2,5 milliards de comptes Gmail compromis ! Il est temps de changer de mot de passe, ou de messagerie

Une base de données regroupant plusieurs milliards d’identifiants liés à Gmail et Google Cloud circule désormais dans des forums spécialisés. Il est temps de mettre à jour votre mot de passe et de renforcer la sécurité de votre compte Google.

Nous rapportions début août que Google avait victime d'une fuite de données après avoir été la cible du groupe de hackers ShinyHunters au mois de juin. Si l'entreprise n'avait l'air très alertée, le vent tourne. De premiers utilisateurs rapportent avoir observé des comportements suspects sur leur compte Gmail.

Une base de données massive en circulation

Selon plusieurs sources spécialisées, pas moins de 2,5 milliards de comptes associés à Gmail et aux services de Google Cloud figurent dans un fichier diffusé en ligne. Ce document ne provient pas nécessairement du piratage récent et centralisé des serveurs de Google. Il s’agirait plutôt d’une compilation de données issues de brèches multiples, collectées sur plusieurs années.

Cette méthode, appelée « credential stuffing », repose sur la récupération de combinaisons identifiants/mots de passe anciennement volées, rassemblées et revendues. Évidemment, plus le fichier est volumineux, plus il a de valeur pour les cybercriminels, qui peuvent ensuite automatiser des tentatives de connexion en masse. Ce type d’attaque ne cible pas directement les infrastructures de Google, mais exploite les faiblesses d’habitudes d’utilisateurs, notamment la réutilisation d’un même mot de passe. Parce que bien entendu, si un mot de passe Gmail apparaît dans la base, il devient une clé potentielle pour accéder à d’autres services en ligne pour lesquels la même combinaison a été utilisée.

De nouvelles attaques par phishing

En parallèle, les attaques se multiplient sur les comptes Google et des chercheurs en cybersécurité alertent sur une nouvelle menace de phishing exploitant l’injection de prompts. Il s'agit pour l'attaquant de détourner les modèles d’intelligence artificielle intégrés afin de manipuler l’utilisateur et dérober ses identifiants Gmail.

Si une attaque par phishing classique renvoie un formulaire frauduleux, ici le message masque des instructions dans le contenu affiché. Il devient alors bien plus difficile de repérer ces emails pour les dispositifs de sécurité. Dans le cas signalé, des messages intégrés orientent le comportement du modèle qui assiste l’utilisateur et incitent, par un enchaînement de demandes, à fournir des données sensibles ou à le rediriger vers un environnement contrôlé par le hacker. Oui, c'est donc Gemini qui finit par trahir l'utilisateur.

Encore plus pervers : plusieurs utilisateurs affirment également avoir été contactés par téléphone par de prétendus opérateurs techniques travaillant pour Google et souhaitant les aider à renforcer la sécurité de leur compte.

Que faire face à ces menaces ?

La première mesure est bien entendu de modifier immédiatement son mot de passe Gmail en suivant les recommandations : une chaîne longue, mélangeant lettres, casse, chiffres et caractères spéciaux. Et bien sûr, un mot de passe unique. Et puisque ces recommandations sont valables pour l'ensemble de vos mots de passe, il est peut-être temps d'opter pour un gestionnaire dédié, si ce n'est pas déjà fait. Au-delà de vous simplifier la vie pour la création et le remplissage automatique des écrans de connexion, il permettra aussi de tester facilement de nouveaux navigateurs ou OS en étant immédiatement opérationnel.

Alors que cette base de données passe de main en main, l’activation de l’authentification à deux facteurs n'est plus une option et doit également être mise en place. Voici comment l'activer pas à pas.

Plusieurs services existent également pour savoir si votre adresse email fait bel et bien partie de cette base de données. C'est notamment le cas de HaveIBeenPwned.com, à utiliser toutefois avec modération puisque si le service s'avère particulièrement pratique, il stocke votre adresse email et l'exploite sans respect du RGPD.

Enfin, quitte à voir son compte Google fragilisé, vous pouvez opter pour un changement radical avec une messagerie sécurisée proposant un chiffrement au repos pour l'ensemble de vos emails.