Bonjour,
 
je travaille dans une DSI et m'intéresse en ce moment aux nouvelles techniques de phising pour sensibiliser mes utilisateurs.
J'ai lu pas mal de trucs sur le tabnabbing qui consiste à modifier le contenu d'un onglet par du javascript pendant que l'utilisateur navigue sur un autre onglet.
 
Il y a beaucoup d'articles sur le sujet mais la plupart ramènent au blog du mec qui aurait "découvert" la méthode, un certain Aza Raskin. C'est le seul qui publie une démo :
http://www.azarask.in/blog/post/a- [...] ng-attack/
 
Le sujet a été repris maintes fois par les blogs et les sites spécialisés comme un truc au potentiel super dangereux, mais bon dans sa démo il fout juste un screenshot de la page d'accueil google. Ouh ! Super effrayant, mais faudra m'expliquer comment entrer mes données personnelles dans un .jpg
Alors certes je comprends qu'il pourrait avoir des ennuis juridiques s'il met une vrai page de phising (même pour une démo).
 
Mais je voulais quand même savoir si cette méthode permet de réaliser cette attaque en affichant une réelle page de phishing (avec des formulaires et tout) à la place de la page d'origine ou si c'était juste un moyen pour ce M. Raskin de faire son buzz et que tous les moutons avaient rapporté l'article sans vérifier...
 
Si oui, existe-t-il un site qui propose une vrai démo parce que j'ai pas trouvé ?
 
Merci beaucoup

j'essaierai de me mettre en relation avec le support de ma solution antivirus voir s'ils ont des infos là dessus

C'est du phishing tout simple, la parade est la même que pour les autres méthodes de fishing : blacklist des domaines infectés, et demander aux utilisateurs d'utiliser leur cerveau et vérifier l'URL du site qui affiche la page de login.

ccp6128 je suis pas complètement d'accord.
 
J'appelle pas ça du phising tout simple puisque quand un onglet est déjà ouvert, tu es plus censé lui faire confiance. Exemple : j'ai toute la journée 10 onglets ouverts et je check mon gmail tous les 15 min environ. Je regarde pas à chaque fois l'URL et avec plein d'onglets ouverts tu sais pas forcément où est placé ton gmail. Bon c'est sûr ça me paraîtrait bizarre de me faire déconnecter sans raison mais pas forcément l'utilisateur lambda.
 
En fait je dois faire une brève intervention et exposer des règles de sécurité à des utilisateurs. Le but de mon propos sera justement de démontrer qu'il faut utiliser son cerveau en prouvant que les méthodes évoluent et qu'il suffit pas d'appliquer bêtement les règles qu'on entend à chaque fois.
 
Ca s'adresse à des responsables qui aiment pas forcément qu'on les prenne pour des gamins, donc faut que ça suscite de l'attention, parce que sinon ils écoutent rien en pensant tout savoir.
 
D'où l'idée de partir sur ce genre de subtilités mais je voudrais leur faire une vrai démo du truc, d'où ma question...