ARNAQUE – Depuis plusieurs semaines, une opération d’hameçonnage (phishing en anglais) touche les utilisateurs du service de messagerie Gmail, sous la forme d’un mail envoyé par un contact. Une manipulation très sophistiquée qui a même piégé des utilisateurs expérimentés.
Même les plus chevronnés d’entre nous pourraient se laisser piéger par cette nouvelle vague de phishing qui s’abat depuis quelques semaines sur la messagerie Gmail. Une méthode très élaborée, selon les spécialistes de la cybersécurité qui tentent d’alerter le plus grand nombre.
Mark Maunder, un chercheur en sécurité du site Wordfence, détaille sur son blog toute la mécanique de l’arnaque qui prend forme sur Gmail, par le biais d’un mail envoyé avec une pièce-jointe par l’un de vos contacts déjà contaminé, qui va vous donner l'impression d'avoir été déconnecté de Gmail et donc qu'il vous faut vous reconnecter avec vos identifiants. C’est là que l’entourloupe commence et que le piège peut se refermer sur vous.
Contacté, Google se dit "conscient du problème". "Nous continuons de renforcer nos moyens de défense contre cela", explique le géant de Mountain View dans un communiqué. "Nous faisons de notre mieux pour protéger nos utilisateurs de différentes manières : détection de messages de phishing grâce au machine learning, alertes de sécurité quand plusieurs liens suspicieux arrivent dans les mails, repérage des tentatives de connexion douteuses, etc. Les utilisateurs peuvent aussi activer la validation en deux étapes pour une protection supplémentaire du compte."
Qu’est-ce que le phishing ?
C’est une technique assez répandue sur internet et notamment les boîtes mail, qui vise à vous dérober vos coordonnées (identifiant et mot de passe, numéros de CB, autres informations personnelles) pour s’en servir ensuite à votre insu. Appelé en français "hameçonnage", cela passe souvent par une URL à cliquer qui vous redirige en fait vers un site ayant tous les aspects de celui de votre banque, de votre fournisseur d’accès ou encore par exemple de votre messagerie, mais qui en fait est biaisé.
Comment cela se produit-il dans le cas de Gmail ?
Si vous êtes ciblé, vous allez recevoir un mail provenant d’un contact connu, avec une pièce-jointe qui vous paraît un envoi normal. Cette pièce-jointe semble renvoyer vers Google Drive, le service de stockage de documents. Alors que vous pensiez avoir un aperçu de la pièce-jointe en cliquant sur l’image, il s’agit en fait d’un lien frauduleux. Vous arrivez sur une page Gmail, comme si vous vous étiez malencontreusement déconnectés, et vous devez alors rentrer de nouveau vos coordonnées d’identification. Un étudiant s’est ainsi fait berner par la capture d’écran de ses horaires d’entraînement d’athlétisme.
This is the closest I've ever come to falling for a Gmail phishing attack. If it hadn't been for my high-DPI screen making the image fuzzy… pic.twitter.com/MizEWYksBh — Tom Scott (@tomscott) 23 décembre 2016
Qui est concerné par ce phishing ?
Les personnes ayant un compte Gmail, quel que soit le navigateur utilisé pour se connecter (Chrome, Firefox, Edge, etc.).
Si je clique, que se passe-t-il ?
Plusieurs experts du piratage ont constaté que les assaillants se connectent immédiatement à votre compte une fois qu’ils ont récupéré vos informations d’identification. Ils utilisent alors votre adresse mail et vos pièces-jointes pour contaminer d’autres personnes parmi vos contacts. Mais ils peuvent aussi accéder, avec vos identifiant et mot de passe, à d’autres services Google. Ils peuvent aussi passer votre boîte mail au peigne fin pour trouver d’autres informations d’identification à d’autres sites et plateformes.
La page de phishing vers laquelle vous êtes redirigé après avoir cliqué sur l'image
Les bons gestes à avoir pour éviter de se faire piéger
- Vérifiez l’adresse : s’il existe un code étrange juste avant la partie "https ://…" qui sécurise l’adresse, passez votre chemin ! Dans le cas ci-dessous, la portion "data:text/html…" n’a pas lieu d’être. Car il s’agit en fait d’une ligne de texte dont le but est l’ouverture d’un fichier dans un autre onglet. Dans le cas présent, le fichier est une fausse page Gmail de connexion.
- Vérifiez si un cadenas s’affiche à côté de l’adresse du site. Tous les sites auxquels vous devez vous connecter et nécessitant donc de fournir vos coordonnées personnelles sont normalement cryptés et sécurisés. Un code couleur apparaît également quand le site est valable (vert pour la sécurité activée, rouge si elle ne l’est pas).
- Même si le nom de l’expéditeur vous est connu (ami, banque, sécurité sociale, etc.), vérifiez l’adresse e-mail si elle vous semble cohérente.
- Passez la souris sur le lien sur lequel vous êtes censés cliquer pour voir s’il correspond bien à la description.
- Lisez attentivement toutes les petites lignes du mail afin de débusquer d’éventuelles fautes d’orthographe, des accents qui se baladent (erreur classique de traduction). Si le mail semble trop généraliste, il ne vous est pas adressé directement, même si vos coordonnées sont réclamées. Méfiance !
- Activez l’authentification à deux facteurs qui rend le piratage plus compliqué, même en ayant obtenu identifiant et mot de passe.
- Allez faire un tour sur https://haveibeenpwned.com/ pour savoir si votre adresse a déjà été exposée à un piratage et sur quel site. La meilleure idée sera alors ensuite de modifier son mot de passe sur ces sites ou de se désinscrire.
- Pensez à utiliser un gestionnaire de mots de passe qui vous les change en permanence.
- Signalez le mail de phishing à Google à cette adresse : https://safebrowsing.google.com/safebrowsing/report_phish/?hl=fr
ou bien dans votre boîte Gmail directement depuis l’email en question.
