Au cours du début du mois de mai 2017, Google Docs a été victime d’une vaste campagne de phishing destinée à piéger les utilisateurs de Gmail. Des messages électroniques frauduleux ont circulé pendant quelques heures avant que Google n’arrive à les stopper. Les internautes recevaient un email trompeur contenant un lien vers un document supposé être hébergé sur Google Docs. En réalité, ce lien pointait vers une application Web tierce malicieuse nommée « ;Google Docs ;», et était exploité par des pirates pour prendre le contrôle des emails et des listes de contact des victimes. Pour pousser les utilisateurs à cliquer sur le lien, un bouton bleu affichant « ;Open in Docs ;» avait été placé dans l’email.
Google a estimé que seulement 0,1 % des comptes utilisateurs gérés par l’entreprise avaient été affectés par cette attaque. À la suite de cet incident, la société avait décidé de procéder au renforcement des dispositifs de sécurité sur sa plateforme en ligne.
Pour prévenir la survenue de nouvelles attaques de phishing aussi massives que la dernière et les effets négatifs qui y sont généralement associés, Google a ajouté un ensemble de fonctionnalités aux options de sécurité de son système d’authentification OAuth. Il faut rappeler que ce système est utilisé pour lier des applications tierces avec les comptes Google. La firme de Mountain View a mis en place une fenêtre qui s’active et se positionne au premier plan pour transmettre des messages d’alerte permettant d’avertir l’utilisateur que l’application tierce qu’il s’apprête à utiliser n’est pas vérifiée et pourrait constituer un risque plus ou moins important pour l’intégrité et la sécurité des données liées à son compte.
Ce message d’alerte s’activant lorsqu’une « ;application non vérifiée ;» est détectée s’affichera au-dessus de toute nouvelle application Web qui tentera de collecter les informations du compte d’utilisateur Google d’un internaute. Le nouveau procédé permettra d’aider l’internaute à distinguer les applications vérifiées des applications malveillantes qui prétendent être légitimes. Cet avertissement précède l’écran de consentement des autorisations et informe l’utilisateur que l’application en question n’a pas encore validé le processus de vérification de Google.
Une option permettant à l’utilisateur d’autoriser la collecte de ses informations de connexion par l'application non vérifiée concernée est disponible. Il peut la sélectionner après la confirmation qu'il a bien pris connaissance des dangers liés à cette autorisation. Le développeur d’une application, pour sa part, pourra supprimer l’affichage de ce message d’alerte au-dessus de son application, en complétant le processus de vérification de son application par les services recommandés de Google.
La société technologique Google a également déclaré qu’elle comptait ajouter ces avertissements à ses scripts d’applications afin d’exploiter le potentiel des macros et des add-ons personnalisés dans ses applications de productivité, comme Google Docs. Certaines applications existantes devront aussi passer par le même processus de vérification que les nouvelles applications.
« ;Ces nouveaux messages de signalisation informeront automatiquement les utilisateurs des risques potentiels encourus. Ce système d’alerte devrait leur permettre de prendre des décisions éclairées afin de garder leurs informations en sécurité et de faciliter le test et le développement d’applications par les développeurs ;», a déclaré Google.
Le tableau suivant présente les différents cas de figure qui pourraient conduire à l’affichage de l’écran d’application non vérifié (les marques rouges indiquant le cas d'une « ;application non vérifiée ;» et les marques vertes le cas d'une « ;application vérifiée ;») :
Source : Google, Support Google
Et vous ?
Qu'en pensez-vous ?
Croyez-vous que cette mesure soit suffisante pour empêcher une nouvelle attaque massive de phishing de Google Docs ?
Google renforce la sécurité de son système d'authentification OAuth
Pour prévenir la survenue d'attaques de phishing
Google renforce la sécurité de son système d'authentification OAuth
Pour prévenir la survenue d'attaques de phishing
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !