Les e-mails de phishing deviennent de plus en plus malins. Une récente attaque ultra-sophistiquée contre Gmail, mise en lumière par Nick Johnson, a exploité des failles dans l’infrastructure de Google.
Une arnaque qui imite Google à la perfection
Dans ce phishing, on parle d’un e-mail qui semble venir directement de Google, avec une adresse officielle comme no-reply@accounts.google.com. Cet e-mail, qui passait tous les tests de sécurité comme le DKIM (un système qui vérifie l’authenticité des e-mails), avertissait d’une prétendue assignation à comparaître pour fournir une copie de son compte Google. Aucun drapeau rouge n’a été levé par Gmail, et l’e-mail s’est même glissé dans une conversation avec d’autres alertes légitimes.
En cliquant sur le lien, l’utilisateur atterrit sur une page hébergée sur sites.google.com, un domaine qui inspire confiance, car il appartient à Google. Cette page, conçue pour ressembler à un portail d’assistance officiel, incitait à télécharger des documents ou consulter un dossier. Problème : en saisissant vos identifiants sur cette page, vous les offrez sur un plateau aux pirates. Résultat ? Votre compte peut être compromis en un clin d’œil.
Ce qui rend cette attaque si redoutable, c’est l’exploitation d’une vieille plateforme de Google, sites.google.com. Ce service date d’une époque où la sécurité n’était pas la priorité absolue, il permet d’héberger du contenu sur un sous-domaine google.com et d’y intégrer des scripts. Pour les pirates, c’est une chance : ils peuvent créer des pages sans trop d’efforts et les mettre à jour dès que Google les repère.
Comment vous protéger dès maintenant
Pas besoin d’être un expert en cybersécurité pour vous mettre à l’abri. Déjà, lisez ce dossier et mettez-le en favori, il vous sera utile.
Google a reconnu le problème et déploie des protections pour bloquer ce type d’attaque, mais en attendant, il y a des mesures simples que vous pouvez prendre.
Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Meta, iCloud, Steam…
D’abord, activez l’authentification multifacteur (ou MFA). Ça veut dire qu’en plus de votre mot de passe, vous devrez confirmer votre identité avec un code envoyé sur votre téléphone ou une clé de sécurité. Même si un pirate obtient votre mot de passe, il ne pourra pas aller loin sans cet autre verrou.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Ensuite, configurez un numéro de téléphone et une adresse e-mail de récupération sur votre compte Google. Pourquoi ? Parce que si votre compte est piraté, vous avez sept jours pour le récupérer, même si le pirate change vos informations. Pendant cette période, Google peut encore envoyer des codes de connexion à vos anciens contacts de récupération. Pour ajouter ces options, allez dans les paramètres de votre compte Google, section « Sécurité », et suivez les instructions pour configurer un téléphone ou un e-mail de secours.
Restez aussi vigilants face aux e-mails suspects. Si un message vous demande de cliquer sur un lien ou de saisir vos identifiants, méfiez-vous, même s’il semble venir de Google. Vérifiez l’URL en passant votre curseur dessus (sans cliquer !) et assurez-vous qu’elle commence par https://accounts.google.com. Si quelque chose vous semble bizarre, mieux vaut contacter le support officiel de Google directement.
Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un mercredi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix