Alerte, cette nouvelle arnaque Facebook utilise les propres outils de Google pour vous piéger

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 26 mai 2025 à 11h19

Des cybercriminels exploitent l'outil no-code AppSheet, de Google, pour usurper l'identité de Meta, via son réseau social Facebook. Jugée sophistiquée, cette nouvelle campagne malveillante bouleverse les codes du phishing traditionnel.

Facebook et Google sont les instruments des pirates © miss.cabul / Shutterstock.com

Une nouvelle vague de phishing cible Meta en confirme bien une chose : le temps des e-mails grossiers truffés de fautes d'orthographe est définitivement révolu. Depuis plusieurs semaines, les cybercriminels exploitent AppSheet, l'outil de Google qui permet de créer des applications mobiles à partir de feuilles de calcul, pour usurper l'identité de Facebook et contourner les protections traditionnelles. La campagne malveillante bouleverse les codes de la cybersécurité en transformant la réputation de Google en cheval de Troie.

Quand la confiance en Facebook et Google devient une arme pour les hackers

L'ampleur du phénomène décrit ce lundi par la société de cybersécurité KnowBe4 donne le tournis. Le 20 avril dernier, l'entreprise a recensé un pic historique : 10,88% de tous les e-mails de phishing détectés provenaient ce jour-là d'AppSheet. Sur cette montagne de messages frauduleux, 98,23% se faisaient passer pour Meta, la maison mère de Facebook, Instagram, WhatsApp, Messenger et Threads, le reste ciblant PayPal dans une moindre mesure.

Le génie maléfique de cette opération repose sur l'adresse [email protected], d'où proviennent les e-mails. Cette adresse officielle de Google transforme chaque tentative d'escroquerie en courrier apparemment légitime. Les filtres anti-spam baissent la garde, et les protocoles de sécurité DMARC, SPF et DKIM sont contournés. Un leurre parfait qui ouvre toutes les portes.

Les cybercriminels misent sur l'urgence psychologique avec des messages alarmistes. « Violation de propriété intellectuelle », « suppression de compte imminente »... L'utilisateur se retrouve face à un ultimatum de 24 heures qui ne laisse aucune place à la réflexion. Une pression savamment orchestrée pour court-circuiter tout esprit critique.

Capture d’écran d’un e-mail de phishing usurpant Meta, envoyé via AppSheet avec les bannières anti-phishing de KnowBe4 appliquées © KnowBe4

Un piège technologique à plusieurs étages, jusqu'à l'authentification à multiples facteurs

Dans le détail, chaque e-mail embarque un identifiant unique généré automatiquement par les flux de travail d'AppSheet. Présentés comme des numéros de dossier officiels, ces codes polymorphes changent à chaque envoi. Résultat, il est impossible pour les systèmes de détection de s'appuyer sur des signatures fixes. Voilà que les équipes informatiques se retrouvent désarmées.

Une fois l'appât mordu, la victime atterrit sur un site hébergé par Vercel, une plateforme réputée qui ajoute une couche de crédibilité supplémentaire. L'interface reproduit fidèlement Facebook, avec un logo animé et une mise en page soignée. Mais derrière cette vitrine se cache un redoutable système dit « man-in-the-middle », qui transmet instantanément chaque frappe de clavier aux vrais serveurs.

À gauche, la capture d'écran du site malveillant qui usurpe Meta pour les entreprises, et à droite, le formulaire de collecte de code 2FA © KnowBe4

L'arnaque ne s'arrête malheureusement pas au premier mot de passe saisi. Le site malveillant force la victime à ressaisir ses identifiants sous prétexte d'échec technique, puis réclame le code d'authentification à deux facteurs, ou multiples facteurs. Cette double collecte maximise alors les chances de récupérer des informations exploitables tout en semant la confusion chez l'utilisateur piégé.

À découvrir

Meilleur antivirus, le comparatif en mai 2025

28 avril 2025 à 09h45

Comparatifs services

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Piratage / Cybercriminalité

Facebook

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (5)

Squeak

Sur Facebook : Paramètres > Espaces comptes > Sécurité et mot de passe > E-mails récents.

Cela confirme si un e-mail a réellement été envoyé par Meta à propos de la sécurité. Simple et efficace.

De même il faut éviter d’ouvrir tous les liens qui passent dans le flux d’actualité Facebook car il y a aussi plein d’arnaques (ex: vidéo d’un grave accident qui amène sur un site invitant à se connecter etc).

arsworld

Je ne vois pas pourquoi quelqu’un d’un minimum sur internet ne mettrait pas en spam un email de [email protected] alors que le soucis est censé venir de facebook et qu’en 2 secondes, on peut découvrir que [email protected] c’est du google comme précisé dans l’article.
Ensuite : « la victime atterrit sur un site hébergé par Vercel » donc comme d’habitude il suffit de savoir lire un URL et ne pas cliquer sur n’importe quoi. Déjà le lien dans l’email doit être parlant.
En 2025 j’ai presque envie de dire que de ne pas avoir un minimum de base en cybersecurité c’est comme rouler sans permis.

alsaco67

C’est tout à fait exact.

Quand on bosse dans une entreprise avec une D.S, des formations fréquentes et des tests en condition réelle , on acquière forcément des réflexes pour ne as faire n’importe quoi.

Mais voilà, certains roulent sans le permis de conduire, d’autres ne sont pas formés et n’ont pas envie de se former alors que tout est accessible (cybermalveillance.gouv.fr par exemple) , et puis il y a le miracle de l’I.A que l’on vend à tout le monde, le sentiment d^'être plus intelligent que d’autres, la croyance que les hackers ne s’intéressent qu’aux entreprises etc …

La plus part des gens cliquent sur n’importe quel lien et bien plus courant : des photos, vidéos , MP3 … surtout si c’est « marrant », « gore » ou « X » …

Krypton_80

Cette adresse officielle de Google transforme chaque tentative d’escroquerie en courrier apparemment légitime. Les filtres anti-spam baissent la garde, et les protocoles de sécurité DMARC, SPF et DKIM sont contournés.

Ce n’est pas la seule adresse de Google concernée malheureusement :

Avertissement urgent : des milliards d’utilisateurs de Gmail menacés par une attaque « no-reply » d’une dangerosité inédite

Quand on imagine le nombre de gens qui passent leur temps avec un smartphone en main et qui ne savent même pas ce qu’est un antivirus, ça fait froid dans le dos. Les hackers ont de beaux jours devant eux, surtout avec l’utilisation de l’AI. La sélection naturelle se chargera de faire le tri.

arsworld

A chaque fois que j’ai été contacté par cybermalv…fr c’était des gens qui se sont fait avoir par ce genre des arnaques au faux support technique etc… J’ai même un ancien qui m’a envoyé, sans me connaître, toute sa vie numérique pour que je gère ces comptes. +Email, compte bancaire, PayPal, copie de sa photo d’identité etc… Tout ça pour que je gère ses comptes FDJ … le gars croyais que j’habitais pas loin de chez lui. Déjà ça ne change rien à l’affaire que j’habite pas loin, mais en plus il s’était trompé… j’habite à 10h de route.
Bref, je l’ai appelé pour lui dire de ne jamais refaire ce genre de conneries parce que je suis droit dans mes bottes. Il m’a juste répondu qu’il voulait encore croire et avoir confiance en autrui…
C’est beau sur le papier mais il va finir plumé.
Moi ça me fait vivre, le gros de mon taf c’est de la maintenance et du montage pc, mais je préfèrerai monter de beaux pc aux petits oignons plutôt que de devoir deveroler des ‹ pc out of date ›.
Et oui je propose des formations mais les gens ne veulent PAS apprendre. C’est désolant.