En continuant votre navigation sur ce site, vous acceptez l'utilisation et l'installation de cookies assurant le fonctionnement optimal de notre service. 

Google Docs : la dangereuse attaque phishing sur Gmail exploitait une faille vieille de 5 ans

Google alerte sur les risques d’une dangereuse attaque phishing extrêmement sophistiquée. Des millions d’utilisateurs expliquent recevoir des e-mails venant de contacts figurant dans leur carnet d’adresses avec un lien Google docs. Celui-ci s’avère être un piège qui ouvre l’accès à votre compte à des hackers.

Gmail

Mise à jour 5/05

Selon le journal The Register, l’attaque de phishing sur Gmail pour laquelle Google a alerté ses utilisateurs utilise en fait une faille vieille de 5 ans. Celle-ci s’appuie sur le fonctionnement de OAuth, le système d’authentification unifié de la firme. Un développeur montrait ainsi il y a 5 ans un scénario extrêmement similaire pour attaquer des comptes Gmail.

Il suffit aux hackers de solliciter une autorisation de connexion en nommant l’application demandeur « Google ». Du coup, dans la page OAuth, la popup affiche « Google demande l’autorisation d’accéder à vos données » ce qui fait du coup passer la demande pour légitime. De quoi mettre en évidence le manque d’information affichées par ces pages.

Voici ce que nous écrivions le 4 mai lorsque Google a alerté de l’attaque :

Google a lancé une alerte via la page Twitter de Gmail, appelant ses utilisateurs à la vigilance face à une dangereuse attaque phishing. Des millions d’utilisateurs reçoivent un email ayant tout d’authentique. Le message invite les destinataires à ouvrir ce qui semble être un document Google via un bouton bleu d’appel à l’action estampillé « Ouvrir dans docs ».

Gmail : Google alerte sur une attaque phishing très élaborée

Les hackers se sont servis du protocole OAuth, qu’utilisent la plupart des services du web pour permettre aux utilisateurs de se connecter. Il s’agit de ces fameuses boîtes de dialogues qui permettent de se loguer en utilisant ses comptes Gmail, Facebook, Twitter, etc.

Aussitôt que le destinataire clique sur le bouton d’appel à l’action, il lui est demandé de donner des autorisations d’accès à une application imitant Google Docs. Ces permissions incluent la possibilité de lire, d’envoyer, de supprimer les e-mails, mais aussi de gérer les contacts.

Une fois les autorisations données, rien ne se passe du côté des victimes, mais les hackers reçoivent effectivement l’accès à leur compte Gmail. Les personnes derrière cette attaque pouvaient ainsi se servir des comptes hackés pour envoyer le même message phishing aux contacts figurant dans les carnets d’adresses.

Vous l’aurez compris, le danger ici est que les nouvelles cibles sont plus faciles à tromper, car elles reçoivent des emails venant de leurs contacts reconnus.

Google indique avoir pris des mesures

Ce processus automatisé a permis aux attaquants d’envoyer des emails massifs pendant plus de 3 heures avant que Google n’identifie la campagne malicieuse et ne prenne des mesures pour bloquer l’application :

Nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique impliquant Google Docs et avons désactivé les comptes de l’attaquant. Nous avons supprimé les fausses pages et effectué des mises à jour pour une navigation sécurisée. Notre équipe chargée des abus travaille pour éviter que ce type de spoofing ne se reproduise. Nous encourageons les utilisateurs à signaler les courriels de phishing dans Gmail.


Qu’avez-vous pensé de cet article ?
Commentaires
e9478f94171101b0e1a30ee6ead48e0dCCCCCCCCCCCCCCCCCC