Gmail : Une Vaste Attaque d’Hameçonnage Frappe 1 Million De Comptes Via Des Google Docs

Beaucoup d’utilisateurs de la messagerie électronique Gmail ont reçu ces derniers jours des emails à l’allure frauduleuse. Les messages suspects proviennent de contacts de confiance, invitant à ouvrir un Google Doc. Dès que le destinataire clique sur le lien, il lui est demandé de donner des autorisations à une application se faisant passer pour Google Docs, notamment la permission de lire, d’envoyer, d’effacer et de gérer les emails et les contacts de l’utilisateur.

Pour ce dernier, lorsqu’il a cliqué sur le lien, rien ne se passe. Pourtant dans les faits le pirate informatique est autorisé à inflitrer le compte Gmail de l’utilisateur.

Le procédé est très sophistiqué et se répand comme une traînée de poudre. Etant donné le nombre de plaintes que Google reçoit sur Twitter, il est probable qu’un grand nombre de personnes aient été visées par cette attaque. Pour l’instant, il semblerait que Google y ait mis fin en bloquant l’application et en écrasant les pages d’hameçonnage que le pirate informatique avait créées.

Que faire si l’on a fait l’objet de cette attaque ?

Selon Google, quelle que soit la personne qui a créé le virus et s’est servie de l’accès aux contacts qu’elle avait obtenu pour répandre le spam, cette personne n’est pas parvenue à accéder au contenu des emails des utilisateurs. D’après le géant californien, les historiques d’activité ne font état d’aucun mail ayant été lu ou téléchargé : la seule activité relevée a été l’envoi d’emails.
Des solutions existent pour ceux qui restent concernés par l’attaque. Tout d’abord, il est possible de deviner qu’il s’agit d’une attaque d’hameçonnage simplement par l’allure du mail. Il comporte typiquement un message du genre: « M. Attaque vous a invité à visualiser le document suivant. » Le destinataire se trouvera dans le champ CCI (Copie Carbone Invisible). C’est la première indication que quelque chose de louche se passe, en plus du fait que la seule autre adresse email visible dans le champs des destinataires est hhhhhhhhhhhhhhhh@mailinator[.]com, un compte email temporaire.
Ensuite, accédez à votre compte Google et dans les paramètres supprimez toute autorisation accordée à une application du nom de Google Docs. Cela devrait vous épargner tout problème, au cas où Google ne serait pas encore parvenu à se débarrasser de l’application.

A l’avenir, si vous n’attendez pas de document Google et qu’un lien vous paraît suspect, ne cliquez pas dessus avant d’avoir vérifié auprès de l’expéditeur qu’il s’agit bien de son envoi.
Malheureusement, les personnes qui ont été victimes de cette attaque sont confrontées à un problème : le pirate pourrait avoir automatisé son mail frauduleux (c’est probable, selon la façon dont l’opération illégale a été déployée) et mis la main sur tous les contacts Gmail de la victime. Dans ce cas, il n’y a pas grand chose à faire si ce n’est espérer que rien de sensible n’a été volé et que des mesures efficaces sont prises à l’encontre de ceux qui ont perpétré l’attaque.
Des chercheurs de Cisco Talos Sécurité, entreprise spécialiste de la cybersécurité, lancent maintenant l’alerte selon laquelle des attaques similaires pourraient frapper les utilisateurs d’autres services informatiques connaissant la même popularité que Gmail. « Comme avec  toute approche créative et nouvelle, il y a de fortes chances que cette attaque soit massivement copiée et ce très rapidement. Google n’est qu’un exemple, il existe sûrement d’autres services utilisés comme systèmes d’authentification frauduleux. Facebook et LinkedIn sont deux services susceptibles d’être utilisés à ces fins », ont écrit les chercheurs sur un blog. « Il est fort probable que des attaques du même type, tirant parti de ce genre de compétences, puissent survenir et s’ajouter au nombre des attaques Google. »

Une possible attaque de la Russie ?

Un graphique réalisé par Cisco Sécurité montre que l’attaque s’est manifestée sur une courte période mercredi, démarrant vers 21h30 heure française, atteignant un pic vers 22h15 pour finalement ralentir et s’arrêter presque complètement environ une heure plus tard.

Certains suggèrent qu’au vu des similarités entre ce hameçonnage récent et le précédent piratage des mails du parti démocrate américain, il pourrait s’agir, pour cette affaire aussi, des pirates informatiques du Kremlin.
Néanmoins, pour Jaime Blasco, scientifique en chef pour l’entreprise de sécurité informatique AlienVault, cela est improbable: « Je ne pense pas que les Russes soient derrière ça parce que c’est bien trop répandu. Beaucoup de gens et d’organisations ont fait l’objet de tentatives similaires, ça peut donc être quelque chose de massif et de moins ciblé. »
Quelle que soit la personne derrière tout ça, il peut s’agir de la plus grosse opération d’arnaque par hameçonnage qui soit survenue depuis longtemps. Google dit prendre des mesures plus avancées pour empêcher à l’avenir ce genre d’attaques mais pour les victimes, ces actions semblent tardives.

Google a par la suite déclaré que 0.1 pour cent de ses utilisateurs avaient été touchés par l’attaque. Si les précédents chiffres rapportés, d’après lesquels Google compterait 1 milliard d’utilisateurs, sont exacts, c’est donc pas moins de 1 million d’entre eux qui auraient vu les données de leur compte Gmail piratées.

Google a également ajouté : « Nous avons pu arrêter l’opération de piratage en à peu près une heure. Bien que les informations de contact aient été atteintes et utilisées, nos investigations révèlent qu’aucun autre type de données n’a été exposé. » Cela peut signifier que les mails eux-mêmes n’ont pas été piratés, ce qui permet ainsi aux victimes d’être un peu rassurées.
L’article a été mis à jour afin d’illustrer la déclaration de Google d’après laquelle les emails des utilisateurs n’ont pas été infiltrés.

A rajouter, que des lecteurs ont contacté Forbes en disant avoir reçu des emails d’hameçonnage via d’autres messageries que Gmail, indiquant ainsi que le virus s’est propagé de manière plus étendue qu’on ne l’a d’abord pensé.