Google a émis une alerte de sécurité sans précédent visant près de 2,5 milliards d’utilisateurs de Gmail après le piratage d’une base de données hébergée sur la plateforme Salesforce. L’avertissement vise à souligner le risque croissant du phishing vocal, une méthode d’ingénierie sociale exploitant des informations apparemment banales pour compromettre des comptes.
Contexte de l’incident
La faille remonte à une compromission liée au groupe cybercriminel connu sous le nom de « ShinyHunters ». Les attaquants ont accédé à une base de données commerciale hébergée sur Salesforce, utilisée pour gérer des contacts et des notes relatifs à des entreprises clientes potentielles des services publicitaires.
Google précise que la base de données compromise n’était pas destinée au stockage d’identifiants utilisateurs et que les éléments volés étaient en grande partie accessibles publiquement : noms d’entreprises, numéros de téléphone et notes d’agents commerciaux.
Malgré le caractère peu sensible apparent de ces informations, leur utilisation a permis de monter des attaques bien plus dangereuses, notamment par phishing vocal ciblé.
Mécanique de l’attaque : du phishing vocal à l’exploitation humaine
Les assaillants ont misé sur l’ingénierie sociale, et plus précisément sur le vishing (phishing vocal), pour tromper des employés et obtenir un accès non autorisé à des systèmes via une fausse application ressemblant à l’outil officiel « Data Loader » de Salesforce.
Pour renforcer leurs opérations, ils ont utilisé :
- des réseaux privés virtuels (VPN) et le réseau Tor pour dissimuler leurs traces ;
- des applications imitant les fonctionnalités légitimes de Data Loader ;
- des outils de phishing et des techniques de synthèse ou d’usurpation vocale pour rendre les appels convaincants.
En se faisant passer pour des techniciens de support, les attaquants ont obtenu l’autorisation d’accès nécessaire à l’extraction rapide des contenus avant la détection et la révocation des accès.
Pourquoi ces données représentent une menace
Les informations volées, bien que non sensibles en apparence, servent d’armes pour des attaques de suivi. Connaître le nom de la société, des contacts et des notes contextuelles donne une crédibilité accrue aux appels frauduleux.
Exemples d’usages malveillants :
- un appel se présentant comme le support technique en citant des détails connus pour inciter à réinitialiser un mot de passe ;
- la demande d’installer un faux logiciel de sécurité ou une application malveillante ;
- la collecte de codes d’authentification ou la réalisation de transferts financiers sous prétexte d’une intervention urgente.
C’est ce mode opératoire qui motive l’alerte touchant l’ensemble des utilisateurs de Gmail, et qui illustre le danger du piratage Gmail non seulement pour les comptes individuels mais aussi pour l’écosystème professionnel.
Réponse des entreprises concernées
Google a indiqué avoir annulé les accès accordés à l’application malveillante et envoyé des notifications par e‑mail aux parties directement affectées. L’entreprise insiste sur le fait que l’infrastructure principale n’a pas été compromise et que la base concernée ne stockait pas de mots de passe.
Salesforce a de son côté précisé que sa plateforme n’avait pas subi d’intrusion technique directe et que l’incident résultait d’attaques d’ingénierie sociale ciblant des employés de ses clients.
Mesures de protection recommandées
Face à la menace, plusieurs actions concrètes sont préconisées pour limiter les risques liés au piratage et au phishing vocal :
- changer régulièrement les mots de passe et éviter les mots de passe réutilisés ;
- activer l’authentification à deux facteurs (2FA) et privilégier les clés de passe (passkeys) lorsqu’elles sont disponibles ;
- vérifier et mettre à jour les informations de récupération de compte ;
- utiliser l’outil de vérification de sécurité (Security Checkup) pour examiner les accès et applications autorisés ;
- être vigilant face aux appels non sollicités et vérifier l’identité du correspondant via des canaux officiels avant de fournir des informations sensibles.
Google recommande également l’adhésion aux programmes de protection avancée pour les comptes à haut risque.
Un panorama des menaces plus large
Le groupe ShinyHunters est lié à une série d’attaques répétées visant des grandes entreprises internationales, parmi lesquelles figurent des noms comme Qantas, Allianz Life, Cisco, Louis Vuitton, Adidas, Santander, AT&T, Pandora, Ticketmaster ou Pizza Hut.
Google évoque des liens entre ShinyHunters et un autre collectif désigné « Scattered Spider », et voit dans ces campagnes la trace d’une structure de cybercriminalité plus vaste surnommée « The Com ».
La stratégie privilégiée : exploiter la confiance des employés anglophones des filiales internationales pour obtenir des accès ou pousser au partage d’informations sensibles.
Enjeux pour la cybersécurité
Cet incident marque une étape importante dans l’évolution des menaces : les plus grandes entreprises technologiques ne sont pas à l’abri lorsque l’élément humain est ciblé.
Il rappelle que même des données jugées non sensibles peuvent, une fois combinées, conduire à des attaques de grande ampleur et à des détournements de comptes.
Pour les organisations, l’accent doit être mis sur la formation continue des employés, des procédures de vérification robustes et des contrôles d’accès stricts pour réduire la surface d’attaque liée au facteur humain.
Illustrations
