Cette arnaque Gmail exploite une faille de sécurité en se faisant passer pour Google
Attention si vous utilisez Gmail : des pirates ont mis au point une nouvelle arnaque redoutable en exploiter une faille de sécurité et en envoyant des mails de phishing provenant de… Google !
Avec ses 2,5 milliards d'utilisateurs, Gmail est une cible privilégiée pour les cybercriminels, qui ne reculent devant rien pour s'emparer de leurs données personnelles. Et, pour ça, ils redoublent d'ingéniosité. Campagnes de phishing, appels frauduleux à l'aide d'une IA vocale… tous les moyens sont bons ! Et dans ce domaine, une nouvelle étape vient d'être franchie puisque des escrocs sont même parvenus à contourner les mesures de sécurité de la messagerie électronique pour se faire passer pour Google, l'éditeur de Gmail.
C'est un certain Nick Johnson qui a lancé l'alerte dans une série de publications sur X repérées par Android Authority, Cet ingénieur y explique avoir repéré une campagne de phishing astucieuse qui exploite des failles de sécurité au sein de l'infrastructure même de Google. Les escrocs envoient à leurs victimes des mails semblant provenir de Google lui-même. Des messages inquiétants dans lesquels la société indique avoir reçu une assignation à comparaître en justice à cause de ces utilisateurs. Et elle leur demande de lui fournir une copie des données de leur compte Gmail. De quoi en faire paniquer plus d'un !
Arnaque Gmail : une usurpation d'identité ingénieuse
Le chercheur en cybersécurité a reçu un e-mail semblant venir directement de Google. Il n'y avait aucune faute d'orthographe, aucune erreur de grammaire. Surtout, le message électronique était envoyé depuis l'adresse officielle automatisée no-reply@accounts.google.com et passait tous les tests de sécurité mis en place par le géant du Web, comme la signature DKIM – un système chargé de vérifier l'authenticité des e-mails.
En cliquant sur le lien inclus dans le message – via des boutons "Télécharger des documents supplémentaires" ou "Consulter le dossier" par exemple –, la victime est redirigée vers un écran de connexion hébergé sur sites.google.com, qui semble donc tout à fait légitime, puisque l'écran de connexion est hébergé sur Google Sites et non sur la page de son compte Google. Et c'est la toute la dangerosité de cette arnaque.
The first thing to note is that this is a valid, signed email - it really was sent from no-reply@google.com. It passes the DKIM signature check, and GMail displays it without any warnings - it even puts it in the same conversation as other, legitimate security alerts. pic.twitter.com/GxlFR6ccLG
— nick.eth (@nicksdjohnson) April 16, 2025
À l'origine, cette page était conçue pour ressembler à un portail d'assistance officiel, en encourageant les utilisateurs à télécharger des fichiers ou à accéder à un dossier. Il s'agit d'un sous-domaine de google.com en somme, dans lequel les cybercriminels peuvent intégrer des scripts – et donc du code malveillant. Le hic : en y entrant leurs identifiants, les victimes les remettent directement aux pirates, ce qui aurait alors compromis leur compte Google.
Arnaque Gmail : des attaques de plus en plus sophistiquées
Google a été prévenu de la faille de sécurité et déploie actuellement des protections pour bloquer ce type d'attaque. Pour déjouer les manigances des cybercriminels, il est primordial de toujours regarder les adresses mails des expéditeurs, qui n'ont généralement rien à voir avec Google. Mais ce n'est pas systématique, il arrive que les pirates utilisent une adresse très proche d'une adresse Google, voire, comme ici, parviennent à s'en emparer. Et là, il est plus difficile de déceler la supercherie. Aussi, le mieux est de ne jamais cliquer sur des liens ou ouvrir des pièces jointes de mails non sollicités. De même, il faut toujours vérifier l'authenticité des communications en utilisant les canaux officiels de Google et de ne jamais se laisser presser par un sentiment d'urgence.
Mieux vaut également activer l'authentification à double facteur (2FA), de sorte que même si des cybercriminels parvenaient à s'emparer des identifiants du compte, ils auraient encore besoin d'un code pour y accéder. Il faut aussi configurer un numéro de téléphone et une adresse e-mail de récupération afin que, si le compte est piraté et que le hacker change des informations, il soit possible de le récupérer sous sept jours.
Si jamais vous êtes la cible d'une escroquerie en ligne ou par SMS, transférez immédiatement le message à Signal Spam, Pharos, ou directement au 33 700, la plateforme spécialisée dans le signalement d'arnaques. Vous pouvez également signaler ces messages frauduleux auprès du site internet-signalement.gouv.fr. Bloquez ensuite l'expéditeur pour ne plus être importuné et supprimez le message en question.