Nouvel avertissement de sécurité pour les 1,8 milliard d'utilisateurs de Gmail de Google

Photo d'illustration.

La sécurité de Gmail a toujours été considérée comme l'un de ses principaux arguments de vente, mais l'une de ses nouvelles fonctionnalités de sécurité les plus importantes est désormais activement utilisée par les pirates pour arnaquer les utilisateurs.

Lancé le mois dernier, le système de coche bleue de Gmail est censé aider les utilisateurs à distinguer les e-mails légitimes de ceux potentiellement envoyés par des imposteurs. Cependant, des escrocs exploitent une faille pour ajouter des coches bleues aux faux e-mails.

Concrètement, un e-mail envoyé dans votre boîte de réception Gmail avec une coche verte est considéré comme sûr et vous pouvez l'ouvrir sans craindre qu'il s'agisse d'une arnaque, d'un spam ou d'un piratage. Cependant, ce système présente également des failles : les escrocs peuvent demander à Gmail de vérifier leur fausse adresse e-mail en affichant une coche verte.

Chris Plummer a soumis un rapport de bogue à Google après avoir découvert un escroc envoyant des e-mails avec une coche bleue, se faisant passer pour la société multinationale américaine de logistique et de gestion de la chaîne d'approvisionnement (UPS).

Google a initialement rejeté les conclusions de Plummer, affirmant qu'il ne corrigerait pas le bug, considérant qu'il s'agissait d'un comportement normal. Mais Plummer a réagi sur les réseaux sociaux avec le titre « Comment un escroc d'UPS a-t-il trompé notre système de vérification de manière aussi convaincante ? »

Cependant, Google a rapidement changé d'avis et a envoyé à Plummer l'e-mail suivant : « Après un examen plus approfondi, nous avons constaté qu'il ne s'agissait pas d'une faille de sécurité classique. Nous avons donc envoyé une équipe d'enquête pour examiner la situation de plus près. Nous vous prions de nous excuser à nouveau pour la confusion occasionnée et vous remercions d'avoir attiré notre attention sur ce problème. Nous vous tiendrons informés de notre analyse et de l'avancement de notre travail. Cordialement, l'équipe de sécurité de Google. »

Google a désormais classé la vulnérabilité en P1, ce qui signifie qu'il s'agit d'une correction prioritaire. Cependant, en attendant sa correction, les utilisateurs doivent se méfier des e-mails qu'ils ne connaissent pas, même ceux marqués d'une coche bleue. Il est préférable de ne pas cliquer sur des liens non fiables et de ne pas fournir d'informations personnelles, de numéros de compte bancaire ou de mots de passe nécessaires.

Google a fait de cette vulnérabilité de sécurité une correction prioritaire (P1).

Si vous recevez un e-mail qui semble important dans votre boîte Gmail et qu'il est vérifié par une coche bleue, soyez extrêmement vigilant et appelez l'entreprise. N'appelez pas le numéro de téléphone indiqué dans l'e-mail.

Google s'efforce actuellement d'éliminer cette vulnérabilité, et il est donc à espérer qu'elle n'a encore trompé personne. Cependant, il est probable qu'un petit nombre d'utilisateurs perdent de l'argent à cause de cette arnaque, car Gmail compte plus de 1,8 milliard de comptes actifs cette année.

Grâce à cette vulnérabilité, les méchants peuvent également l’utiliser pour vider votre compte bancaire.

Imaginons que vous receviez un e-mail d'un compte coché bleu vous informant que vous êtes sur le point de recevoir un colis. L'e-mail pourrait indiquer que l'expéditeur a besoin d'informations pour vérifier votre identité. En cochant la case bleue, vous acceptez de fournir certaines informations personnelles nécessaires à la livraison de votre colis. Vous lui envoyez donc votre date de naissance, votre numéro de sécurité sociale, vos informations bancaires et/ou de carte de crédit. Imaginez ce qu'un pirate pourrait faire avec toutes ces informations.

De nos jours, la plupart des entreprises ne vous envoient plus de SMS ni d'e-mails contenant des liens. La plupart des e-mails ne vous demandent pas non plus d'informations personnelles. Même si Google corrige cette faille de sécurité, vous ne devriez divulguer vos informations personnelles sous aucune forme, car la vitesse à laquelle un escroc peut voler, prendre le contrôle et effacer vos traces est inexorable, et en quelques secondes seulement, votre compte bancaire peut être vidé.

Il est donc préférable pour les utilisateurs de maintenir une attitude prudente et vigilante envers tous les e-mails avec ou sans coche bleue./.