Une campagne de phishing est en cours. Les mails envoyés sont reconnus comme émanant de Google, mais il s’agit bien de voler vos informations personnelles. La plus grande prudence est de mise.
Les emails de phishing, on en reçoit malheureusement très souvent. Dans la majorité des cas, les systèmes de détection de nos messageries sont suffisamment performants pour les rediriger automatiquement vers le dossier Spam.
À part nous forcer à le vider de temps en temps, ces messages d’arnaque ont finalement très peu d’impact.
Les pirates le savent très bien, aussi ils redoublent d’ingéniosité pour passer entre les mailles du filet et vous inciter à considérer leurs escroqueries comme légitimes.
Et l’un des meilleurs moyens pour ça, c’est de se faire passer pour une entité réelle : votre banque, votre fournisseur d’électricité, d’Internet, une entreprise avec laquelle vous avez déjà traité… Mais ces messages aussi ne passent généralement pas la barrière des protections.
Tout au plus une personne va penser que ces dernières se sont trompées en envoyant le mail dans les spams. Des hackers ont fait bien mieux : ils ont réussi à se faire passer pour Google à 100 %, utilisant même leur vraie adresse d’envoi.
Méfiez-vous de cet email de Google, c’est une tentative de phishing astucieuse
C’est le développeur Nick Johnson qui tire la sonnette d’alarme sur X (Twitter). Il a reçu un mail disant que Google avait reçu une injonction de la justice pour fournir des données concernant son compte. Surprise : le message a été envoyé de l’adresse no-reply@google.com, celle qu’utilise la firme, et le message est même intégrée à d’autres alertes de sécurité bien réelles. Les systèmes anti-spam de la boîte n’ont pas réagi.
Un lien redirige vers un site Web créé avec l’outil Google Sites, un moyen d’accentuer la tromperie.
Des boutons pour “voir le dossier” ou “transmettre des documents supplémentaires” renvoient alors vers des pages où il faut entrer ses informations personnelles. Elles seront bien sûr récupérées par les hackers qui pourront s’en servir comme bon leur semble. Il ne font donc surtout pas le faire si vous recevez ce message.
Comment les pirates ont-ils réussi à se faire passer pour Google ?
Il faut bien admettre que cette tentative de phishing est un tour de force. Selon l’analyse de Nick Johnson, deux failles ont été utilisées ici. La première concerne Google Sites, qui a servi à créer les fausses pages sur lesquelles on atterrit depuis le mail. La deuxième est celle qui a permis de faire authentifier le message comme émanant de Google.
D’abord, les hackers ont enregistré un nom de domaine et l’ont associé à un compte Google ouvert pour l’occasion.
Ensuite, ils ont créé une application Google OAuth en utilisant tout le contenu du mail frauduleux comme nom pour l’appli. OAuth est un protocole permettant d’autoriser l’application à utiliser l’API sécurisée d’un autre site web pour le compte d’un utilisateur. Une “délégation d’autorisation” en résumé.
En permettant au compte Google précédemment créé d’accéder à cette appli OAuth, les escrocs ont obtenu l’envoi d’un e-mail de notification de sécurité signé par Google.
Il ne leur reste plus qu’à transférer ce mail aux victimes, ce qui abouti à celui que vous voyez sur la capture d’écran un peu plus haut. Ingénieux. Le développeur a fait part de ses découvertes à l’entreprise, mais elle a mis fin à la discussion en répondant qu’il s’agissait du comportement normal de son système.
Après publication sur X, elle a finalement annoncé qu’elle corrigerait les failles soulevées.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
phandroid
