Plusieurs utilisateurs du service Google Docs ont été visés par une manœuvre d'hameçonnage sophistiquée. Le 3 mai 2017, ils ont reçu par email une invitation de partage d'un document, ouvrant ensuite une application tierce. Google a annoncé avoir éliminé ce phishing.

Dans l’après-midi du 3 mai 2017, plusieurs utilisateurs du service Google Docs ont fait l’objet d’une tentative de phishing (ou hameçonnage), autrement dit, d’une technique frauduleuse dont le but est de récupérer les informations personnelles d’internautes.

Vous avez sans doute déjà croisé l’un de ces e-mails qui imitent en tous points un site de confiance que vous connaissez — celui de votre banque, ou d’une enseigne de e-commerce  par exemple –, vous invitant à cliquer sur un lien, prétextant par exemple une mise à jour du service pour vous rediriger ensuite vers un site factice, qui requiert alors des informations personnelles.

Plusieurs utilisateurs du service de partage de documents de Google ont ainsi reçu un e-mail similaire, invitant à modifier un document, comme l’a relevé un internaute sur Reddit. L’attaque semble avoir été redoutablement efficace, et s’être propagée rapidement. Le courriel renvoyait en effet vers un lien « Ouvrir dans Docs », amenant l’internaute vers un écran de connexion Google a priori tout à fait légitime. L’utilisateur était alors invité à « continuer dans Google Docs ».

Une propagation importante

Un clic vers ce lien renvoyait alors l’utilisateur vers une application tierce et factice, obtenant du même coup les contacts et le courrier électronique de l’internaute, permettant à la manœuvre de phishing de viser d’autres internautes et ainsi de profiter à plein de cet effet boule de neige.

Comme le note The Guardian, plusieurs journalistes ont fait l’objet de cette tentative d’hameçonnage. Interpellé par le message sur Reddit, Google a déclaré avoir pris connaissance du problème, réglé depuis.

« Nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique impliquant Google Docs, et avons désactivé des comptes litigieux, a déclaré l’entreprise dans ce communiqué. Nous avons supprimé les pages factices, fait les mises à jour via la navigation sécurisée, et notre équipe qui gère les abus travaille en ce moment pour éviter que ce type d’usurpation ne se reproduise. »

Cette attaque de phishing semble plus sophistiquée que les escroqueries habituelles envoyées par courrier électronique. En effet, ce phishing n’a pas seulement conduit les internautes sur une page Google factice pour accéder à leur mot de passe ; ici, une application web tierce a fonctionné au sein même du système de Google.

Les utilisateurs qui ont malencontreusement accordé l’autorisation à cet e-mail frauduleux peuvent encore accéder à leurs paramètres et révoquer l’application. Ce n’est pas la première fois que Google est confronté à une tentative élaborée de phishing cette année : en janvier 2017, des utilisateurs de Gmail avaient déjà fait l’objet d’une tentative similaire.

Partager sur les réseaux sociaux