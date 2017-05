publié le 04/05/2017 à 14:57

Une nouvelle arnaque au phishing vise depuis plusieurs jours les utilisateurs de Google, rapporte le site américain The Verge. L’attaque, qui vise à dérober des informations personnelles afin de les réutiliser à l’insu de l’utilisateur, prend la forme d’un mail envoyé par un contact contaminé. Il contient une invitation à ouvrir un document Google Docs partagé.



Cette attaque est plus élaborée que les tentatives de hameçonnage habituelles. Il s'agit d'une véritable page Google qui renvoie vers une application tierce reprenant le nom de Google Docs et l'apparence des mails de partage de documents. Un clic sur l'invitation renvoie l'utilisateur vers une page l'invitant à se connecter à l'un de ses comptes Google pour accéder au document.

Une fois les identifiants renseignés, une autre page demande à l'utilisateur d'autoriser l'application pirate à "lire, supprimer, gérer ses mails et contacts". Les pirates prennent alors possession du compte de la victime et peuvent envoyer le mail de hameçonnage à tous ses contacts ou se livrer à des usurpations d'identité afin de nourrir d'autres escroqueries en ligne. Le directeur du Hack Club a posté sur Twitter une démonstration du fonctionnement de cette nouvelle technique de phishing.

Comment vérifier si l'on est impacté

Google a réagi dans la nuit du 3 au 4 mai en supprimant l'application aux faux airs de Google Docs. "Nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique se faisant passer pour Google Docs et avons désactivé les comptes incriminés", a déclaré un porte-parole du groupe cité par The Guardian.



Google indique que l'attaque a touché moins de 0,1% des utilisateurs de Gmail (qui compte plus d'un milliard d'utilisateurs actifs) et que ses équipes travaillent à bloquer les attaques de ce type à l'avenir. L'application Gmail pour Android a bénéficié d'une mise à jour pour indiquer à l'utilisateur lorsqu'il reçoit une invitation suspecte. On ignore pour l'instant quand la version iOS recevra la même protection.



Google demande à ses utilisateurs de ne pas cliquer sur le lien du message et de le "signaler comme hameçonnage". Les victimes de l'attaque peuvent utiliser la page de "vérification des paramètres de sécurité" de leur compte pour vérifier que l'application pirate ne dispose pas d'autorisations sur leur compte Gmail dans la section "vérifier les autorisations". Si tel est le cas, il faut simplement supprimer l'application Google Docs.



Comment repérer les tentatives de phishing

Contraction des mots "fishing" (pêche en français) et "phreaking" (terme désignant le piratage des lignes électroniques) - le phishing est une technique dite de "hameçonnage" basée sur de faux mails qui visent à collecter les données bancaires ou les mots de passe des clients. À partir de ces documents, les pirates peuvent ensuite se livrer à des usurpations d'identité et à des escroqueries.



Ces faux courriels se présentent souvent comme des courriers envoyés par une source sûre, comme le Trésor public ou les banques. Trompées par l'expéditeur supposé, les victimes fournissent souvent elles-mêmes leurs propres données personnelles. Une autre possibilité consiste à envoyer des SMS ou des mails malveillants en masse qui contiennent un lien permettant d'installer, sans le savoir, un logiciel pirate qui pourra récupérer les données personnelles des personnes ainsi trompées.



Il s'agit donc de surveiller les mails et leur contenu. Les courriels émanant d'une structure officielle (la banque, EDF, ou la caisse d'allocations familiales par exemple) ne demandent jamais à leurs clients de saisir leurs informations personnelles directement dans un mail mais depuis un site Internet crypté. Dans ce cas, un petit cadenas apparaît systématiquement à gauche de l'URL du site pour garantir la confidentialité des informations.



Faire attention aux détails

Par ailleurs, en cas d'information importante, une banque ou un opérateur contactent généralement leurs clients par courrier ou par téléphone. Les mails utilisés dans le cadre des tentatives d'escroqueries font souvent état de situations alarmistes et comportent des fautes d'orthographes ou de syntaxe laissant penser que le message a été rédigé par un logiciel de traduction automatique.



Dans certains cas de phishing, les victimes sont redirigées vers un faux-site, qui ressemble comme deux gouttes d'eau au site officiel. Il faut alors vérifier que l'URL est bien la même que celle du site copié. En général, elle est beaucoup plus longue et compliquée et on peut remarquer que, dans le corps du mail, le texte affiché sous forme de lien ne correspond pas du tout au lien réel, dont l'adresse s'affiche lorsqu'on positionne le curseur dessus. Dans le cas de l'arnaque aux faux mails de la Cpam, on peut s'apercevoir que l'adresse de réclamation ne correspond pas à celle d'un organisme officiel puisqu'elle se termine en "gmail.com".