Depuis quelques semaines, une attaque de phishing fait des ravages au sein de Gmail. Cette attaque particulièrement ingénieuse parvient à inciter les utilisateurs à donner leur mot de passe aux attaquants en passant par l’intégration d’une fausse pièce jointe.

Crédit image : Brian Klug

Crédit image : Brian Klug

Que feriez-vous si l’un de vos proches vous envoyait un email lapidaire intitulé « voici le pdf demandé », avec le pdf en question attaché ? La tentation de cliquer sur cette pièce jointe est évidemment forte : pour peu que vous ayez un antivirus, que peut-il se passer avec un simple fichier pdf ?

L'email de phishing en question reçu par Greggman.

L’email de phishing en question reçu par Greggman.

Un simple email avec un bête pdf

La réponse est évidemment : rien. Et c’est ce qu’ont pensé toutes les victimes de cette attaque. Mais ceux qui ont pensé cette nouvelle technique de phishing ont été très malins. Un clic sur la pièce jointe renvoie en effet l’utilisateur sur une page Google Drive — qui serait nécessaire pour visualiser le fichier — qui demande à l’utilisateur de s’identifier. La suite, vous pouvez la deviner, l’attaquant s’est emparé de son compte et a envoyé à tous ses contacts le même email d’hameçonnage.

Le blogueur américain Greggman — qui se présente pourtant comme quelqu’un qui a l’habitude d’utiliser Internet — s’est fait avoir par cette technique et raconte en détails ce qu’il s’est passé sur son blog. L’email en question contient en effet une pièce jointe. Cette pièce jointe est en fait une image intégrée dans le mail et associée à un lien. Un clic sur l’image renvoie donc automatiquement sur une page web, dont l’url, contient https://accounts.google.com. Sans faire attention, on pourrait donc penser qu’il s’agit bien du site de Google. Sauf que le début de l’url contient data:text/html, qui fait référence à une page personnelle montée de toute pièce, contenant un script qui va s’emparer automatiquement du compte et du mot de passe de la victime.

Des indices trop peu signalés par Gmail et Chrome

Le problème dans cette attaque c’est qu’il faut avoir les yeux très grands ouverts pour se rendre compte qu’il s’agit d’une attaque (au-delà du fait qu’un proche vous envoie un email avec une pièce jointe sans que vous n’ayez rien demandé). Gmail n’indique nulle part que la fausse pièce jointe est une image. Chrome n’indique pas que la page de phishing n’est pas sécurisée (avec un cadenas rouge ou vert par exemple). Et l’url de la page en question peut berner même le plus aguerri des utilisateurs d’Internet.

La page sur laquelle l'utilisateur se retrouve lorsqu'il clique sur la pièce jointe du mail. Notez l'url, trompeuse.

La page sur laquelle l’utilisateur se retrouve lorsqu’il clique sur la pièce jointe du mail. Notez l’url, trompeuse.

Pour éviter de tomber dans des pièges aussi vicieux, il n’y pas des milliers de solutions. La plus simple est d’activer la double authentification sur son compte Google, de telle façon que lorsque quelqu’un se connecte à votre compte, un email ou SMS avec un code vous soit envoyé. Pour les plus paranoïaques, l’utilisation d’un gestionnaire de mot de passe est également ce qui se fait de mieux pour ne pas se faire voler son mot de passe. Enfin, si vous avez un doute, regardez toujours à deux fois l’url de la page sur laquelle vous vous apprêtez à entrer votre mot de passe. Plus facile à dire qu’à faire, on est bien d’accord.

Source

Une erreur dans l'article ? Proposez-nous une correction

Le jdg vous recommande

1Password Fundamentals (English Edition)

N/A
Plus d'offres

Take Control of 1Password

N/A
Plus d'offres

A salvo con 1Password: no vuelvas a olvidar tus contraseñas (Spanish Edition)

N/A
Plus d'offres

Manage passwords, with 1Password

N/A
Plus d'offres