Google Docs a progressivement grignoté la part de marché de Microsoft Office dans le domaine de la productivité ces dernières années. Grâce à des outils de collaboration avancés et une interface cloud intuitive, il est devenu le traitement de texte préféré de nombreux utilisateurs.
Malheureusement, rien n'est infaillible sur Internet. L'exemple marquant est l'attaque de phishing de printemps 2017, qui a usurpé l'identité de Google Docs et exploité le système OAuth de Google. Comment les attaquants ont-ils compromis les comptes ? Quelles données ont été compromises ? Comment vous protéger ? Examinons les faits et les mesures de prévention.
Fin 2017, de nombreux utilisateurs ont reçu des e-mails invitant à consulter un document Google. Visuellement identique à une notification légitime, avec un objet comme "[Votre contact] a partagé un document Google Docs avec vous", l'e-mail présentait un indice : le destinataire était hhhhhhhhhhhhhhh@mailnator.com, votre adresse figurant seulement en CCI.
De nombreux clients de messagerie ne montrent pas l'adresse complète par défaut, incitant les victimes à cliquer sur le lien. Celui-ci redirigeait vers une page OAuth légitime de Google. Si plusieurs comptes étaient connectés, un choix était proposé. L'autorisation affichait "Google Docs" demandant l'accès au compte.
Malgré le logo Google Drive, des signes trahissaient la supercherie : cliquer sur le nom de l'app révélait le développeur
eugene.pupov@gmail.comhttps://googledocs.g-cloud.proUsurpant le nom de Google Docs, l'application légitime n'exige jamais un tel accès. Toute demande est suspecte. Une fois autorisée, la fausse app accédait aux contacts et envoyait l'e-mail phishing à tous. Elle demandait aussi de "lire, envoyer et gérer" les e-mails, mais Google confirma que seules les données de contacts étaient visées.
L'attaque a été signalée massivement sur les réseaux sociaux et Reddit. Un employé Google a réagi rapidement, bloquant l'app OAuth en 30 minutes. Google estime que 0,1 % des utilisateurs Gmail étaient touchés – soit potentiellement plus d'un million de comptes, vu le milliard d'utilisateurs.
Si autorisée, l'app conserve l'accès : vérifiez vos paramètres Google et supprimez "Google Docs" suspect. Les sites liés étaient hébergés sur CloudFlare, qui les a bloqués en 10 minutes, mais les données volées sont irrécupérables.
Pour révoquer l'accès : allez dans les paramètres d'autorisations Google et cliquez Supprimer. Vérifiez aussi les autres apps inutiles ou suspectes. Effectuez un contrôle de sécurité Google, recommandé même sans suspicion.
Les géants tech réagissent au cas par cas, mais la vigilance reste clé. Identifiez les phishing : adresses e-mail inhabituelles, expéditeurs suspects. Signalez-les à Google.
La page OAuth légitime masquait la malveillance. Vérifiez toujours le développeur en cliquant sur le nom de l'app.
Coïncidence : la mise à jour Gmail Android du même jour alerte sur les liens phishing. Un rapport Trend Micro avait anticipé ce type d'attaque via "Google Defender" lié à Pawn Storm.
Apprenez à repérer les phishing. Gmail aide aussi. Combattre la fatigue sécuritaire vaut l'effort.
Avez-vous été touché par cette attaque phishing Google Docs ? Ou reçu un e-mail d'une victime ? Cela vous découragerait-il d'utiliser Google Docs ? Partagez vos expériences en commentaires.
Crédit image : wk1003mike via Shutterstock.com
[]