Vous avez reçu un message de sécurité de Google et vous vous êtes dit : « Tiens, bizarre, mais bon, ça a l’air sérieux. » Eh bien attention. Il se pourrait que ce soit une arnaque redoutablement bien ficelée. Et si même les utilisateurs avertis peuvent tomber dans le piège, c’est parce que cette nouvelle vague de phishing pousse le mimétisme à un niveau rarement atteint.
Une alerte Google… qui n’en est pas une
Tout commence par un mail qui a l’apparence d’une vraie notification Google. Même adresse d’expéditeur (no-reply@accounts.google.com), même présentation, même ton. En clair, tout semble authentique. Sauf que ça ne l’est pas du tout.
Ce qu’il se passe en coulisses ? Les escrocs créent un compte Google avec un nom de domaine personnalisé (par exemple : me@monsite.com), puis montent une fausse application OAuth — un système normalement utilisé pour gérer les autorisations d’accès à votre compte. Sauf qu’ici, cette appli ne sert à rien… si ce n’est à générer un message automatique de Google avec un faux message d’alerte à l’intérieur. Et comme c’est Google lui-même qui l’envoie, la signature est bien valide, l’adresse aussi, et les systèmes de sécurité ne bronchent pas.
Un scénario redoutable, parfaitement crédible
Le nom de l’application devient le message d’alerte : tout est mis en scène pour que la victime ne doute de rien. Un faux lien, un faux bouton de sécurité, un contenu bourré de termes rassurants et familiers… Même le fameux « To: me » dans le mail donne l’impression que le message vous est destiné personnellement.
En gros, si vous êtes habitué à recevoir des alertes de Google, vous pouvez très facilement ne rien voir venir.
Et Google dans tout ça ?
Au début, la firme n’a pas vraiment pris l’alerte au sérieux. Un développeur a signalé le problème, et la réponse de Google a été assez claire : tout fonctionne comme prévu. Sauf qu’évidemment, ce n’est pas parce que c’est « techniquement conforme » que ce n’est pas dangereux. Résultat, sous la pression (et probablement après avoir réalisé l’ampleur du truc), Google a fini par annoncer un correctif.
Comment repérer une tentative comme celle-là ?
Si vous recevez un mail prétendument envoyé par Google, prenez un instant pour vérifier l’adresse du destinataire. Si elle n’est pas la vôtre, ou si elle vous semble étrange, méfiance. Et si vous avez le moindre doute, ne cliquez sur aucun lien. Ouvrez un nouvel onglet, allez directement sur le site officiel de Google et connectez-vous manuellement pour vérifier s’il y a vraiment un problème.
About The Author
