Le chercheur britannique Keir Giles, spécialiste reconnu des opérations d’influence russes, a été pris pour cible par une tentative de piratage d’une rare subtilité. Le stratagème ? Lui faire générer et envoyer un « mot de passe d’application », une fonctionnalité légitime de Gmail destinée aux logiciels ne prenant pas en charge l’authentification à deux facteurs.
Une manipulation sur mesure
Le groupe à l’origine de cette opération est désigné par Google comme UNC6293. Il est soupçonné d’être affilié à APT29, mieux connu sous le nom de Cozy Bear, un acteur récurrent des cyberattaques d’origine russe. L’attaque contre Keir Giles n’est pas isolée : selon Citizen Lab, plusieurs campagnes similaires ont été détectées entre avril et juin 2025 ; elles visent notamment des universitaires, journalistes ou militants critiques envers Moscou.
Dans le cas de Keir Giles, les pirates ont commencé leur approche par un email signé par une prétendue fonctionnaire américaine, « Claudie S. Weber ». Ce message, rédigé dans un anglais crédible, proposait une consultation officielle. En copie, plusieurs adresses en @state.gov renforçaient la légitimité de la demande — en réalité, il s’agissait de fausses identités, sans aucune existence réelle.
La manipulation s’est déroulée en plusieurs étapes, avec un ton calme et professionnel, répartie sur plus de dix échanges d’emails. À aucun moment les attaquants ne pressent la cible. Ils se contentent de guider, étape par étape, vers la création d’un mot de passe d’application. Un fichier PDF au faux design officiel, envoyé par les pirates, explique en détail comment procéder.
Le mot de passe généré, bien qu’étiqueté « ms.state.gov » dans l’interface Gmail, ne donne en réalité accès à aucun service officiel. Il fournit simplement une porte d’entrée directe au compte de la victime, contournant toutes les protections mises en place, y compris l’authentification à deux facteurs.
Selon Google, ce type d’attaque ne repose ni sur un logiciel malveillant, ni sur une faille de sécurité technique. C’est la ruse qui permet de franchir les barrières de sécurité.
Alerté à temps, Google a fini par détecter l’intrusion et désactiver les accès frauduleux. Mais l’épisode souligne clairement les limites des protections actuelles, en particulier lorsqu’elles sont contournées avec des fonctions peu encadrées. Google recommande désormais aux utilisateurs à haut risque d’activer son programme de protection avancée, qui désactive les mots de passe d’application pour éviter ce type de scénario.
Citizen Lab, qui a documenté l’attaque avec l’accord de Keir Giles, met en garde contre une tendance inquiétante : les pirates perfectionnent leurs techniques de manipulation et misent de plus en plus sur la patience, la vraisemblance et la connaissance fine des comportements de leurs cibles.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
