Nouvelle alerte de sécurité pour les 1,8 milliard d'utilisateurs de Gmail de Google

Photo d'illustration.

La sécurité de Gmail a toujours été considérée comme l'un de ses principaux arguments de vente, mais aujourd'hui, l'une de ses nouvelles fonctionnalités de sécurité les plus importantes est activement utilisée par des pirates informatiques pour escroquer les utilisateurs.

Lancé le mois dernier, le système de coche bleue de Gmail est censé aider les utilisateurs à distinguer les courriels légitimes de ceux qui pourraient provenir d'usurpateurs d'identité. Cependant, des escrocs exploitent une faille pour ajouter des coches bleues à de faux courriels.

Concrètement, un e-mail reçu dans votre boîte de réception Gmail et affichant une coche verte est considéré comme sûr et vous pouvez l'ouvrir sans craindre qu'il s'agisse d'une arnaque, d'un spam ou d'un piratage. Cependant, ce système présente certaines failles : les escrocs peuvent demander à Gmail de vérifier leur faux e-mail en affichant une coche verte.

Chris Plummer a soumis un rapport de bug à Google après avoir découvert qu'un escroc envoyait des e-mails avec une coche bleue, se faisant passer pour la multinationale américaine de logistique et de gestion de la chaîne d'approvisionnement (UPS).

Google a d'abord rejeté les conclusions de Plummer, déclarant qu'il ne corrigerait pas le bug car il le considérait comme un comportement normal. Mais Plummer a utilisé les réseaux sociaux pour aborder le problème avec le titre « Comment un escroc se faisant passer pour UPS a-t-il trompé notre système de vérification avec autant de conviction ? »

Cependant, Google a rapidement changé d'avis et a envoyé le courriel suivant à Plummer : « Après un examen plus approfondi, nous avons constaté qu'il ne s'agit pas d'une faille de sécurité classique. Nous avons donc dépêché une équipe d'enquêteurs pour examiner la situation de plus près. Nous nous excusons à nouveau pour la confusion et vous remercions de nous avoir signalé ce problème. Nous vous tiendrons informé(e) de l'avancement de notre enquête et de la manière dont nous travaillons à sa résolution. Cordialement, l'équipe de sécurité de Google. »

Google a classé cette vulnérabilité comme prioritaire (P1), ce qui signifie qu'elle est traitée en priorité absolue. En attendant sa résolution, il est conseillé de rester vigilant face aux courriels provenant d'expéditeurs inconnus, même ceux affichant une coche bleue. Il est fortement recommandé de ne cliquer sur aucun lien suspect et de ne communiquer aucune information personnelle, numéro de compte bancaire ou mot de passe sensible.

Google a fait de cette faille de sécurité une priorité absolue (P1).

Si vous recevez un courriel qui semble important dans votre boîte de réception Gmail et qui est vérifié par une coche bleue, redoublez de prudence et appelez l'entreprise. N'appelez pas le numéro de téléphone indiqué dans le courriel.

Google s'efforce actuellement de corriger cette faille de sécurité, et on espère donc qu'elle n'a encore fait de victimes parmi ses utilisateurs. Toutefois, il est probable qu'un petit nombre d'entre eux subissent des pertes financières, car Gmail compte plus de 1,8 milliard de comptes actifs cette année.

Grâce à cette vulnérabilité, des personnes mal intentionnées peuvent également l'utiliser pour vider votre compte bancaire.

Imaginez que vous receviez un courriel d'un compte certifié (avec une coche bleue) vous informant de la livraison imminente d'un colis. Ce courriel pourrait indiquer que l'expéditeur a besoin de certaines informations pour vérifier votre identité. En cliquant sur la coche bleue, vous acceptez de fournir des renseignements personnels nécessaires à la livraison de votre colis. Vous transmettez donc votre date de naissance, votre numéro de sécurité sociale, vos coordonnées bancaires et/ou les informations relatives à votre carte de crédit. Vous pouvez aisément imaginer ce qu'une personne mal intentionnée pourrait faire avec toutes ces informations.

De nos jours, la plupart des entreprises n'envoient plus de SMS ni d'e-mails contenant des liens. La plupart des e-mails ne vous demanderont jamais d'informations personnelles. Même si Google corrige cette faille de sécurité, vous ne devez en aucun cas divulguer vos informations personnelles, car la rapidité avec laquelle un escroc peut voler des données, prendre le contrôle d'un compte et effacer toute trace est impressionnante ; en quelques secondes seulement, votre compte bancaire peut être vidé.

Il est donc préférable que les utilisateurs fassent preuve de prudence et de vigilance envers tous les courriels, qu'ils comportent ou non une coche bleue.