Même les utilisateurs les plus prudents peuvent tomber dans le piège. Une nouvelle attaque de phishing ultra-sophistiquée vise actuellement les utilisateurs de Gmail, en utilisant des méthodes qui trompent aussi bien l’œil humain que les filtres automatiques de sécurité. Le plus inquiétant dans l’histoire ? L’e-mail semble provenir directement de Google, avec une signature numérique parfaitement valide.
Un faux e-mail… qui a tout d’un vrai
L’alerte a été donnée par Nick Johnson, développeur et utilisateur averti, qui a raconté sa mésaventure sur X (anciennement Twitter). À première vue, son e-mail semblait irréprochable : adresse officielle de type no-reply@google.com, contenu crédible, aucune faute, signature numérique validée par Gmail. Difficile, même pour un œil expert, de détecter la supercherie.
Le message évoquait une assignation judiciaire liée à son compte Google. De quoi mettre la pression et pousser n’importe qui à cliquer sans réfléchir. Mais derrière le lien glissé dans l’e-mail se cachait un faux portail Google, visuellement identique à l’original, conçu pour voler mots de passe, données bancaires et informations personnelles sensibles.
Une faille dans l’infrastructure de Google exploitée
Ce qui rend cette attaque redoutable, c’est la façon dont elle utilise les propres outils de Google. L’e-mail piégé s’intègre naturellement aux fils de discussion liés à la sécurité du compte et ne déclenche aucun avertissement. Le lien, quant à lui, mène vers une page hébergée sur sites.google.com, un service légitime de Google… mais détourné pour héberger un faux site de connexion.
De quoi brouiller totalement la vigilance des utilisateurs, qui croient naviguer sur un espace sécurisé. Nick Johnson explique qu’il s’agit là d’une faille dans l’infrastructure même de Google, et que tant qu’elle ne sera pas corrigée, ce type d’attaque risque de se multiplier.
Même la double authentification ne suffit plus
Ce qui est particulièrement inquiétant, c’est que l’authentification à deux facteurs (2FA), considérée jusqu’ici comme une protection solide, ne protège pas contre ce type de phishing. Les pirates, après avoir volé vos identifiants, peuvent générer une tentative de connexion et vous pousser à leur transmettre votre code temporaire, pensant que vous êtes simplement en train de vous connecter vous-même.
Face à ce type de menace, Google recommande désormais l’utilisation des passkeys, ou clés d’accès. Contrairement aux mots de passe classiques ou aux codes par SMS, les passkeys utilisent un système cryptographique intégré directement à votre appareil, rendant l’usurpation quasiment impossible.
Les bons réflexes pour rester en sécurité
Google a réagi en confirmant être au courant de ces attaques ciblées. Dans un communiqué, l’entreprise assure avoir déployé des protections supplémentaires et encourage fortement les utilisateurs à activer l’authentification à deux facteurs et à adopter les passkeys.
En attendant, quelques conseils simples peuvent faire toute la différence :
- Ne cliquez jamais sur un lien dans un e-mail, même s’il semble provenir de Google.
- Accédez directement aux services en ouvrant votre navigateur et en tapant l’adresse officielle.
- Passez aux passkeys : le paramétrage ne prend que quelques minutes, et cette technologie offre une véritable barrière contre les tentatives de phishing.
Un internet plus sûr passe d’abord par la vigilance
Dans un monde où même les signatures numériques peuvent être détournées, la prudence n’est plus une option. Cette nouvelle vague d’attaques nous rappelle que la sécurité sur internet est un combat permanent, et qu’il ne faut jamais relâcher sa vigilance – même face à un e-mail qui semble irréprochable.
Adopter de nouvelles habitudes aujourd’hui, comme utiliser les passkeys, pourrait bien faire la différence demain.
About The Author
