Google a fait parvenir des alertes à un petit nombre d’utilisateurs « connus », les prévenant que leurs comptes avaient été la cible d’attaques soutenues par des États. Comme l’a expliqué le géant de la recherche, ces alertes sont différées. Explications.
Plusieurs personnalités ont vu leur compte Gmail attaqués, Google leur affichant une alerte pour les prévenir. Ce message comportait un texte potentiellement « effrayant » puisqu’il était clairement fait mention d’une attaque avec le soutien d’un État. De nombreux services, dont ceux de Microsoft et de Yahoo, se dont dotés de capacités similaires, devant la recrudescence de ces actions.
Des cibles aux profils particuliers
Comme l'indiqué Ars Technica, les personnes ayant signalé ces messages ne sont pas d’illustres inconnus. Paul Krugman par exemple est Nobel d’économie et intervient dans le New York Times. Michael McFaul est ancien diplomate américain et enseigne à Stanford. Dans la plupart des cas, il s’agit de journalistes et d’universitaires, certains précisant que l’authentification à deux facteurs était activée.
À chaque fois, l’alerte précisait que des pirates tentaient de découvrir le mot de passe. Le terme-clé ici est bien « tenter ». Google possède une page dédiée où sont donnés les détails. La société y indique que ces avertissements sont émis quand des activités suspectes sont détectées sur les compte, par exemple des tentatives répétées de connexion depuis une position géographique éloignée des habitudes de l’utilisateur.
Des alertes jusqu'à un mois après les attaques
Ce que ne dit pas en revanche la page, c’est que ces alertes ne sont pas transmises immédiatement aux utilisateurs concernés. Comme l’a expliqué un porte-parole de Google à Ars Technica, elles sont différées : dans le cas présent, les attaques peuvent avoir eu lieu jusqu’à un mois avant. Selon le porte-parole, il s’agit d’un choix délibéré pour brouiller les pistes, afin que les pirates n’aient pas d’indication sur les sources et méthodes de Google.
La firme précise cependant que seules sont différées les alertes sur les tentatives, non celles sur des piratages réussis. Nuance importante puisque les utilisateurs auraient été prévenus en cas de compte compromis. Cela étant, même si les comptes sont intacts, les différents tweets ont eu tôt fait de souligner le caractère particulier de leurs détenteurs.
Des pirates russes ?
Nos confrères risquent un rapprochement entre ces attaques et la récente campagne de phishing menée contre des organismes non gouvernementaux et des « think tanks », dans les heures qui ont suivi la victoire de Donald Trump à l’élection présidentielle américaine. Des attaques détectées par la société Volexity et manifestement orchestrées par des pirates russes, avec le soutien probable de l’État. Elles passaient par des comptes Gmail conçus pour l’occasion et des emails déguisés en missives officielles d’organismes, tels que Transparency International et le Council on Foreign Relations, afin de transmettre un malware, baptisé PowerDuke.
Google rappelle en tout cas que les utilisateurs ont tout intérêt à suivre quelques conseils élémentaires, notamment l’utilisation de logiciels à jour, l’activation de l’authentification à deux facteurs, l’installation de Google Authenticator ou d’une autre application compatible, jusqu’à l’utilisation d’une clé physique de sécurité.
