L’e-mail en question semblait tout ce qu’il y a de plus légitime : une adresse officielle, un contenu approprié, sans faute ni exagération, et surtout : une signature numérique validée par Gmail. Pour un œil non averti, et même pour un œil aguerri, rien ne cloche ; c’était pourtant un leurre. Nick Johnson, développeur, a partagé sur X le piège dans lequel il a failli tomber (voir ci-dessous). Le message évoquait une prétendue assignation judiciaire adressée à Google, concernant son compte personnel. Une situation stressante, qui inciterait n’importe qui à cliquer rapidement. Sauf que derrière le lien, ce n’est pas Google que l’on trouve. Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google’s infrastructure, and given their refusal to fix it, we’re likely to see it a lot more. Here’s the email I got: pic.twitter.com/tScmxj3um6 — nick.eth (@nicksdjohnson) April 16, 2025 Quand un vrai e-mail de Google devient une arme pour vous piéger Ce qui rend cette attaque redoutable, c’est sa surface de contact : elle utilise un vrai canal de Google, à la différence de celle repérée par l’Internaute l’an dernier. L’e-mail reçu par Johnson provenait d’une adresse officielle qui se terminait en « no-reply@google.com ». La signature numérique ; celle qui atteste de l’authenticité d’un message ; était donc bien valide, ce qui a empêché Gmail d’afficher un avertissement. L’e-mail s’est même automatiquement intégré dans les fils de discussion déjà existants liés à la sécurité du compte. Le lien à l’intérieur, lui, ne renvoyait pas vers « accounts.google.com », la page sécurisée de Google. Il pointait vers une adresse hébergée sur « sites.google.com », un petit détail qui change tout. Un utilisateur non averti qui verrait une URL commençant ainsi pourrait penser qu’il est toujours sur un service Google, et donc en sécurité, même si ce n’est pas le service approprié pour gérer ses paramètres de sécurité de compte. Toutefois, le lien menait vers un faux portail Google, visuellement identique, conçu pour soutirer mots de passe, informations bancaires, voire d’autres données sensibles comme le numéro de Sécurité sociale. Comme l’explique Johnson dans sa publication sur X : « Récemment, j’ai été ciblé par une attaque de phishing extrêmement sophistiquée. Elle exploite une faille dans l’infrastructure de Google et, étant donné leur refus de la corriger, on va sans doute la voir se répéter ». Quand la double authentification ne suffit plus Le plus inquiétant ? Même si vous utilisez l’authentification à deux facteurs (2FA), vous n’êtes pas nécessairement à l’abri de ce type d’attaque. En volant d’abord vos identifiants, les attaquants peuvent provoquer une tentative de connexion, attendre que vous receviez le code temporaire, puis vous conduire à le renseigner, croyant que vous vous connectez vous-même. Le 2FA n’est donc plus un rempart fiable et selon Google, la solution la plus efficace reste les passkeys, une technologie qui, à terme, remplacera certainement les mots de passe. Un passkey, ou clé d’accès, fonctionne différemment. Il ne repose ni sur un mot de passe, ni sur un code SMS, mais s’appuie sur une paire de clés cryptographiques stockée directement sur votre appareil. Lors de la connexion, c’est votre téléphone ou votre ordinateur qui vérifie votre identité, sans rien transmettre de sensible en ligne. Tant que vous avez votre appareil avec vous, il est extrêmement difficile pour quelqu’un d’usurper votre compte. Google a confirmé être au courant de ce qui se trame dans un communiqué. « Nous avons connaissance de ce type d’attaque ciblée et des acteurs qui en sont responsables. Nous avons déployé des protections pour bloquer cette approche d’abus. Pour une sécurité renforcée, nous encourageons vivement les utilisateurs à activer l’authentification à deux facteurs et à utiliser les passkeys. Ces technologies offrent une défense robuste contre ce genre d’attaques par hameçonnage », a expliqué l’entreprise. Si vous utilisez Gmail, nous vous conseillons donc fortement d’appliquer ces quelques conseils. Évitez à tout prix de cliquer sur des liens contenus dans les e-mails, même s’ils viennent de Google ; préférer les accès directs aux services depuis un navigateur. Et bien sûr, passez dès que possible aux passkeys ; cela ne prend que quelques minutes à paramétrer, et eux, ne laisseront rien transiter. Un développeur a failli se faire piéger par un e-mail frauduleux envoyé depuis une adresse officielle de Google, sans aucun signe d’alerte visible. Le message redirigeait vers une fausse page d’identification parfaitement imitée, conçue pour voler identifiants et données personnelles. Même la double authentification peut être contournée ; pour mieux se protéger, il est recommandé d’adopter une méthode d’identification plus robuste : les passkeys. 📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.