Si vous recevez un e-mail vous invitant à ouvrir un document via Google Docs, méfiez-vous car cela pourrait bien cacher une tentative de phishing, et même plus encore. Des e-mails, qui ont circulé pendant près de trois heures avant d'être stoppés par Google, contiennent une invitation à ouvrir un document prenant la forme suivante : « XXX has invited you to view the following document » précédant un bouton « Open in Docs ». Au lieu d'un document, une fenêtre s'ouvre demandant d'accepter la prétendue application Google Docs à lui accorder des droits très importants, à savoir la possibilité de lire, envoyer, effacer et gérer le compte de messagerie (incluant donc le changement de mot de passe) et de gérer les contacts.

Un exemple d'email de phishing ayant circulé hier. (crédit : Reddit)

« Cette attaque est assez intelligente et exploite la capacité de lier un compte Google à une application tierce », indique Mark Nunnikhoven, vice-président de la recherche cloud chez Trend Micro. Les pirates ont ainsi trouvé là un moyen (malheureusement) très malin pour prendre possession d'un compte Gmail en ne cherchant pas à voler les identifiants de compte, et à se heurter à la barrière - efficace - de l'authentification à double facteur, proposée par Google. Ils ont en effet réussi à abuser le protocole OAuth, permettant une application tierce de se connecter à des comptes Google (mais également Twitter, Facebook...) en incitant l'utilisateur à utiliser une fausse app Google Docs entièrement écrite et contrôlée par les pirates.

D'autres campagnes similaires à prévoir

Le mois dernier, Trend Micro a indiqué qu'un groupe de hackers russe, Fancy Bear, a utilisé une méthode similaire abusant le protocole OAuth via des campagnes de phishing. « La récente attaque de phishing de Google Docs a mis à profit certaines techniques qui auparavant, étaient plutôt associées à des cyberattaques liées à certains gouvernements », a de son côté expliqué Charles Rami, responsable des ventes Europe du Sud chez Proofpoint. « Les cybercriminels continuent d'utiliser des messages soigneusement conçus pour dérober les informations d'identification des comptes de messagerie, car ils sont la porte d’entrée pour d’autres comptes numériques, comme les services bancaires, les médias sociaux et les listes de contacts. Notre analyse initiale montre que cette attaque visait des organisations de tous types, y compris dans les secteurs de l'éducation, de la technologie, des services financiers et des voyages. Sur la base de la réussite de cette attaque, nous nous attendons à ce que des campagnes similaires soient initiées pour attirer de nouvelles victimes potentielles. »

Pour l'heure, on ne connait pas l'ampleur de l'attaque, ni le nombre d'utilisateurs qui se sont fait piéger par cette vague de phishing. « Nous avons enlevé les pages frauduleuses, poussé des mises à jour au travers de Safe Browsing et notre équipe travaille pour que ce type de spoofing ne se renouvelle pas », a précisé Google. Les experts en sécurité ainsi que la firme de Mountain View recommandent aux utilisateurs touchés de vérifier les permissions accordées aux applications tierces sur leur compte Gmail et de révoquer celles qui semblent suspectes. Ce qu'il est possible de faire en ce rendant à cette adresse mais également de s'assurer ici que les paramètres de sécurité du compte sont corrects.