Nouvel avertissement de sécurité pour les 1,8 milliard d'utilisateurs de Gmail de Google

Photo d'illustration.

La sécurité de Gmail a toujours été considérée comme l'un de ses principaux arguments de vente, mais l'une de ses nouvelles fonctionnalités de sécurité les plus importantes est désormais activement utilisée par les pirates pour arnaquer les utilisateurs.

Lancé le mois dernier, le système de coche bleue de Gmail est censé aider les utilisateurs à distinguer les e-mails légitimes de ceux potentiellement envoyés par des fraudeurs. Cependant, les escrocs exploitent une faille pour ajouter des coches bleues aux faux e-mails.

Concrètement, un e-mail envoyé dans votre boîte de réception Gmail avec une coche bleue est considéré comme sûr et vous pouvez l'ouvrir sans craindre qu'il s'agisse d'une arnaque, d'un spam ou d'un piratage. Cependant, ce système présente également des failles : les escrocs peuvent demander à Gmail de vérifier leur fausse adresse e-mail en affichant une coche bleue.

Chris Plummer a signalé le bug à Google après avoir découvert un escroc envoyant des e-mails avec une coche bleue, se faisant passer pour la société multinationale américaine de logistique et de gestion de la chaîne d'approvisionnement (UPS).

Google a initialement rejeté les conclusions de Plummer, affirmant qu'il ne corrigerait pas le bug, considérant qu'il s'agissait d'un comportement attendu. Mais Plummer a soulevé la question sur les réseaux sociaux avec le titre suivant : « Comment un usurpateur d'identité UPS a-t-il réussi à tromper notre système de vérification de manière aussi convaincante ? »

Cependant, Google a rapidement changé d'avis et a envoyé à Plummer l'e-mail suivant : « Après une inspection plus approfondie, nous avons réalisé qu'il ne s'agissait pas d'une faille de sécurité courante. Nous avons donc chargé une équipe d'enquête d'examiner la situation de plus près. Nous vous prions à nouveau de nous excuser pour la confusion et vous remercions vivement d'avoir attiré notre attention sur ce problème. Nous vous tiendrons informés de notre évaluation et de nos efforts pour résoudre ce problème. Cordialement, l'équipe de sécurité de Google. »

Google a désormais classé la vulnérabilité en P1, ce qui signifie qu'il s'agit d'une correction prioritaire. Cependant, en attendant sa correction, les utilisateurs doivent se méfier des e-mails qu'ils ne connaissent pas, même ceux marqués d'une coche bleue. Il est préférable d'éviter de cliquer sur des liens non fiables et de ne pas fournir d'informations personnelles, de numéros de compte bancaire ou de mots de passe nécessaires.

Google a fait de cette vulnérabilité de sécurité une correction prioritaire (P1).

Si vous recevez un e-mail qui semble important dans votre boîte Gmail et qu'il est vérifié par une coche bleue, soyez extrêmement vigilant et appelez l'entreprise. N'appelez pas le numéro de téléphone indiqué dans l'e-mail.

Google travaille actuellement à la correction de cette vulnérabilité. Espérons donc qu'il n'ait pas eu le temps de piéger qui que ce soit. Cependant, il est probable qu'un petit nombre d'utilisateurs perdent de l'argent à cause de cette arnaque, car l'application Gmail compte plus de 1,8 milliard de comptes actifs cette année.

Grâce à cette vulnérabilité, les malfaiteurs peuvent également l’utiliser pour vider votre compte bancaire.

Imaginons que vous receviez un e-mail d'un compte coché bleu vous informant que vous êtes sur le point de recevoir un colis. Le message pourrait indiquer que l'expéditeur a besoin d'informations pour vérifier votre identité. En cochant la case bleue, vous acceptez de fournir certaines informations personnelles nécessaires à la livraison de votre colis. Vous lui envoyez donc votre date de naissance, votre numéro de sécurité sociale, vos informations bancaires et/ou de carte de crédit. Imaginez ce qu'un malfaiteur pourrait faire avec toutes ces informations.

Aujourd'hui, la plupart des entreprises ne vous enverront pas de SMS ou d'e-mail contenant un lien. La plupart des e-mails ne vous demanderont aucune information personnelle. Même si Google corrige cette faille de sécurité, vous ne devriez divulguer vos informations personnelles sous aucune forme, car la vitesse à laquelle un escroc peut voler, prendre le contrôle et effacer ses traces est inexorable, et en quelques secondes seulement, votre compte bancaire peut être vidé.

Il est donc préférable pour les utilisateurs de maintenir une attitude prudente et vigilante envers tous les e-mails avec ou sans coche bleue./.