Gmail et Google Docs : une attaque de phishing massive

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Gmail et Google Docs : une attaque de phishing massive

Publié le 04 mai 2017 à 11:23 par Jérôme G.

Lire sur mobile

Une attaque de phishing sophistiquée et massive a visé les comptes Google en s'appuyant sur une fausse application Google Docs.

Hier, les comptes Google et les utilisateurs de Gmail en particulier ont été la cible d'une attaque de phishing massive. Selon Google, cette attaque a pu être stoppée en l'espace d'une heure et aurait affecté moins de 0,1 % des utilisateurs de Gmail. Cela veut tout de même dire plusieurs centaines de milliers d'utilisateurs.

L'attaque s'est répandue en tirant parti d'un email - parfois émanant d'un contact - demandant de cliquer sur un bouton afin d'obtenir l'accès à un document Google Docs. Le cas échéant, l'utilisateur était redirigé vers un écran de sélection de comptes Google (OAuth2). Après cette sélection, une application Google Docs demandait une autorisation pour accéder à un contenu partagé.

Il s'avère que cette application Google Docs n'était pas l'application légitime de Google, et avait pour objectif de tenter d'accéder à la boîte de réception Gmail de l'utilisateur et sa liste de contacts. Ultérieurement, la fausse application se servait d'informations glanées pour augmenter la diffusion du phishing, notamment en mettant l'adresse email d'un utilisateur compromis en copie.

@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta (@zachlatta) 3 mai 2017

Considérée sophistiquée, l'attaque a exploité un manque de diligence avec une application empruntant indûment le nom d'une application authentique de Google. Il était question de voler des jetons OAuth. L'attaque fait écho à une technique employée par le groupe Pawn Storm, autrement connu en tant que APT28 et Fancy Bear. Mais que viendrait faire ici un groupe supposé soutenu par la Russie ?

Google indique avoir désactivé des comptes d'attaque, supprimé les fausses pages et diffusé des mises à jour via son service de navigation sécurisée Safe Browsing. A priori, l'attaque de phishing n'a pas servi à déployer un malware. Google ajoute que si des informations de contacts ont pu être consultées et utilisées dans l'attaque, d'autres données n'ont pas été compromises.

Aucune action spécifique n'est requise pour les utilisateurs qui peuvent toutefois passer en revue les applications tierces connectées à leur compte grâce à la Vérification des paramètres de sécurité, et pour procéder à une éventuelle suppression.