En résumé:
- PCWorld rapporte que les cybercriminels exploitent la nouvelle fonctionnalité de changement d’adresse Gmail de Google pour envoyer des e-mails de phishing convaincants qui semblent provenir de systèmes Google légitimes.
- Ces escroqueries sophistiquées utilisent des adresses Google officielles et hébergent de faux sites Web de vol d’informations d’identification sur « sites.google.com », leur permettant ainsi de contourner de nombreux filtres anti-spam.
- Les utilisateurs ne doivent jamais cliquer sur les liens de courrier électronique pour vérifier le compte, activer l’authentification à deux facteurs et toujours naviguer directement vers le site officiel de Google pour vérifier les avertissements de sécurité.
Plus tôt ce mois-ci, Google a commencé à déployer une nouvelle fonctionnalité permettant aux utilisateurs de modifier leur adresse Gmail. Elle est déjà exploitée par des cybercriminels et des acteurs malveillants.
La nouvelle fonctionnalité permet à l’adresse Gmail d’origine de rester sous forme d’alias, de sorte que les e-mails entrants continuent d’arriver dans la même boîte de réception. La fonctionnalité est principalement destinée aux utilisateurs qui souhaitent remplacer leur ancienne adresse.
Les experts en sécurité avertissent désormais que les fraudeurs exploitent spécifiquement cette nouvelle fonctionnalité en créant des e-mails de phishing trompeusement authentiques qui sont envoyés via des systèmes Google légitimes et visent à prendre le contrôle total des comptes Google.
Phishing via des imitations de Google
Selon les experts en sécurité, des e-mails frauduleux sont actuellement envoyés, prétendument provenant de Google et faisant référence à un prétendu changement d’adresse Gmail ou à une confirmation de sécurité nécessaire. Les messages semblent particulièrement crédibles car ils sont envoyés via les propres systèmes de Google et affichent de véritables adresses Google, telles que « (email protégé) » comme expéditeur.
Ces emails mentionnent souvent une action liée à la sécurité, comme l’activation d’une nouvelle adresse ou la confirmation de votre identité. Un lien est censé mener à une page d’assistance ou de sécurité de Google, mais en réalité, les utilisateurs se retrouvent sur de faux sites Web où il leur est demandé de saisir leur mot de passe.
Ce qui rend cela particulièrement insidieux est que les escrocs utilisent le domaine « sites.google.com », qui est un service Google légitime pour les sites Web générés par les utilisateurs et n’est donc pas bloqué par de nombreux filtres anti-spam. Ces faux sites sont conçus pour imiter les véritables pages d’assistance de Google d’une manière qui semble visuellement authentique à première vue.
Si des attaquants parviennent à s’emparer de votre compte Google, les conséquences sont graves. Non seulement les messages Gmail sont affectés, mais tous les services connectés (tels que Google Drive, Google Photos et Google Agenda) seront également compromis. De plus, si votre compte Google est utilisé pour vous connecter à des services tiers (tels que des réseaux sociaux, des boutiques en ligne ou des services financiers), les attaquants peuvent déclencher une réaction en chaîne et accéder à ces autres comptes.
Les experts en sécurité en ont déjà averti
La société de sécurité Check Point Research avait déjà signalé une première vague de ces attaques fin 2025, avant même que Google n’annonce officiellement plus largement la nouvelle fonctionnalité.
À l’époque, les attaquants avaient abusé d’un outil d’automatisation du flux de travail pour envoyer des e-mails de phishing via l’infrastructure légitime de Google. Google a déclaré que ses propres systèmes n’avaient pas été compromis, mais que des mesures de protection avaient été prises.
Comment reconnaître les e-mails de phishing
Malgré leur apparence professionnelle, bon nombre de ces courriels frauduleux peuvent être repérés si vous savez quoi chercher. Les signaux d’alarme typiques incluent :
- Salutations impersonnelles comme « Cher client » au lieu de votre nom et prénom réels.
- Formulation urgente et menacescomme le risque de suspension de compte, de suppression de compte ou de conséquences monétaires. L’urgence a pour but de vous effrayer et de vous inciter à agir sans réfléchir.
- Demandes de saisie de mots de passe ou d’autres données d’accès via un lien. Le lien vous mène souvent à un faux site Web déguisé comme un vrai, dans l’espoir que vous entrerez vos informations d’identification, qui seront ensuite interceptées par l’escroc.
Google lui-même recommande de ne jamais cliquer sur les liens dans les e-mails et de toujours vérifier les avertissements de sécurité directement dans votre compte. Pour ce faire, ouvrez votre navigateur et accédez manuellement à la page de votre compte Google au lieu de cliquer sur les liens dans les e-mails. Les véritables avertissements contiennent généralement des détails tels que le type d’appareil, l’heure et le lieu d’accès.
Comment protéger votre compte Google
La chose la plus importante que vous puissiez faire est de maintenir un scepticisme sain à l’égard des courriels non sollicités. Assurez-vous d’activer l’authentification à deux facteurs (2FA) pour votre compte Google : même si les attaquants connaissent votre mot de passe, 2FA empêchera l’accès dans de nombreux cas.
Vérifiez régulièrement vos paramètres de sécurité, utilisez un mot de passe long et unique et ne saisissez jamais vos identifiants de connexion via des liens dans les e-mails. En cas de doute, rendez-vous toujours directement sur le site officiel de Google, connectez-vous à votre compte et vérifiez si une action est réellement requise.
Les criminels utilisent souvent les nouvelles fonctionnalités à des fins de phishing. Il est donc important de rester vigilant lorsqu’il s’agit de messages de sécurité présumés, même s’ils semblent provenir d’une source légitime.
Lectures complémentaires : Ne supprimez jamais, jamais votre courrier indésirable. Voici pourquoi
