Par Nicolas Richaud
C'est une campagne de « phishing » de grande ampleur qui vient d'être déjouée par Google. Aussi appelé « hameçonnage », ce type d'arnaque consiste pour les pirates à récupérer mots de passe, identifiants et autres données sensibles en trompant les utilisateurs ciblés à l'aide de courriels censés provenir directement du fournisseur du service. Selon Google, l'attaque repérée mercredi a été circonscrite en moins d'une heure et a touché moins de 0,1 % des utilisateurs de Gmail. Cela fait tout de même plusieurs centaines de milliers de victimes potentielles, puisque le service compte plus de 1 milliard d'utilisateurs actifs mensuels.
Les personnes visées ont d'abord reçu un courrier électronique provenant de l'adresse réelle d'un contact connu et invitant à cliquer sur un lien, censé conduire à un fichier partagé sur Google Docs. En cliquant sur ce lien, une véritable adresse Web de Google s'affichait, tandis qu'une autorisation pour exécuter une application habilement appelée Google Docs était demandée.
Usurpation
L'application s'octroyait, sans que l'utilisateur en ait conscience, le droit de lire et d'envoyer des courriers électroniques. Le message piégé pouvait ainsi être diffusé à tout le carnet d'adresses de la victime, propageant l'attaque à son insu. « Nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique se faisant passer pour Google Docs et avons désactivé les comptes incriminés », a précisé Google. « Nous avons supprimé les pages incriminées, réalisé des mises à jour via la navigation sécurisée et notre équipe spécialisée en matière de fraude travaille pour éviter que ce genre d'usurpation ne se reproduise. » Bien que la liste des contacts ait été consultée, aucune autre donnée n'aurait été obtenue, selon un porte-parole de Google interrogé par l'AFP.
Les comptes de messagerie sont régulièrement la cible de telles attaques car, comme l'explique Charles Rami, expert en cybersécurité chez Proofpoint, « ils sont la porte d'entrée pour d'autres comptes numériques, comme les services bancaires, les médias sociaux et les listes de contacts ».
S. Dum.