Une arnaque extrêmement sophistiquée vise les utilisateurs de Gmail. Cette dernière exploite une vulnérabilité de Google pour transmettre des emails de sécurité légitimes qui cachent un lien renvoyant vers un site frauduleux. Votre vigilance est plus que jamais de mise. Pour piéger leurs victimes potentielles, les arnaqueurs tentent de copier le plus possible les codes de certaines entreprises. En jouant sur l’urgence et un affichage qui peut paraître rassurant de prime abord, ils espèrent réussir à tromper la vigilance. Dans le cas mis en avant par le développeur Nick Johnson sur le réseau social X, l’arnaque dont il a failli être victime est encore plus sophistiquée. En effet, celle-ci utilise une faille dans l’infrastructure de Google. La différence, c’est que l’utilisateur reçoit un email provenant de “no-reply@accounts.google.com”. C’est une adresse légitime, avec une signature numérique valide. Comme on peut le voir sur l’image ci-dessous, les détails montrent bien un email validé et signé par Google. Gmail l’affiche donc sans aucun avertissement de sécurité. Ce qui est encore plus vicieux, c’est qu’il est ajouté dans le même fil de conversation que les autres alertes de sécurité légitimes. Exemple de l’email légitime au message frauduleux reçu sur Gmail // Crédits : Nick Johnson sur X.com De fait, la victime, rassurée sur la provenance de l’email, va s’intéresser au contenu. Dans le cas présent, c’est un avis qui a pour but d’alerter qu’une assignation à comparaître a été émise afin de récupérer des informations auprès de Google. L’utilisateur est donc invité à se rendre sur un lien lié à “sites.google.com” afin d’interagir. C’est là que le piège se referme. L’URL, bien qu’elle semble légitime, est effectivement frauduleuse. La bonne adresse renverrait sur “accounts.google.com”. Ce détail est primordial puisqu’il est le seul indice qui permet de repérer l’arnaque. Bien entendu, il est fortement déconseillé de cliquer sur le lien. Sinon, vous serez redirigé vers une page visant à récupérer vos données sensibles. Potentiellement, en récupérant vos données d’accès à votre compte Google, le pirate pourrait vous le subtiliser. Afin de se prémunir contre cette arnaque sophistiquée, il est fortement conseillé d’utiliser un passkey. Les informations nécessaires pour le créer et l’utiliser sont données sur cette page du support de Google. L’authentification avec un mot de passe est forcément à proscrire. De même, l’authentification à deux facteurs (2FA) n’est pas recommandée. Les pirates pourraient utiliser les informations dérobées pour intercepter les codes 2FA. Il leur suffit de provoquer une tentative de connexion et de vous amener à renseigner le code d’authentification reçu sur une page frauduleuse.