share on:

Depuis quelques semaines, une attaque de phising fait des ravages au sein de Gmail. Cette attaque particulièrement ingénieuse parvient à inciter les utilisateurs à donner leur mot de passe aux attaquants en passant par l’intégration d’une fausse pièce jointe.

Que feriez-vous si l’un de vos proches vous envoyait un email lapidaire intitulé « voici le pdf demandé », avec le pdf en question attaché ? La tentation de cliquer sur cette pièce jointe est évidemment forte : pour peu que vous ayez un antivirus, que peut-il se passer avec un simple fichier pdf ?

Un simple email avec un bête pdf

La réponse est évidemment : rien. Et c’est ce qu’ont pensé toutes les victimes de cette attaque. Mais ceux qui ont pensé cette nouvelle technique de phising ont été très malins. Un clic sur la pièce jointe renvoie en effet l’utilisateur sur une page Google Drive — qui serait nécessaire pour visualiser le fichier — qui demande à l’utilisateur de s’identifier. La suite, vous pouvez la deviner, l’attaquant s’est emparé de son compte et a envoyé à tous ses contacts le même email d’hameçonnage.

Le blogueur américain Greggman — qui se présente pourtant comme quelqu’un qui a l’habitude d’utiliser Internet — s’est fait avoir par cette technique et raconte en détails ce qu’il s’est passé sur son blog. L’email en question contient en effet une pièce jointe. Cette pièce jointe est en fait une image intégrée dans le mail et associée à un lien. Un clic sur l’image renvoie donc automatiquement sur une page web, dont l’url, contient https://accounts.google.com. Sans faire attention, on pourrait donc penser qu’il s’agit bien du site de Google. Sauf que le début de l’url contient data:text/html, qui fait référence à une page personnelle montée de toute pièce, contenant un script qui va s’emparer automatiquement du compte et du mot de passe de la victime.

Des indices trop peu signalés par Gmail et Chrome

Le problème dans cette attaque c’est qu’il faut avoir les yeux très grands ouverts pour se rendre compte qu’il s’agit d’une attaque (au-delà du fait qu’un proche vous envoie un email avec une pièce jointe sans que vous n’ayez rien demandé). Gmail n’indique nulle part que la fausse pièce jointe est une image. Chrome n’indique pas que la page de phising n’est pas sécurisée (avec un cadenas rouge ou vert par exemple). Et l’url de la page en question peut berner même le plus aguerri des utilisateurs d’Internet.

Pour éviter de tomber dans des pièges aussi vicieux, il n’y pas des milliers de solutions. La plus simple est d’activer la double authentification sur son compte Google, de telle façon que lorsque quelqu’un se connecte à votre compte, un email ou SMS avec un code vous soit envoyé. Pour les plus paranoïaques, l’utilisation d’un gestionnaire de mot de passe est également ce qui se fait de mieux pour ne pas se faire voler son mot de passe. Enfin, si vous avez un doute, regardez toujours à deux fois l’url de la page sur laquelle vous vous apprêtez à entrer votre mot de passe. Plus facile à dire qu’à faire, on est bien d’accord.

Commentaires

commentaires

share on: