Alerte rouge pour les détenteurs d'un compte Gmail. Google a officiellement confirmé que des "intrusions réussies" sont en cours, la cause principale étant l'utilisation de mots de passe faibles ou déjà compromis. Cette annonce intervient dans un contexte tendu, suite à la révélation d'une brèche dans une base de données Salesforce de Google par le tristement célèbre groupe de pirates français ShinyHunters, exposant les informations de contact de milliards d'utilisateurs. Le piratage remonte à juin dernier et Google sort enfin du silence.

Comment les pirates s'y prennent-ils pour accéder aux comptes ?

La méthode est redoutablement efficace. Le groupe de pirates, connu sous le nom de ShinyHunters, est particulièrement doué en ingénierie sociale. Après avoir récupéré des informations de contact, ils lancent des campagnes de "vishing" (phishing par téléphone) et d'hameçonnage par email.

Ils se présentent comme l'assistance technique de Google, employant même parfois l'intelligence artificielle de Google pour donner plus de crédibilité à leurs escroqueries, et vous poussent à changer votre mot de passe sur une page trompeuse ou à leur fournir des codes de sécurité. L'objectif est de vous forcer à partager vous-même vos données.

Pourquoi votre mot de passe actuel est-il probablement insuffisant ?

La réalité est brutale : selon Google, seuls 36 % des utilisateurs mettent à jour régulièrement leurs mots de passe. Cela signifie que près des deux tiers des utilisateurs de Gmail sont potentiellement vulnérables, surtout s'ils réutilisent le même mot de passe sur plusieurs sites.

Un mot de passe faible ou déjà exposé lors d'une précédente fuite de données sur un autre service est une porte d'entrée grande ouverte pour les pirates. La sécurité de votre compte Gmail ne dépend pas seulement de sa robustesse, mais aussi de son unicité.

Quelles sont les mesures de sécurité à prendre immédiatement ?

Face à cette menace, il est impératif d'agir. Si vous n'avez pas modifié votre mot de passe Gmail depuis le début de cette année, il est recommandé de le faire immédiatement. Voici les étapes essentielles pour renforcer la sécurité de votre compte :

Optez pour un mot de passe long, complexe et unique. Faites appel à un gestionnaire de mots de passe tiers (pas celui intégré à votre navigateur) pour sa création et son rangement.

Faites appel à un gestionnaire de mots de passe tiers (pas celui intégré à votre navigateur) pour sa création et son rangement. Laissez tomber l'authentification à deux facteurs par SMS. Privilégiez une application d'authentification comme Google Authenticator ou Authy, bien plus sécurisée.

Privilégiez une application d'authentification comme Google Authenticator ou Authy, bien plus sécurisée. Adoptez les passkeys. La solution la plus robuste aujourd'hui est l'activation des passkeys (clés d'accès). Faites-en votre méthode de connexion par défaut.

Soyez vigilant : si un site vous demande votre mot de passe sur un appareil où un passkey est configuré, c'est un signal d'alarme.

Foire Aux Questions (FAQ)

Qu'est-ce qu'un "passkey" (clé d'accès) ?

Un passkey est une technique d'authentification substituant l'usage des mots de passe. Pour vous authentifier, il se sert d'une paire de clés cryptographiques (une publique et une privée que vous avez enregistrée sur votre appareil) et de vos données biométriques (comme votre empreinte digitale ou la reconnaissance faciale). C'est une technologie bien plus résistante au phishing.

Comment savoir si mes données ont fuité lors de la brèche Salesforce ?

Google a déclaré avoir notifié tous les utilisateurs affectés avant le 8 août. Cependant, par principe de précaution, considérez que vos informations de contact professionnelles ont pu être exposées et soyez extrêmement méfiant face à toute communication non sollicitée prétendant venir de Google.

Un appel du support Google est-il toujours une arnaque ?

Dans la quasi-totalité des cas, oui. Google ne vous contactera jamais de manière proactive par téléphone ou par SMS pour vous demander de réinitialiser votre mot de passe ou de fournir des codes de sécurité. Toute communication de ce type doit être considérée comme une tentative de piratage.