Hier, durant une bonne partie de la journée, de nombreux utilisateurs de Gmail ont reçu un étrange email, provenant souvent d’un de leur contact, dans lequel il leur était proposé de participer à l’édition d’un document Google Docs. Cette invitation était évidemment un faux. Mais un faux terriblement bien déguisé, puisqu’il avait non seulement le nom et l’apparence d’un véritable document Google Docs partagé.

Une fausse web-app qui se faisait passer pour Google Docs

La procédure de cette attaque de phishing a été décrite entièrement par The Verge, dont certains des journalistes ont reçu des emails frauduleux. L’email en question ressemble à n’importe quel autre email de partage de document, dans lequel l’un de ses contacts propose de participer à un Google Docs. L’email est accompagné de la traditionnelle petite fenêtre bleue, sur laquelle on clique presque naturellement.

Un email de phishing.

Là où les choses se compliquent, c’est qu’une fois que l’on a cliqué sur cette box bleu, une nouvelle fenêtre s’ouvre sur laquelle il est demandé de choisir un compte Google pour accéder au document. Ici, il n’est pas question d’une fausse redirection d’url que l’on pourrait « facilement » repérer. Non, les développeurs de ce phishing ont en fait créé une web-app nommée Google Docs qui va demander des droits d’accès à son compte Google. Le seul moyen de s’apercevoir qu’il ne s’agit pas d’un véritable document Google Docs est de cliquer sur « Google Docs » et de voir que l’email de l’application est liée à une adresse email et un site web louches.

Pour peu que l’on ne fasse pas attention, l’application web va alors demander à avoir les droits de gérer la boîte email de l’utilisateur et d’accéder à son carnet de contact, afin d’envoyer à nouveau des faux emails de partage de documents. Si jamais vous avez été victime de cette attaque et que vous avez donné les droits à cette application fallacieuse, il est possible de modifier les autorisations données sur la page « Applications et sites connectés » de son compte Google.

Google a réagi rapidement

Google, justement a réagi relativement vite à cette attaque. Chose relativement rare, il a d’abord communiqué sur les réseaux sociaux qu’il enquêtait sur le sujet. La firme de Mountain View a ensuite affirmé à The Verge avoir pris les mesures nécessaires dans l’heure qui a suivi. « Nous avons pris des mesures pour protéger les utilisateurs de ces emails se faisant passer pour Google Docs et désactivés les comptes Gmail des attaquants. Nous avons retiré les fausses pages, mis à jour Safe Browsing [une mesure permettant à Chrome et Google de repérer des sites frauduleux] et notre équipe de sécurité travaille sur un moyen de prévenir ce genre de tromperie à l’avenir. » Actuellement, le problème est donc réglé.

Ce n’est pas la première fois que des pirates tentent de s’emparer des données des utilisateurs de Gmail en utilisant de faux emails se faisant passer pour des Google Docs. En janvier dernier, déjà, des pirates avaient utilisé de fausses pièces jointes à télécharger dans Drive pour berner les utilisateurs.

Gaël Weiss
Journal du Geek