Zach Latta, programmeur chez Google, s’est retrouvé dans le collimateur de cybercriminels adeptes du phishing. Comme il l’explique dans un billet publié sur GitHub, il a été la cible de « l’attaque de phishing la plus sophistiquée » qu’il a « jamais vue ». L’informaticien a d’ailleurs bien failli tomber dans le piège.
Tout commence quand une jeune femme, qui se fait appeler Chloé, passe un appel téléphonique au programmeur. L’appel provient du numéro de téléphone 650-203-0000, qui est utilisé par Google Assistant pour des appels automatisés, notamment pour la prise de rendez-vous aux États-Unis. Au bout du fil, elle se fait passer pour une employée de Google Workspace, une suite d’outils et de services cloud développée par Google pour les entreprises, les écoles et les organisations.
À lire aussi : Google prend de nouvelles mesures fortes contre le phishing et les spams sur Gmail
Une arnaque bien ficelée
Elle prétend que quelqu’un a récemment tenté de se connecter au compte de Zach Latta près de Francfort, en Allemagne. La prétendue employée assure que le compte Google a été temporairement bloqué. À ce moment-là, le programmeur a eu des doutes sur l’identité de son interlocutrice.
Pour vérifier son identité, il lui a demandé d’envoyer un mail à partir d’une adresse Google officielle. La dénommée Chloé a pu accéder à sa demande en lui transmettant un mail contenant un numéro de dossier. Le courriel semblait en tous points véridique. Il était même expédié de l’adresse workspace-noreply@ google.com, ce qui donne l’impression que le mail vient bien de Google.
Dans l’objet du mail, il remarque la mention de l’URL « g.co ». Après quelques recherches, Latta se rend compte que « g.co » est une URL officielle de Google, confirmée par l’entreprise elle-même et disposant même de sa propre page Wikipédia. Elle est utilisée comme service de raccourcissement d’URL pour les liens vers des sites et services Google. Là encore, les pirates sont parvenus à rendre le piège presque imperceptible.
Au téléphone, Chloé a demandé au programmeur de faire une « réinitialisation des sessions » sur son appareil. Réticent, il s’est mis à chercher dans les journaux de Google Workspace en quête d’une tentative de connexion en Allemagne. En vain. Après avoir prétexté un bug, l’interlocutrice a coupé l’appel.
In extremis
L’histoire ne s’arrête pas là. Zach Latta reçoit alors un appel téléphonique d’un individu appelé Solomon, qui se présente comme le responsable de Chloé. Celui-ci affirme que son compte est « probablement compromis par une extension Chrome de bloqueur de publicité qui détournait les informations d’identification de Gmail ». Il demande au développeur de se déconnecter de tous les appareils et de réinitialiser son mot de passe :
« Ouvrez Gmail sur votre téléphone et laissez-moi vous montrer comment vous déconnecter de tous les autres appareils actifs avant de réinitialiser votre mot de passe afin que l’ordinateur de Francfort soit déconnecté ».
Le faux responsable guide Zach Latta au travers du processus de réinitialisation de mots de passe, et va jusqu’à lui fournir le code d’authentification à deux facteurs transmis par Google. Apparemment, le pirate a pu générer un code d’authentification à deux facteurs dans le but de piéger la cible. Il encourage Latta à se servir du code. Comme l’explique le programmeur, cette manœuvre aurait donné l’accès complet du compte à son interlocuteur.
Après avoir compris qu’il s’agissait d’une tentative de piratage, Zach Latta s’est mis à poser des questions. L’escroc a préféré couper l’appel, conscient d’avoir été démasqué. Aux dires du développeur de Google, il suffisait d’un clic pour que son compte soit compromis.
Google contraint de renforcer ses défenses
Suite à cette offensive très convaincante, Google a mené l’enquête. Le groupe s’est rendu compte que les criminels se sont servis d’un « compte Workspace non vérifié » et compromis « pour envoyer des e-mails trompeurs ». Selon les chercheurs de Hack Clubbers, les escrocs se sont aussi appuyés sur « une faille dans Google Workspace qui permet de créer un nouvel espace de travail en utilisant n’importe quel sous-domaine de g.co et d’envoyer certains e-mails sans vérification de la propriété du domaine ».
Comme l’explique un porte-parole de Google à TechRadar, l’affaire a poussé la firme de Mountain View à revoir certains pans de sa sécurité. Bien qu’il n’ait trouvé « aucune preuve indiquant qu’il s’agit d’une attaque à grande échelle », Google a renforcé « ses défenses contre les attaquants en utilisant les références g.co lors de l’inscription afin d’améliorer la protection des utilisateurs ».
Désormais, Google va utiliser des informations spécifiques liées à g.co pour renforcer la sécurité au moment où un nouvel utilisateur ou une nouvelle organisation s’inscrit sur Google Workspace. Jusqu’ici, il était possible de créer une fausse organisation Google Workspace en utilisant un sous-domaine g.co et d’envoyer des e-mails sans preuve de propriété. Maintenant, Google ajoute une vérification supplémentaire lors de l’inscription pour s’assurer que seules les personnes autorisées peuvent utiliser ces sous-domaines. Le porte-parole rappelle aussi que « Google ne vous appellera jamais pour réinitialiser votre mot de passe ou résoudre les problèmes de compte ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Github