Utilisateurs de Gmail, prenez garde ! Si la messagerie de Google dispose de solides filtres permettant d’éviter les messages indésirables (Spams) parmi lesquels se trouvent de nombreux nuisibles, certains passent à travers les mailles du filet. C’est notamment le cas d’une attaque très récente et extrêmement virulente. Basé sur la méthode du phishing, autrement dit du hameçonnage, ce stratagème a pour objectif de vous faire cliquer sur un lien pour vous inciter à saisir vos identifiants de compte afin de les dérober et de s’accaparer votre boîte e-mail. Si cette attaque est féroce, c’est parce qu’elle est difficile à détecter, même pour un utilisateur averti.
Autopsie de cette attaque malicieuse de Gmail
Concrètement, la manœuvre se déroule en 5 étapes.
1 – Vous allez recevoir un e-mail d’un de vos contacts. Il s’agit réellement de son adresse Gmail, ce qui laisse supposer que le message ne présente aucun risque.
2 – Dans cet e-mail, vous trouverez une pièce jointe au format PDF cliquable. L’image qui s’affiche en bas du message est exactement la même que celle qui est utilisée pour récupérer un document via le service de stockage en ligne Google Drive. Mais voilà, en réalité, il ne s’agit pas du tout d’un document, mais d’une image conçue pour imiter cette pièce jointe.
3 – Confiant, vous cliquez et une page semblable à celle qui vous permet de vous connecter à Google Drive s’affiche. Vous saisissez donc votre identifiant et votre mot de passe Gmail.
4 – Le code caché dans cette fausse page s’active et récupère les identifiants.
5 – Le pirate se connecte à son tour aussitôt sur votre messagerie. Il modifie le mot de passe et adresse à tous vos contacts le même message pour étendre la contamination.
Le problème, c’est qu’il est difficile d’identifier cette attaque, et ce pour trois raisons :
- L’e-mail provient d’un contact connu, il contient le texte (en anglais) « voici le PDF demandé ».
- La pièce jointe ressemble à une vraie. Vous pouvez cliquer ici pour voir une capture d’écran du message via le compte Twitter d’un bloggeur anglais ayant subi cette attaque.
- Lorsque le site s’affiche, son adresse contient https://accounts.google.com, soit la même que celle qui permet d’accéder à un compte Google.
Comment alors identifier ce qui cloche ?
Pour un public anglophone, le piège est redoutable, car le court texte contenu dans l’e-mail est souvent rédigé en anglais. Il devrait toutefois arriver dans la langue native du pays à l’avenir. Nous savons maintenant qu’observer la pièce jointe n’aide pas à identifier la menace.
En revanche, là où il y a un hic, c’est lorsque l’on observe attentivement l’adresse de la page web qui s’affiche. Avant le https://accounts.google.com, qui est là pour berner les utilisateurs les plus observateurs, vous trouverez data:text/html. Cela signifie qu’au lieu d’une page web sécurisée de Google, il s’agit d’une page personnelle.
Ensuite, à gauche de la barre d’adresse de cette page, le petit cadenas de couleur verte habituel n’apparaît pas. Cela signifie que la connexion n’est pas « chiffrée » comme c’est systématiquement le cas avec Google.
Malgré ces deux indices, je dois avouer que j’aurais pu tomber facilement dans le panneau moi aussi. Le principe de cette attaque est aussi simple qu’ingénieux. D’autant plus que l’e-mail et sa pièce jointe ne peuvent pas être détectés par une suite de sécurité, puisqu’ils sont inoffensifs.
Deux méthodes efficaces pour ne jamais tomber dans le panneau
Comment faire alors pour ne pas tomber dans la paranoïa à chaque réception d’un e-mail doté d’une pièce jointe ? Tout simplement en suivant notre méthode décrite dans la lettre J’agis [Lisez le vite en vous inscrivant ici],et en exploitant un gestionnaire de mots de passe comme LastPass. Dès que vous allez arriver sur la fausse page Google, celui-ci va refuser la saisie des mots de passe sur cette page, car l’adresse comportant le data:text.html n’est pas référencée dans sa base. En effet, ce module de gestion de mots de passe mémorise précisément chaque adresse utilisée pour saisir des identifiants. Si cela ne correspond pas, il bloque tout.
Autre possibilité : utilisez le système de double authentification de Gmail. Ce procédé est imparable, puisqu’à chaque connexion à votre compte, en plus de la saisie du mot de passe, vous allez recevoir par SMS un petit code unique à recopier. Le pirate ne pourra donc rien faire avec votre identifiant et votre mot de passe sans ce code.
Si malheureusement votre compte a effectivement été piraté et que le mot de passe a été modifié, il est possible d’entreprendre une démarche de récupération en suivant les instructions de cette page de support chez Google.