réduisant les risques de fuites de données après la fermeture de l’onglet. Elle est effective en utilisant le mode incognito (Chrome, Edge) ou la navigation privée (Firefox, Safari).
Par ailleurs, certaines extensions et plugins installés peuvent être malveillants ou obsolètes, et représenter un risque pour la sécurité. Il convient de les désactiver ou de les supprimer s’ils sont inutiles, et au minimum de vérifier leurs permissions.
L’utilisation d’un gestionnaire de mots de passe (Bitwarden, 1Password ou KeePass) évite de laisser des sessions ouvertes ou de stocker des mots de passe en clair dans le navigateur. Enfin, vérifier régulièrement les onglets ouverts évite de laisser s’exécuter du code ou la collecte de données en arrière-plan.
Quelques exemples d’exploitation d’onglets restés actifs invitent à la plus grande prudence :
- Un attaquant modifie l’apparence d’un onglet inactif pour le faire ressembler à un site de confiance (ex : page de connexion Google ou Facebook). Quand l’utilisateur revient sur l’onglet, il saisit ses identifiants sur une fausse page.
- Plusieurs extensions Chrome populaires ont été retirées du Store après avoir été prises en flagrant délit de collecte frauduleuse de données sur les onglets ouverts des utilisateurs.
- Des campagnes de malvertising (publicités malveillantes) ont ciblé des utilisateurs via des bannières sur des sites d’actualité. Les victimes, ayant laissé des onglets ouverts, ont été infectées par des ransomwares ou des logiciels espions.
- Des employés de plusieurs entreprises ont été victimes de détournement de session via des onglets ouverts sur des réseaux sociaux ou des boîtes mail, permettant à des attaquants d’envoyer des messages frauduleux ou de voler des données sensibles.
- Plusieurs extensions Chrome populaires ont été retirées du Store après avoir été prises en flagrant délit de collecte frauduleuse de données sur les onglets ouverts des utilisateurs.
- Des campagnes de malvertising (publicités malveillantes) ont ciblé des utilisateurs via des bannières sur des sites d’actualité. Les victimes, ayant laissé des onglets ouverts, ont été infectées par des ransomwares ou des logiciels espions.
- Des employés de plusieurs entreprises ont été victimes de détournement de session via des onglets ouverts sur des réseaux sociaux ou des boîtes mail, permettant à des attaquants d’envoyer des messages frauduleux ou de voler des données sensibles.
En conclusion, faire le ménage régulièrement et fermer les onglets, surtout avant de quitter son poste, permet d’éviter le « coup de froid » de l’onglet mal maîtrisé.
Philippe Leroy, Président de la Commission systèmes d’information
Image par Gerd Altmann de Pixabay
