Le développeur Nick Johnson a partagé sur le réseau social X (anciennement Twitter) une expérience pour le moins troublante : il a reçu un email de sécurité censé provenir de Google, avertissant qu’une « assignation avait été délivrée à Google LLC pour accéder au contenu de son compte ». L’email semblait authentique à tous égards : envoyé par « [email protected] », signé numériquement via DKIM, et classé par Gmail parmi les alertes officielles.
Un email piégé passe les filtres de Google
Le lien proposé dans le message redirigeait vers un site hébergé par sites.google.com, un service légitime de Google. Mais il s’agissait d’une fausse page de support, imitant à la perfection les interfaces de Google. Le piège se referme lorsqu’on clique sur « voir le dossier » ou « ajouter des documents », renvoyant vers une fausse page de connexion — toujours hébergée sur sites.google.com — conçue pour dérober les identifiants.
Ce qui rend cette attaque particulièrement vicieuse, c’est qu’elle passe les filtres de sécurité censés bloquer ce type de contenu. L’explication est technique : les pirates ont enregistré un domaine, créé un compte Google lié à ce domaine, puis configuré une application OAuth avec un nom identique au contenu du message frauduleux. Résultat : un email d’alerte légitime est généré par Google lui-même, et redirigé vers les victimes.
Le cas révélé par Nick Johnson n’est pas isolé. D’après Adrianus Warmenhoven, expert en cybersécurité chez NordVPN, des kits de phishing « clés en main » sont disponibles pour une vingtaine d’euros sur des forums du dark web. Ils incluent des modèles de sites clonés, des scripts de collecte de données, et même des générateurs d’emails et des listes de contacts ciblés. Google, Facebook et Microsoft sont les marques les plus usurpées.
Face à la sophistication croissante de ces arnaques, l’authentification par DKIM, SPF et DMARC montre ses limites. Comme le rappelle James Shank, de la société Expel, « un message validé DKIM n’est pas forcément sûr ». La validation indique seulement que le message provient d’un domaine autorisé — pas qu’il est inoffensif.
Google a depuis annoncé des mesures pour corriger cette faille spécifique. L’entreprise recommande d’activer l’authentification à deux facteurs (2FA) et d’utiliser les passkeys pour renforcer la sécurité. « Nous allons déployer de nouvelles protections qui bloqueront cette méthode », a promis un porte-parole.
Mais le mal est fait : cette affaire démontre que même les systèmes de messagerie les plus sécurisés ne sont pas infaillibles. Rester attentif, vérifier les URL et ne jamais se fier aveuglément à un email, même signé Google, sont devenus des réflexes indispensables.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités et sur notre WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
