Des courriels destinés à piéger les utilisateurs de Gmail, le fournisseur de messagerie de Google, afin qu’ils donnent accès à leurs contacts et à tous leurs messages, se sont répandus comme une traînée de poudre dans la nuit de mercredi 3 à jeudi 4 mai.

De nombreux utilisateurs – essentiellement aux Etats-Unis mais également en Europe – ont reçu un courriel, semblant provenir d’un de leurs contacts, leur proposant de partager un document Google. En apparence, cet e-mail apparaissait comme légitime. D’autant plus qu’en cas de clic sur le bouton intégré dans le message, l’utilisateur était redirigé vers une page appartenant à Google. A ce stade, il demandait à l’utilisateur d’autoriser l’accès à tous ses contacts et ses documents Google à une application tierce.

Ce type d’autorisation est prévu par Google pour permettre, par exemple, d’envoyer et recevoir ses messages avec un logiciel, et non sur le site mail.google.com. Sauf que l’application qui sollicitait l’accès aux courriels, malgré son nom – Google Docs –, n’avait rien à voir avec Google, ni avec Google Docs. En deux clics, les utilisateurs pouvaient donner accès à leurs contacts et leurs messages à un ou des pirates inconnus et être victimes de ce que l’on appelle du hameçonnage (phishing). Une fois à l’intérieur, ils pouvaient profiter de la liste de contact de la victime et faire parvenir un nouvel e-mail piégé à ses contacts et ainsi se propager.

Une attaque très habile

Techniquement, cette attaque n’a rien de révolutionnaire. Mais elle est très habile, puisque les précautions conseillées aux utilisateurs pour empêcher l’hameçonnage n’étaient, en l’espèce, d’aucune aide. Vérifier que le site sur lequel était amené l’utilisateur était un site légitime ? C’était le cas : l’application malicieuse demandait l’accès aux e-mails par le biais d’une page Google tout à fait classique. Le ou les pirates ont d’ailleurs pu proposer leur application sans en être empêchés par Google. Ils ont même pu, pour paraître encore moins suspects, la nommer « Google Docs ».

Google a rapidement stoppé la propagation des messages. Dans un communiqué, l’entreprise a précisé dans un second temps que l’incident avait touché moins de 0,1 % de ses utilisateurs et qu’elle avait stoppé l’envoi de courriels en une heure environ. Elle a également sous-entendu que, malgré les permissions très larges que réclamait la fausse application, seules des informations de contacts seraient tombées entre les mains du ou des pirates.

Le site sur lequel était hébergée l’application demandant l’accès aux courriels est désormais automatiquement considéré comme dangereux par les principaux navigateurs : tout internaute s’y rendant est accueilli par un message d’alerte.

Qui se cache derrière cette opération ? L’application malicieuse a été enregistrée au nom d’un certain Eugene Pupov. Un message du Monde lui demandant des explications nous est immédiatement revenu, son adresse (Gmail) ayant été désactivée par Google.

Quelques conseils contre le hameçonnage

Pour savoir si vous avez été visé par cette vague de hameçonnage, il suffit de vérifier, par le biais d’une recherche, si vous avez reçu un message envoyé par « hhhhhhhhhhhhhhhh@mailinator.com ». Si c’est le cas, il faut ensuite vérifier que vous n’avez pas donné l’autorisation à cette application d’accéder à vos e-mails. Il suffit de consulter la liste des applications qui y sont autorisées, et, si l’application « Google Docs » s’y trouve, la retirer. Dans ce cas, une personne non identifiée a eu accès à tous vos messages et aux informations contenues à l’intérieur. Si vous stockez des mots de passe à l’intérieur de votre boîte e-mail (c’est une très mauvaise idée), le mieux est de les changer immédiatement.

Globalement, quelques conseils – nécessaires mais malheureusement loin d’être suffisants et pour certains inutiles dans le cas de l’attaque de mercredi – pour éviter de se faire piéger par l’hameçonnage : activer la double authentification, s’assurer de bien connaître l’expéditeur du message, se méfier des pièces jointes et des liens (et le cas échéant se demander si cette personne est susceptible d’en envoyer) et se méfier lorsque le message comporte des fautes de syntaxe et d’orthographe. Mais aussi activer la double authentification, ne pas hésiter à demander confirmation de l’envoi à la personne par un autre canal (SMS par exemple), ou encore vérifier attentivement, lorsqu’on a cliqué sur un lien, qu’il correspond bien à un site connu (grâce, par exemple, au petit cadenas s’affichant dans la barre d’adresse).