Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google bloque une importante campagne de phishing visant Docs

Et bien réalisée qui plus est
Internet 3 min
Google bloque une importante campagne de phishing visant Docs
Crédits : weerapatkiatdumrong /iStock/ThinkStock

Une vaste campagne de phishing touche actuellement les utilisateurs de Google Docs. Dans un courrier, ils sont invités à visualiser un document sur le service, derrière lequel se cache en fait un site malveillant.

L’attaque commence par l’envoi d’un courrier à la victime.  Elle y trouve un lien vers un document apparemment stocké sur Google Docs, avec un texte invitant simplement à aller voir. Simple et direct, mais probablement efficace seulement si le mail provient d’un contact un tant soit peu connu.

L’ouverture du lien affiche une fenêtre de connexion de compte Google. Nul besoin d’entrer le mot de passe, il suffit de sélectionner le compte qui servira pour l’utilisation de Docs. Une fois sélectionné, la fenêtre change et demande confirmation pour « autoriser Google Docs » à gérer le compte Gmail (lecture, envoi, suppression…) ainsi que les contacts. Si l’utilisateur accepte, l’attaque a fonctionné.

google docs phishing

Des signes discrets mais bien présents 

Rien dans ce que voit l’utilisateur n’est en fait vrai, ce qui est la base (bien sûr) d’une attaque de type phishing. Plusieurs éléments peuvent cependant montrer qu’il s’agit d’une arnaque. Le fait par exemple que l’email est particulièrement succinct et peut provenir d’une adresse que l’on ne connait pas. On ne répètera jamais assez la règle en la matière : ne jamais ouvrir une pièce jointe ou cliquer sur un lien si l’expéditeur est inconnu.

Ensuite, la fenêtre d’autorisation peut être étrange selon les cas. Si vous avez déjà utilisé Google Docs, il n’y a aucune raison pour que cette confirmation apparaisse. Le document devrait ainsi s’ouvrir directement. Autre élément, l’adresse qui se cache derrière « Google Docs ». Il s’agit d’un compte Gmail semblant appartenir à un particulier. Dans le même panneau, on se rend également compte que l’adresse de redirection est « googledocs.g-cloud.pro » ou « .info » selon les cas.

La faute en partie à Google

D’où vient exactement le problème ? De Google, en partie. L’attaque est sophistiquée : il est facile d’être trompé si l’on n’est pas habitué à de telles méthodes. Elle se base sur la propre infrastructure de Google et tire parti d’un manque de surveillance sur les noms choisis pour les applications web non-Google. Dans le cas présent, le ou les pirates ont réussi à nommer la leur « Google Docs », en abusant ensuite du mécanisme d’authentification OAuth.

Google a évidemment réagi. Un tweet publié cette nuit indique que les fausses pages ont été supprimées et qu’une mise à jour de Safe Browsing a été déployée pour tenir compte de ces attaques. L’entreprise indique qu'elle a touché moins de 0,1 % des utilisateurs de Gmail. Elle est cependant liée à une technique dévoilée la semaine dernière par Trend Micro, et utilisée par un groupe de pirates nommé Pawn Storm.

Google ne l’évoque pas, mais une nouvelle mouture de l’application Gmail pour Android est également en cours de déploiement. Elle contient justement un renforcement de la protection anti-phishing, en plus de permettre aux comptes non-Gmail de marquer des emails comme spams. 

6 commentaires
Avatar de Naneday INpactien
Avatar de NanedayNaneday- 04/05/17 à 08:40:20

Une action de Microsoft, le demon

Avatar de Jungledede Abonné
Avatar de JunglededeJungledede- 04/05/17 à 09:39:27

ah oui quand même, chez nous c'est même le chef de l'IT qui à envoyer un mail à toue la COGIP

les solution google en cogip...

Avatar de versgui Abonné
Avatar de versguiversgui- 04/05/17 à 09:55:03

D’où vient exactement le problème ? De Google, en partie. L’attaque
est sophistiquée : il est facile d’être trompé si l’on n’est pas habitué
à de telles méthodes. Elle se base sur la propre infrastructure de
Google et tire parti d’un manque de surveillance sur les noms choisis pour les applications web non-Google. Dans le cas présent, le ou les
pirates ont réussi à nommer la leur « Google Docs », en abusant ensuite
du mécanisme d’authentification OAuth.

Ça me semble facile de dire ça, je ne vois pas vraiment ce qu'aurait pu faire Google. Même s'ils avaient interdit d'utiliser le mot "Google" dans les noms d'applications, ça n'aurait pas empêché les pirates d’appeler leur application "Documents", "GDoc", "G. Docs", ou autre.

La seule solution est en amont, et Google a bien réagi en utilisant Safe Browsing.

Avatar de dineptus INpactien
Avatar de dineptusdineptus- 04/05/17 à 11:34:38

Google pourrait clarifier beaucoup de choses:

  • indiquer qu'il s'agit d'une pplication tière clairement quand c'est le cas, et différencier fortement cet écran de l'écran de Google de base

  • indiquer la date de création de l'application et son créateur en gros

  • indiquer clairement les dangers si l'application est malseine

    Ici c'est extrèmement difficile pour un utilisateur normal de voir l'arnaque, beaucoup ont du se faire prendre.

    L'UX c'est pas seulement avoir des gros boutons, c'est aussi savoir donner la bonne information aux gens, et la GOogle ne le fait pas du tout.

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 04/05/17 à 11:56:47

dineptus a écrit :

Ici c'est extrèmement difficile pour un utilisateur normal de voir l'arnaque, beaucoup ont du se faire prendre.

"L’entreprise indique qu'elle a touché moins de 0,1 % des utilisateurs de Gmail." (ce qui représente un nombre non négligeable dans l'absolu, certes)
(edit : "moins de" 900K comptes touchés tout de même)

Édité par WereWindle le 04/05/2017 à 11:58
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 04/05/17 à 12:14:59

+1 avec dineptus.

OAuth = donner l'accès d'un service perso à une application/site tiers.

Le formulaire de Google me semble un peu léger en terme d'information sur le "tiers" en question.
Et le fait que ce formulaire ne demande même pas de taper le mot de passe facilite les choses.

Il n'est plus possible de commenter cette actualité.