Quel que soit l’endroit où vous utilisez Gmail, que ce soit via l’application sur votre smartphone, l’application de messagerie sur votre PC ou un service Web, sachez que vous êtes vulnérable et que vous pouvez être trompé. Bien que Google ait publié le sceau bleu, qui est censé indiquer que le message provient d’un expéditeur fiable, le système présente des défauts et ils sont utilisés pour voler des utilisateurs.
Bug dans Gmail… oui dans le vôtre aussi !
C’est grâce à un tweet de l’ingénieur en cybersécurité Chris Plummer (via Forbes) que l’alerte a été lancée. Selon ce qui a été partagé, tout commence par le système de sceaux de vérification que Google a introduit le mois dernier.
Cette balise est conçue pour vérifier les e-mails supposément envoyés par des entreprises et des organisations légitimes. Un e-mail dans votre boîte de réception Gmail avec une coche bleue devrait indiquer que vous pouvez ouvrir la missive en toute sécurité sans vous soucier d’être victime d’une arnaque, d’un spam ou d’un piratage.
Cependant, grâce à un bug, les escrocs peuvent demander à Gmail de vérifier leur faux e-mail en y ajoutant une coche bleue.
Le chercheur en sécurité a découvert comment les criminels parviennent à tromper Google en ajoutant la coche bleue, ce qui lui permet de « vérifier » votre Gmail frauduleux. Plummer a déposé un rapport de bug auprès de Google après avoir repéré un escroc envoyant un courrier vérifié se faisant passer pour UPS. L’e-mail comprenait même l’icône emblématique du bouclier UPS.
Initialement, Google a rejeté le rapport de Plummer, affirmant qu’il ne résoudrait pas le bug car « c’est un comportement intentionnel ». Comme le demande Plummer dans son tweet : « Comment se fait-il qu’un criminel se faisant passer pour @UPS de manière aussi convaincante soit ‘intentionnel’ ?
Il y a très certainement un bug dans Gmail exploité par des escrocs pour y parvenir, j’ai donc soumis un bug qui @Google fermé paresseusement comme « ne résoudra pas – le comportement prévu ». Comment un escroc se fait-il passer pour @UPS d’une manière si convaincante « intentionné ». pic.twitter.com/soMq7KraHm
– prune (@chrisplummer) 1 juin 2023
Mais Google a rapidement changé d’avis et a envoyé à Plummer ce qui suit :
Après une analyse plus approfondie, nous avons réalisé qu’il ne s’agissait pas d’une vulnérabilité SPF générique. Par conséquent, nous avons rouvert le dossier et l’équipe responsable examine de plus près ce qui se passe. Nous nous excusons à nouveau pour la confusion et comprenons que notre réponse initiale a pu être frustrante. Merci beaucoup d’avoir insisté pour que nous examinions la situation plus en détail ! Nous vous tiendrons au courant de notre évaluation et de l’évolution de ce problème.
Cordialement, l’équipe de sécurité Google.
quand les choses se compliquent, les durs reçoivent un tweet avec plus de 100 000 vues, merci à tous. pic.twitter.com/tYiOD1zvpQ
– prune (@chrisplummer) 1 juin 2023
Google a classé cette faille P1, ce qui indique qu’il s’agit d’un correctif prioritaire. Mais jusqu’à ce qu’il soit corrigé, les utilisateurs de Gmail doivent être à l’affût des messages Gmail vérifiés qui ne proviennent pas de l’entreprise qu’ils prétendent être.
Comme toujours, ne cliquez sur aucun lien et ne fournissez certainement aucune information telle que des numéros d’identification, des numéros de carte de crédit, des dates d’expiration et des codes de sécurité.
Si vous recevez ce qui semble être un e-mail important dans votre boîte de réception Gmail et qu’il est confirmé par une coche bleue, appelez l’expéditeur jusqu’à ce que vous soyez sûr que c’est vrai. Surtout s’il s’agit d’un e-mail avec beaucoup de pertinence et d’informations sensibles. N’oubliez pas que vous ne devez pas utiliser les numéros de téléphone qui figurent dans cet e-mail, car si le message est un canular, les numéros de téléphone le seront également.
Il y a de fortes chances qu’au moins certains utilisateurs perdent de l’argent avec cette arnaque, car il y a plus de 1,8 milliard d’utilisateurs actifs de Gmail cette année. Et il y a beaucoup de gens crédules sans capacité critique.
Peut-être que certaines personnes croiront la facture qui est arrivée pour payer l’énergie, les communications ou même une entreprise qui mettra à jour le système d’exploitation de l’ordinateur (sinon, il se bloquera).
Voyons un exemple de la façon dont le schéma peut fonctionner
Supposons que vous receviez un e-mail d’UPS avec une coche bleue indiquant que vous êtes sur le point de recevoir un colis. La lettre peut indiquer qu’UPS a besoin de certaines informations pour vérifier votre identité.
Avec la coche à l’esprit, vous acceptez de répondre avec certaines informations personnelles dont « UPS » dit avoir besoin pour livrer votre commande.
Alors, envoyez-leur votre date de naissance, votre numéro fiscal et les détails de votre compte bancaire et/ou de votre carte de crédit. Pouvez-vous imaginer ce que quelqu’un avec une intention malveillante pourrait faire avec toutes ces informations ?
De nos jours, la plupart des entreprises ne vous envoient pas de SMS ou d’e-mails avec des liens. La plupart ne demanderont aucune des informations que nous avons mentionnées ci-dessus. Et même lorsque Google efface ce bug, une coche bleue ne vous donne pas carte blanche pour divulguer des informations personnelles qui pourraient vous coûter de l’argent.
Et ne vous y trompez pas, les escrocs ont quelques longueurs d’avance sur vous. Ils saisiront les données qui ont été fournies, ils entreront dans votre compte bancaire et seront à court de limites de carte de crédit. Alors restez à l’écoute.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
