Une nouvelle attaque de masse vise les comptes GMAIL en se faisant passer pour une fausse application Google DOCS !

Quand j’étais petit, mon père m’emmenait souvent à la pêche, je me souviens (ben oui c’était il n’y a pas si longtemps que ça, quand même) qu’on se levait très tôt, que nous préparions les appâts avec soin et, en fonction du type de poisson, les lignes et les hameçons étaient calibrés (vous avez déjà essayé d’attraper une carpe avec un hameçons de 20 ?!).

Fasse à la mondialisation, la pêche a changé de forme, le poisson c’est raréfié et le métier de pêcheur à évolué tout comme les outils d’ailleurs ! On ne parle maintenant plus de pêche mais de “phishing” (contraction de “fishing” pour pêche et de “preaking” pour piratage de lignes électroniques) et le pêcheur devient le pirate ! Les méthodes restent presque les mêmes, on balance tout plein d’appâts dans les boites aux lettres et on attend tranquillement que le premier petit poisson se réveille et clique sagement sur le lien, savamment calibré avec un texte accrocheur sur, pour les plus angoissés, un commandement de payer ou, pour les plus crédules, un gros lot à gagner.

“Mais dans quel monde vit-on” dirait maintenant mon père: Une nouvelle attaque de grande ampleur viens d’avoir lieu, elle vise les comptes GMAIL et son mode opératoire est très sophistiqué. En effet, un mail est envoyé par un de vos contacts contaminés (pourquoi se méfier alors) et contient une pièce-jointe ainsi qu’un message très court, qui semble personnel (“Ta facture”, “Ton jeu”, “Voici ce que tu m’as demandé”, etc.).

Une fois que vous aurez cliqué sur le document Google Docs partagé, une autre page vous demandera de vous authentifier et ensuite d’autoriser l’application pirate à pouvoir “lire, supprimer, gérer ses mails et contact” … une fois que le petit poisson a cliqué sur “J’autorise”, vous vous retrouvez dans la nasse, et vos contacts deviennent le nouveau vivier puisqu’ils vont à leur tour recevoir le mail.

Ces nouveaux pêcheurs (ha oui pardon:  ces pirates) vont maintenant pouvoir se livrer à des usurpations d’identité et utiliser vos informations (et si en plus vous utilisez cette adresse email pour gérer vos achats sur le net, ils auront aussi accès à vos sites d’achat).

Alors me direz-vous, comment ça marche ? J’ai pourtant vérifié l’adresse dans l’URL et il y avait bien le petit https:// ainsi que l’adresse de Google !  Sauf que cette sortie en mer est rudement bien préparée : le lien et le bouton bleu dans le mail sont des images et en cliquant dessus vous accédez à la plateforme d’authentification ouverte OAuth (un peu de lecture pour les curieux), et vous donnez l’accès à une application qui ressemble à s’y méprendre à Google DOCS.

Une autre variante consiste à mettre dans le lien de l’image le code de la page à afficher (hé oui, on peut coder une page juste dans un lien), il faut donc détecter la présence de la partie data:text/html au début du lien.

Et maintenant, comment je sors de là ?

Google a réagi dans la nuit du 3 au 4 mai en supprimant l’application qui avait de faux airs de Google Docs et ils ont désactivé les comptes incriminés, Google indique que l’attaque a touché moins de 0,1% des utilisateurs (vous vous sentez moins seul du coup,  non ? Il y aurait plus d’un milliard d’utilisateurs actifs) , l’application Gmail pour Android a déjà été mise à jour pour signaler l’invitation suspecte et donc iOS devrait recevoir la même protection).

Google suggère fortement (lire “à faire rapidement”) d’utiliser la page de vérification des paramètres de sécurité et de vérifier dans la section “Vérifiez les autorisations de votre compte” s’il n’y aurait pas quelques indésirables comme “Google Docs”. Si c’est le cas, supprimez simplement l’application et pensez à changer votre mot de passe (ainsi que ceux des sites utilisant  la même adresse, vous vous êtes fait pirater, tout de même).

Il devient de plus en plus difficile de détecter ces faux mails (les correcteurs orthographiques et traducteurs ont fait d’énormes progrès), même les plus grands se sont fait avoir (ce n’est pas Hillary Clinton qui va vous dire le contraire), même un certain Mike Pence (c’est juste l’actuel Vice Président des Etats-Unis) qui s’est fait pirater, à l’aide d’une arnaque de pishing, son compte AOL, utilisé pour gérer ses affaires  alors qu’il se moquait d’Hillary qui, elle, utilisait un serveur de messagerie privé (et donc mieux sécurisé) pendant les élections. Capté, ou je recommence l’explication ?

Bon je vous laisse, je dois encore aider un notaire africain à récupérer un héritage et mon étourdie de voisine est bloquée à l’étranger, alors quelle a perdu tout ses moyens de paiement !

Je serai jamais debout demain à 5h pour aller à la pêche, moi !