La cybersécurité franchit un nouveau seuil d’alerte : une récente campagne de phishing exploitant l’image de Google démontre à quel point les pirates perfectionnent leurs techniques. Ce nouvel épisode, révélé par le développeur Nick Johnson sur le réseau social X, montre que même les systèmes de protection avancés de Google peuvent être contournés.

Un mail ultra convaincant

Nick Johnson a ainsi partagé une expérience troublante : il a reçu un email de sécurité prétendument envoyé par Google, l’avertissant d’une assignation judiciaire pour accéder à son compte. L'email paraissait irréprochable : envoyé depuis "no-reply@accounts.google.com", signé numériquement via DKIM (DomainKeys Identified Mail) et donc catégorisé par Gmail comme une véritable alerte de sécurité. Pourtant, il s'agissait bel et bien d’un mail de phishing très bien réalisé.

Comment l’arnaque fonctionne ?

Le piège reposait sur un lien intégré menant à une page hébergée sur sites.google.com – un service authentique de Google – reproduisant parfaitement l’apparence d’une page de support officielle. Les utilisateurs, croyant suivre une procédure légitime, étaient ensuite redirigés vers une fausse page de connexion destinée à voler leurs identifiants. Ce stratagème inquiétant est passé à travers les filtres de sécurité de Gmail, qui d'ordinaire bloquent ce type d’attaques.

Techniquement, les pirates ont réussi cet exploit en créant un domaine, puis en configurant une application personnalisée avec un nom imitant les messages de Google. Résultat : l’alerte semblait provenir directement de Google, validée par les systèmes d’authentification standards.

Des pièges nombreux et faciles à mettre en place

Pire encore, ce type d’attaque n’est pas isolé. Selon Adrianus Warmenhoven, spécialiste en cybersécurité chez NordVPN, et comme le rapporte Forbes, des kits de phishing prêts à l’emploi seraient disponibles pour moins de 20 euros sur des forums du dark web. Ces kits fournissent aux cybercriminels tout le nécessaire : clones de sites web célèbres, scripts pour voler des données, générateurs d'emails trompeurs et listes de cibles potentiellement vulnérables. Google, Facebook et Microsoft figurent parmi les entités les plus usurpées.

Comment s’en protéger ?

Face à cette menace croissante, Google a annoncé des mesures de renforcement de la sécurité. La firme recommande vivement l’activation de l'authentification à deux facteurs (2FA) et l’utilisation de passkeys, une alternative plus sécurisée aux mots de passe traditionnels. L'entreprise américaine s’engage également à déployer de nouvelles protections pour bloquer cette méthode d’attaque spécifique.

Les utilisateurs doivent aussi impérativement adopter de nouveaux réflexes : vérifier systématiquement les URL, se méfier des sollicitations inattendues, et surtout, ne pas accorder une confiance aveugle à un email sous prétexte qu’il semble venir d’une source fiable comme Google.

Source : Forbes